viernes, 29 de julio de 2016

Curso Hacking Ético: Comandos básicos Linux

Buenas chavales!!

En ésta nueva entrega del curso de hacking ético y pentesting, vamos a ver rápidamente algunos de los comandos más utilizados que realizaremos a lo largo del curso.

Iremos viendo muchos más comandos según vayan saliendo, pero los imprescindibles que hay que saberse están en el vídeo. Por supuesto, cuantos más nos sepamos mejor, y sobretodo saber manejarlos.

Os dejo un link, a una web con un montón de comandos, que podéis ir probando y viendo como funcionan, hay que romper mano con Kali Linux y los comandos, y no tenerles miedo, van a ser como nuestro pan de cada día en la hora de hacer pentesting.

Os dejo con el vídeo de YouTube.





Un saludo!
http://www.cursohackingeticorabbithutch.tk
Rubén Gutiérrez
@rgutga

jueves, 28 de julio de 2016

Cambiando al lado oscuro - Instalando antergos y blackarch - Parte II

Hola a todos amigos, ya estamos con la segunda parte de esta entrada. Os recuerdo que la primera parte la podéis encontrar haciendo click aquí.

En esta segunda parte vamos a ver cómo podemos instalar Blackarch encima de la distribución Antergos.

Distribución Blackarch

Blackarch es una distribución basada en Arch Linux como ya habíamos comentado y que posee en este momento alrededor de 1200 herramientas para pentesters. Es uno de los repositorios más grandes a lo que herramientas de seguridad se refiere.

Además, cuenta con una comunidad que ayuda y colabora con el proyecto ya que éste está disponible en la plataforma de Github.

Logo de Github


Lo interesante de esta distro es que podemos simplemente añadir el repositorio de Blackarch a nuestra instalación de Antergos, pudiendo disfrutar de todas las herramientas sin necesidad de hacer una instalación desde cero. 

Aquí os dejo en vídeo la segunda parte de esta entrada:



Tanto para expertos en seguridad, como para gente que quiera empezar a adentrarse en este mundo, pienso que BlackArch Linux puede ser una de las distribuciones mejor equipadas que encontraréis.

Como siempre, ya saben, si no estoy por aquí, también pueden encontrarme en bares y por las diferentes CON's españolas.

Juan V.

Twitter: @juanvelasc0

PoC: Hack Pokémon Go sin Jailbreak (Sólo iPhone)

Buenas chavales!

Hoy os presento un hack para Pokemon Go.

Es exclusivamente para Iphone y con ordenador con el sistema operativo OS X instalado, preferiblemente de origen (MAC, iMAC, MACBOOK…)

Antes de continuar, deberéis tener desinstalado Pokémon Go del dispositivo.

Para hacer el hackeo a la aplicación, necesitareos 4 programas.

1º Xcode (Se descarga de la AppStore, por ejemplo)
3º El juego hackeado. https://www.iphonecake.com/ -Buscar Pokémon Go, y la versión (Tweaked)
4º iOS signer, para firmar y validar la aplicación una vez parcheada. https://dantheman827.github.io/ios-app-signer/

Teniendo todo descargado y en el escritorio, entramos en materia.

