hacking

Iniciando el blog de h1p 👽

Bienvenidos al inicio del blog, preparate un cafe y toma asiento, ahora si viene lo bueno

Table of content

Bienvenidos al Blog de h1p

¡Hola a todos! Bienvenidos al blog de h1p, he decidido sacar este espacio donde nos adentraremos en el amplio y extenso mundo del Hacking, Bugbounty programs y por supuesto, mucho pero mucho Pentesting web. En este primer post quiero compartir un poco sobre mi personalidad, mis intereses y por qué me apasiona el mundo del Hacking y el BugBounty.

Mi Viaje en el Mundo del Hacking

Llevo entre 12 a 14 años inmerso en el mundo de la ciberseguridad, la única red social que he utilizado es lo que era Twitter que ahora es X, siempre he sido fanático de las computadoras, los videojuegos, la programación, seguridad informática, ciberseguridad y en especial, el Hacking. Aún tengo cierto recuerdo que jugaba en la computadora típico game que te pedía esperar 24 horas para recargar los intentos de juego. Me di cuenta de que esta condición estaba basada en la hora del sistema, así que decidí cambiar la hora al día siguiente. ¡Y funcionó! Ese momento despertó en mí una curiosidad insaciable por las computadoras 💻, más allá de entender como funcionan se despertó en mí esa aptitud para pensar fuera de la famosa “caja”.

Primeros Pasos y Curiosidades

Empecé a leer sobre las bases típicas del hacking: binarios, tipos de datos, código máquina, compilador, hexadecimales, exploits, lenguajes de programación, redes, modelo OSI, malware, scripting, SO, hardware y software, entre otros tecnicismos o bases importantes para iniciar, aunque admito que empecé usando muchas herramientas de otros hackers y aún utilizo unas cuantas, pero todo eso me ha ayudado a entender mucho mejor no solo sobre programación, sino también a comprender como funcionan (explotan) las vulnerabilidades, actualmente hago mis propias herramientas, cuento con una carrera en ingeniería de sistemas, pero no tengo ninguna certificación en hacking. Todo mi conocimiento ha sido autodidacta, buscando y aprendiendo sobre lo que realmente me interesa, foros, videos, guías y mucha pero mucha práctica.

Confesiones de un Ex-Defacer

Antes de que lleguen los típicos haters o doxers, tengo que confesar que solía ser parte de un grupo de “Defacers latinos” llamado BlackCats Team😼. En menos de un año, hice casi 350 mirrors en mi cuenta de Zone-H. Esto no es algo de lo que me sienta muy orgulloso en mencionarlo, pero esa etapa, fue una parte importante de mi aprendizaje y crecimiento en la ciberseguridad.

De Defacer a Hacker Ético

Hoy día trabajo para una empresa del sector privado viajando todo el mundo, en un trabajo totalmente anónimo donde no brindaré ninguna clase de información, aprovecho este espacio también para indicar que hago pentesting web con fines educativos y totalmente responsable de las acciones, todas las herramientas, técnicas y métodos expuestos en este blog es responsabilidad de cada lector lo que haga con el conocimiento, actualmente estoy fortaleciendo mis conocimientos sobre el pentesting web, metodología de caza de bughunters (Reconocimiento, huellas digitales y explotación), también mucha práctica en laboratorios Portswigger y mucha proactividad en lo que respecta el TOP 10 OWASP.

Cuando empecé en el hacking más o menos entre 2010 o 2011, solía defacear “desfigurar” sitios aprovechando aquellos viejos exploits para versiones de los CMS más explotados en aquel tiempo (WordPress, Joomla, Drupal, PrestaShop, entre otros CMS), explotando enlaces simbólicos, WebDAV attacks, entre otros.

symlink('/etc/passwd', 'passwd_link'); //enlaces simbolicos
eval($malicious_code); // code exec
passthru('ls -la'); // code exec
$func = create_function($malicious_code); //un clasico pero ya obsoleto

Los tiempos siguen evolucionando y la industria tecnológica sigue cambiado considerablemente. Las capas de seguridad se han reforzado💪, y las técnicas de protección han avanzado significativamente. Métodos como la implementación de WAF (Web Application Firewalls) y servicios en la nube (clouds) han elevado el nivel de defensa, todo este tipo de defensas me motivan más a seguir mejorando mis conocimientos y habilidades. Con el tiempo, he madurado y ahora me dedico a identificar y reportar las vulnerabilidades que encuentro, contribuyendo a evitar que actores maliciosos comprometan la integridad de los sistemas.

Además, participo en programas de recompensas por vulnerabilidades, lo que me permite lucrarme de manera legal. Como hacker ético, mi satisfacción reside en comprobar la existencia de una vulnerabilidad sin tener ningún interés en dañar, alterar, modificar, borrar o realizar cualquier acción que provoque daños en los sistemas… bueno, excepto si es un sitio de phishing 😈.

La Intención del Blog

La intención de este blog es compartir un poco de mi conocimiento y que esto le pueda servir de algo a las nuevas generaciones de personas que entran en la comunidad o en este mundo del hacking para que se tome con mucha madures y discreción. Veremos de todo un poco: exploits, CVE, código, scripts, bug hunting en vivo, explotacion de sitios de phishing, tools for pentesting, OSINT, metodologías como las antes mencionadas.

Espero que este espacio se convierta en una fuente de inspiración y aprendizaje para todos aquellos que, como yo, sienten una gran pasión por la ciberseguridad, recuerden no somos piratas cibernéticos, tampoco APT´s, nosotros somos hackers y eso nos hace muy diferentes y particulares en nuestra especie, en resumen los “raritos”.

¡Nos vemos en el próximo post!