Curso de Hacking Ético
Curso de Hacking Ético

Bienvenida y panorama general

1

Lo que aprenderás sobre el hacking ético

2

Conceptos básicos sobre hacking ético

3

Vulnerabilidades

4

Amenazas y ataques comunes

5

Instalación del entorno de pruebas Kali Linux

6

Instalación del entorno de pruebas Mutillidae

7

Instalación del entorno de pruebas Metaesplotaible 3

8

Práctica: Cross-Site-Scripting, command injection y directorio transversal

Introducción al Hacking Ético

9

Fases del hacking

10

Tipos de hacking

11

Práctica: Obteniendo información de fuentes abiertas con OSINT Framework y Google hacking

12

Práctica: Analizar un sitio web con Nikto y Spiderfoot

13

¿Es necesario un hacking ético? Hacking ético como profesión

Pentesting

14

Conceptos. ¿qué es y qué no es pentesting?

15

Tipos de pentesting. Fase Pre-ataque

16

Práctica: Buscando secretos en repositorios GIT

17

Introducción al escaneo de redes

18

Práctica: Escaneo de redes con Nmap

19

Fase de Ataque. Testing de aplicaciones web con Burp suite

20

Práctica: Explotando vulnerabilidades en metasploitable

21

Fase Post-ataque. Metodologías

Estándares y aspectos legales

22

PCI DSS. HIPAA. DMCA.ISO/IEC 27001

23

Contratos, Reglas de compromisos, Cláusula de no competencia y Acuerdo de confidencialidad

24

Convenio de Budapest. ¿Cómo vamos en América latina? Salvaguarda de evidencias digitales

Casos típicos de ataques

25

Malware y Análisis estático de malware

26

Malware y Análisis dinámico de malware

27

Sniffing y Cómo realizar un ataque Man in the middle automatico

28

Sniffing y Cómo realizar un ataque Man in the middle manual

29

Denegación de servicio. Ataque DOS con LOIC y HOIC

30

Ingeniería social

Controles y mecanismos de seguridad

31

Políticas de seguridad. Seguridad física y Controles de acceso

32

Práctica: Bypass autenticación QR (Reto 6 SANS Holiday hack)

33

Copias de seguridad. Defensa en lo profundo

34

Práctica: instalación del IDS snort

35

Gestión de riesgos y modelado de amenazas

You don't have access to this class

Keep learning! Join and start boosting your career

If you already have an account,

Aprovecha el precio especial y haz tu profesión a prueba de IA

Antes: $249

Currency
$209
Suscríbete

Termina en:

0 Días
14 Hrs
49 Min
1 Seg
Curso de Hacking Ético

Curso de Hacking Ético

Alan J. Baeza

Alan J. Baeza

Práctica: Buscando secretos en repositorios GIT

16/35
Resources

How to find secret keys in a Git repository using TruffleHog?

Discovering secret keys in Git repositories is a crucial skill for securing software projects. In this practice, you will learn how to take advantage of a powerful tool called TruffleHog to locate keys that might be hidden in the code. We will take you step-by-step through this quest.

What is TruffleHog and how to install it?

TruffleHog is a tool that inspects Git repositories for high entropy strings that could be secret keys. It is designed to detect anomalies in randomness and other unusual patterns that occur in text.

  • Installing TruffleHog on Kali Linux:
    1. Open a console in your virtual machine running Kali Linux.
    2. Run the following command to install TruffleHog using pip:
      pip install trufflehog
    3. Wait for the installation to complete, which will take about two minutes.

How to scan a repository with TruffleHog?

Once the tool is installed, you can start working with it to analyze a Git repository. Here are the steps to follow:

  1. Open your browser and select the URL of the repository you want to analyze. Copy this address.
  2. In the Kali Linux terminal, run the following commands:
    trufflehog git-url
    Make sure to replace git-url with the URL of the target repository.
  3. The tool will start working and look for unusual patterns within the repository.

How to interpret TruffleHog's results?

