Come migrare da una reverse shell a meterpeter

Durante un pen test potreste avere nella necessità di utilizzare un exploit che non fa parte del framework metasploit, di conseguenza dovreste rinunciare anche ad una shell meterpeter. In questo articolo cercherò di spiegare come eseguire una classica reverse shell (netcat, bash, python ecc…) su metasploit per poi migrare su una sessione meterpeter. Perchè meterpeter? […]

BackBox4Browser: BackBox in a Browser

  Da una brillante idea di jgamblin (KaliBrowser), ho provato a creare un’immagine docker con la distribuzione BackBox 4 gestibile comodamente da browser. Premetto che non avevo mai smanettato con i docker prima d’ora, quindi per i più esperti i miei Dockerfile potrebbero risultare orribili. Dopo una settimana di lavoro sono riuscito a creare quattro […]

SSH e Meterpeter pivoting

https://s-media-cache-ak0.pinimg.comNell’articolo di oggi tratterò un argomento fondamentale nel penetration testing, ovvero la tecnica “Pivoting“. Pivoting in italiano può essere tradotto come “fare perno”, infatti questa tecnica si basa sullo sfruttamento di un sistema compromesso per attaccarne altri all’interno della stessa infrastruttura (e non solo). Faccio un piccolo esempio in cui ci sono tre attori: Client […]

From Dynamic to Static e WordPress non lo buchi più

From Dynamic to Static e Wordpress non lo buchi più, un simpatico articolo che spiega come trovare la sicurezza del noto cms nella staticità del blog.
Verrà spiegata passo dopo passo la procedura per trasformare, lato front-end, wordpress da dinamico a statico.
Inoltre verranno eseguiti test per comparare le prestazioni e la sicurezza tra un wordpress dinamico e statico.