Lo primero, abrir el Xcode, y seleccionamos Create a new Xcode Project.
Seleccionamos Master-Detail Application y le damos a next. En Product Name: ponemos el nombre que queramos, en nuestro caso, RabbitHutchPokemon, y en Organization Identifier: com.RabbitHutch (por ejemplo).
Seguimos con Next, y luego Create.
Ahora estaremos en la página de inicio de Xcode, con el programa por hacer. Hay una exclamación en amarillo, le damos a FIX ISSUE, y entonces, sino estamos registrados, nos pedirá un correo electrónico y contraseña para hacernos Developer, poner la del AppStore y os deberá de dejar entrar.
Luego iremos al menú de arriba a la izquierda, que pone Xcode, y seleccionamos Preferences… Luego nos vamos a la pestaña Account, de ahí nos iremos a View Details… Y dentro, nos tiene que salir en Provisioning Profiles, una direcciones que abriremos con el segundos botón, y daremos a Show in Finder (si no os sale nada en Provisioning Profile, algo está mal hecho, seguramente no le habréis dado a la exclamación)
Continuamos con la carpeta abierta, ya podemos cerrar la pestaña, y dejamos el programa Xcode minimizado.
Ahora le podemos cambiar el nombre al archivo que hemos descargado, para que sea más sencillo, y lo guardamos en la carpeta de PokemonGoanyWhere.
Abrimos el terminal y tecleamos cd y arrastramos la carpeta (los comandos los iremos viendo en el curso que estoy haciendo, así que si no los entendeís ahora no pasa nada, lo iremos viendo) y apretamos a enter.
Una vez dentro de la carpeta, tecleamos chmod +x optool patchapp.sh y otra vez enter.
Luego ./patchapp.sh patch RabbitHutchPokemon.ipa y arrastramos el archivo que tenemos abierto en la carpeta, y le damos a enter.
Ahora se estará desempaquetando el archivo, parcheando y volviendo a empaquetar.
Para terminal, abriremos el iOS app Signer, y damos a browser y seleccionamos el archivo, luego en Provisioning Profile: Seleccionaremos el que hemos creado, daremos a STAR y guardaremos en el escritorio.
Volvemos con el paso final. Abrimos Xcode, nos vamos a Windows-Devices y seleccionamos nuestro teléfono, damo al +, seleccionamos nuestro archivo parcheado y firmado, y ya sólo nos queda terminar con el teléfono.
Vamos a AJUSTES-GENERAL-GESTIÓN DE DISPOSITIVOS, seleccionamos la cuenta, y le damos a CONFIAR, volvemos a dar a CONFIAR, y ya tenemos todo para jugar.

Espero que os haya sido de ayuda, y os dejo el vídeo donde explico todo detallado.





Un saludo!


lunes, 25 de julio de 2016

PoC: Evitando filtros anti-XSS

Buenas compañeros,

Esta entrada se va a centrar en cómo evitar filtros para evitar ataques XSS (Cross Site Scripting).

Para ello, se va a tomar como plataforma de pruebas DVWA, ya sabéis para no meterse en líos

Como ya sabéis para instalar DVWA, os montáis la máquina virtual y le metéis la iso de DVWA (https://github.com/nightmare-rg/dvwa-vagrant/tree/master/dvwa-1.0.8)

Vamos a ello!

Seleccionando la opción de XSS reflected y ajustando el nivel de dificultad, tenemos todo listo para empezar:

Nivel low

En el nivel "low" el servidor web no aplica ningún tipo de validación de los parámetros de entrada por lo que introduciendo la típica cadena

<script>alert("XSS")</script> 

visualizamos el alert verificando que es vulnerable.




Una vez que se ha visto que es vulnerable, se examina el código que como se dedujo, no existe ningún mecanismo de validación de entrada:






Recomendaciones:

Para evitar todo tipo de inyección nunca se debe confiar de datos o fuentes externas y validar todo sin suponer nada, por ejemplo, que los datos esperados son los que el usuario va a introducir.

Para ello, se debe validar todos los datos de entrada, escapar o filtrar los datos no permitidos y opcionalmente sanearlos. Sin embargo, el saneamiento de datos es opcional puesto si la aplicación recibe datos que no debería podría rechazarlos y enviar un mensaje de error para que el usuario los introduzca correctamente para ser aceptados.

En este caso, en PHP se tiene una función para filtrar etiquetas no permitidas como /, <, </, script,…. Esta función es script_tags

Otra función útil para escapar los datos de entrada  antes de ser mostrados cuando el código de entrada esperado es HTML es htmlspecialchars.

Del mismo modo, se debería emplear la función trim que elimina caracteres especiales de inicio o final de la cadena sustituyéndolo por espacios en blanco. Por ejemplo, elimina \t\n\r\0/


Nivel medium

Introduciendo el mismo código, ya no se ejecuta, por lo tanto, se puede deducir que se están aplicando mecanismos de validación de los parámetros de entrada.