TruffleHog will show you strings that have high entropy, indicating that they could be secret keys. It is important to review each of them and determine whether they are relevant or not:

  • High entropy string: May indicate a potential key.
  • Additional information: Sometimes the strings may be part of a commit or the latest release. In each case, examine the information to decide whether to investigate further.

Case study: Solving a security challenge

Suppose you are participating in a security challenge and need to find a hidden password in a North Pole repository. Follow these steps to complete this challenge:

  1. Download the encrypted file from the challenge page.
  2. Try to unzip it with a password that you could find with the help of TruffleHog.
  3. If you find a file named password in the TruffleHog results, try that string as the unzip key.
  4. Once successfully unzipped, you will access the secret files.

What to do after finding the keys?

Once you find and confirm the necessary secret keys:

  • Be sure to store the information securely.
  • Make a report of the finding if you are in a security audit context.
  • Verify that the repository has been cleared of these keys to avoid future exposures.

With these guidelines and using tools like TruffleHog, you can not only solve security challenges, but also apply this knowledge in real life to improve the security of your own code. Go ahead and don't let the challenges stop you!

Contributions 24

Questions 3

Sort by:

Want to see more contributions, questions and answers from the community?

Ariel Jacob

Ariel Jacob

6 years ago

La herramienta Trufflehog se encuentra en
github.com/dxa4481/trufflehog
Trufflehog se basa en la entropía del documento. En un documento hay diferentes combinaciones de letras, pero trufflehog encuentra los patrones que NO SON COMUNES, que tienen mayor nivel de aleatoriedad o inusuales, en este caso en un repositorio tipo github.

En Kali es necesario abrir una consola y escribir los siguiente:

pip install trufflehog

Una vez descargada la herramienta empezamos a trabajar.

Si queremos encontrar un password para un archivo zip determninado, descargamos el archivo y desde consola nos ubicamos en carpeta y tratamos de descomprimir:

`# cd Downloads

¬/Downloads# unzip <nombre del archivo>`

Va a pedir contraseña.

Para obtenerla vamos a analizar la dirección objetivo.
Limpiamos con comando

clear

y ponemos:

trufflehog <repositorio>

Ej. utilizado

trufflehog https://git.kringlecastle.com/Upatree/santas_castle_automation

Entre los resultados menciona en color verde las entropias, es decir casos posibles singulares poco usuales. Allí se ve un texto que dice que cambiaron de contraseña y la mencionan.

Santiago Verdugo Garcia

Santiago Verdugo Garcia

5 years ago

El profesor sabe bastante del tema el problema esta en que va muy deprisa por lo menos para mi por ejemplo no explica porque ingresamos a la carpeta schematics de una vez, lo hace muy robotico no explica el porque de esos comandos que significan que posibilidades hay de que dicho comando no sirva y porque un ejemplo claro es el de que en algunos no sirve el pip sino el pip3 o por ejemplo en el momento de colocar trufflehog y el enlace a mi no me salto la pantalla que a el (pero porque)en los comentarios me pueden dar la solucion de como hacerlo pero por lo menos a mi me gustaria saber el porque no andar ahi como dicen aqui en colombia comer entero y decir si, aja, claro.

Luis Enrique Soriano Zabala

Luis Enrique Soriano Zabala

2 years ago

me parece que deberian actualizar los repositorios y los retos ya muchas cosas estan algo obsoletas estoy intentando seguir el curso pero ya hay cosas con las que no se puede contar porque estan fuera de servicio.

Julio Edgar Mosquera Angulo

Julio Edgar Mosquera Angulo

2 years ago

Cordial saludo;

Estimado profesor, considero que seria necesario poder actualizar los repositorios , igualmente los retos .

Feliz día.

Hernan Chamorro

Hernan Chamorro

3 years ago

El sans challengue no funciona…

Renzo Flores Ugarte

Renzo Flores Ugarte

5 years ago

para los que les da el problema de

bash:trufflehog no found

pueden probar usar

sudo pip3 install truffleHog```
Daniel Stiven Cardona S.

Daniel Stiven Cardona S.

5 years ago

Muy interesantes las clases, aunque no se ni programar, pero con este curso ya me estoy haciendo una idea de lo que realmente quiero y ademas me están dando las pautas de donde debo de comenzar.

