En esta sección aprenderás desde los comandos más sencillos hasta los métodos más utilizados en el mundo hacking. Contamos con muchas herramientas sobre Phishing, Ingeniería Social, Hijacking entre otras; para que puedas aprender de ellas, por supuesto con el fin de entender su funcionamiento y prevenir caer en eso ataques, lo que conocemos como Hacking ético.
Recuerda: Puedes hacer daño pero no es necesario que lo hagas. Tú no quieres que alguien se meta con tus cosas, así que no te metas con las cosas de los demás, además no hay razón justificada para hacerlo.
Sublist3r es una herramienta de enumeración basada en python que lista subdominios de un dominio utilizando Google, Yahoo, Bing, Baidu y Ask. También enumera subdominios usando Netcraft, Virustotal, ThreatCrowd, DNSdumpster y ReverseDNS.
Subbrute fue agregado para mejorar el hallazgo de todos los dominios posibles usando la fuerza bruta con una lista mejorada de palabras. En este tutorial, te muestro cómo enumerar subdominios de cualquier sitio web con Sublist3r.
JSRAT es un backdoor de mando y control (Command y control o C&C) para controlar las máquinas de las víctimas mediante JavaScript.
Este script basado en Python fue desarrollado como un backdoor para los ordenadores de las víctimas. JsRat utiliza payloads de JavaScript y el protocolo HTTP para la comunicación entre el servidor y los hosts de destino.
pwnedOrNot es una secuencia de comandos python que comprueba si una cuenta de correo electrónico se ha visto comprometida en una violación de datos, si la cuenta de correo electrónico se ve comprometida, procede a buscar contraseñas para dicha cuenta comprometida.
Utiliza la API haveibeenpwned v2 para probar cuentas de correo electrónico y busca la contraseña en Pastebin Dumps. Este script ha sido probado en Kali Linux, Ubuntu y Termux.
CHAOS es un framework basado en Linux a través del cual puede generar fácilmente payloads y controlar máquinas remotas como Windows XP/Vista/7/8/8.1/10.
En otros palabras, se puede decir que CHAOS Framework es la versión mínima del METASPLOIT FRAMEWORK, porque tiene funciones limitadas que puede realizar con su objetivo, pero lo mejor de CHAOS Framework es que la carga útil (payload) que generará es 100% FUD (Totalmente indetectable).
WhatCMS es un kit de detección y explotación de CMS basado en la API de Whatcms.org. ¿Te animas a probarlo?
Actualmente, Whatcms.sh puede detectar el uso de más de 330 aplicaciones y servicios CMS diferentes para luego indicar una lista de herramientas de auditoría de seguridad válidas para el CMS detectado.
Weeman y Ngrok son las mejores herramienta para realizar ataques de phishing actualmente. Crea tu propio servidor de phishing para hackear cuentas de Facebook u otra red social.
Con Weeman podemos tener un servidor HTTP para phishing en Python, además tiene soporte para la mayoría de los sitios web (los más grandes). Por su lado, ngrok garantiza la creación de túneles seguros a un servidor local.
Trape es una herramienta de reconocimiento que le permite rastrear personas, la información que puede obtener es muy detallada. Este script basado en Python puede rastrear a cualquier persona en Internet y realizar ataques reales desde el navegador de la víctima.
Es un payload basado en URL que debe enviarse a las víctimas en Internet y puede realizar un ataque de phishing, enviar mensajes a la víctima, descargar un archivo en el dispositivo, mostrar en qué sitio web entró, hacer un seguimiento constante, y mucho más.