Diana Sirley Cruz Acevedo Arias

Diana Sirley Cruz Acevedo Arias

2 years ago

Esta algo engorroso seguir el ritmo del profe, aunque se nota que sabe mucho del tema, hay demasiada información que a la fecha ya esta desactualizada, y así es mas difícil entender lo que se esta realizando, ademas, en ninguna parte del curso dice el año. Porque de haber sabido que es un curso que se dicto hace mas de 2 años de seguro no lo habría tomado, porque así como bien dice en varios de los videos que la tecnología avanza a pasos agigantados debería saber que una actualización al curso no quedaría nada mal.

DAVID EDUARDO BAEZ SANCHEZ

DAVID EDUARDO BAEZ SANCHEZ

5 years ago

Muy interesante. Hay que revisar los servidores que alberguen nuestro codigo para no cometer un error como el del ejemplo.

Juan Guillermo Perez Cardozo

Juan Guillermo Perez Cardozo

6 years ago
Para entender por completo haré de nuevo este laboratorio
Carolina Arroyave Velez

Carolina Arroyave Velez

2 years ago
Es mejor ir al repositorio para identificar como instalarlo: <https://github.com/trufflesecurity/trufflehog>. Actualmente a mi funciono en kali el comando: git clone <https://github.com/trufflesecurity/trufflehog.git> cd trufflehog; go install
Alan Eugenio Iberra

Alan Eugenio Iberra

a year ago
El curso esta demasiado atrasado, es imposible seguirlo o replicar lo impartido.
Yader Mauricio Rubio Yaima

Yader Mauricio Rubio Yaima

a year ago
Los repositorios estan desactualizados.
Sebastian Marin

Sebastian Marin

5 years ago

No pude instalar trufflehog
Tengo el mismo error de un companero.

Regulus

Excelente profesor! solo que hay clases que sería bueno que fuera un poco mas lento.

Santiago Vittori

Santiago Vittori

5 years ago

Hola, alguien podría ayudarme? Al momento de hacer pip install trufflehog me dice que necesito GitPython==3.0.6. Que puedo hacer??

MARIA TERESA PANIAGUA RIVERA

MARIA TERESA PANIAGUA RIVERA

8 months ago
gracias
MARIA TERESA PANIAGUA RIVERA

MARIA TERESA PANIAGUA RIVERA

8 months ago
Gracias
Edgar Oswaldo Seb Cú

Edgar Oswaldo Seb Cú

3 years ago
Con este curso me animo más de seguir estudiando hacking.
Diego Alexander Hernández Guzmán

Diego Alexander Hernández Guzmán

4 years ago

VERDADERAMENTE OOOOOOO

Diego Sepulveda

Diego Sepulveda

5 years ago

Profesor tengo una pregunta, esta herramienta busca en un repositorio GIT, pero mi pregunta es si busca dentro de cada commit, me explico, hay veces que un commit puede borrar una password hard coded, esto tambien busca en todos los commits hechos?

No se si entiende, por ejemplo tengo un repo, y en el commit numero 5 estabas las passwords hard coded, pero luego en el commit 7 se borraron, y en ahora en el commit numero 1500 cuando ya paso mucho tiempo en ese proyecto es posbile revisar commit por commit estado por estado del repo? eso lo hace la herramienta? si no como se puede hacer? Si esto es posible, que recomendacion harias? crear un repo desde 0??

Muchas gracias

Diego Sepulveda

Diego Sepulveda

5 years ago

Profesor tengo una pregunta, si tengo un repo que tiene vulnerabilidades, me combiene partirlo desde 0?? Esto es una practica que se hace a menudo en las empresas? Pienso incluso que cada cierto eso se haga, no me parece mala idea, ud que piensa?

Victor Chavarin Duran

Victor Chavarin Duran

5 years ago

me ayudan por favor

Rodrigo Corozo Salazar

Rodrigo Corozo Salazar

4 years ago

Muy interesante esta clase. Es la primera vez que escucho el termino entropía.