Por lo tanto, para detectar que keywords está se realiza una batería de pruebas para identificar los posibles parámetros "prohibidos" para de esta manera, poder evitarlos.


Entrada
Salida
script Hello script
<script>
hello
script> Hello script> -- Este es bueno!
<script
hello
<<script>> Hello <> -- Filtra keyword script


Como se observa está filtrando el keyworsd "<script>". Sin embargo, sabiendo que:


<<script>    devuelve    <
    script>       devuelve    <


Ya tenemos la formula de evitar el filtro:


<<script>script>alert("XSS medium")</script>




Análogamente a la reconstrucción del tag de script en función del filtrado, se podría incluir construir el tag de script en partes:

<scr>script>ipt>alert(“XSS DVWA”);</script>






Del mismo modo, a la reconstrucción del tag de script en función del filtrado, se podría incluir espacios en blanco en los < > para saltarse la restricción y ver si el servidor interpreta dicho código y lo ejecuta.

<<script>script>alert(“XSS medium”);</script >




De ahí el fallo que reemplaza justamente esa palabra exacta. Por lo tanto, introduciendo el código:

<script type="text/javascript">alert("XSS medium")</script>
No detecta la cadena <script> exacta y se lo “traga”





Otro intento típico es emplear los tag de script en mayúsculas para verificar si el servidor realiza algún tipo de saneamiento, esto es, una conversión de lso valores introducidos ya sean mayúsculas o minúsculas para su posterior tratamiento y gestión:


<SCRIPT>alert("XSS medium");</SCRIPT>




Una vez vulnerado se mira el código fuente para ver que función emplean para determinar cómo se podría mejorar. 




Observando el código fuente, se aprecia que se está empleando la función str_replace para reemplazar la keyword “<script>” por un espacio en blanco.

Adicionalmente, es más que recomendable revisar el documento de OWASP para explotar XSS (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet).

Espero que os haya gustado :D

Para cualquier cosa, escribir un comentario y estaré encantado de responder.

Saludos.

NaxHack5

"La mejor defensa es un buen ataque"

sábado, 23 de julio de 2016

Curso Hacking Ético: VirtualBox y Kali Linux

Buenas chavales!

Hoy os traigo un nuevo vídeo, esta vez ya entramos en materia, y empezamos a instalar nuestra máquina virtual (VirtualBox), para ir preparando nuestro taller.

También haremos una breve introducción de que es Kali Linux, y un pequeño tutorial de como se hace la instalación desde 0.

El curso se pone en marcha, y empezamos a ver un poco de práctica en escritorio... ¡Ésto se pone interesante!

No olvidéis suscribiros al canal para poder recibir los vídeos en vuestro correo una vez colgados en YouTube.


Os dejo unos links, para poder realizar las instalaciones tanto de la máquina virtual, como de la distribución que usaremos. Más adelante, instalaremos otro sistema operativo (ésta vez vulnerable), para hacer las PoC's (Proof Of Concept).

https://www.virtualbox.org/
https://www.kali.org/



También os pongo una página interesante, con más de 400 comandos, para podáis ir practicando. En el siguiente vídeo veremos algunos de esos comandos, sobre todo lo más usados, pero siempre está bien que sepamos los máximos posibles, o por lo menos saber de una guía para buscarlos en caso de necesitarlos.

http://blog.desdelinux.net/mas-de-400-comandos-para-gnulinux-que-deberias-conocer/


Eso es todo con este vídeo.

Os espero en el próximo, más y mejor :)





Rubén Gutiérrez.
@rgutga.
www.cursohackingeticorabbithutch.tk


jueves, 21 de julio de 2016

Cracking WPS con Dumpper

Buenas hackers! Hoy, siguiendo un poco la línea de hacking WiFi, que llevamos un tiempecillo sin tocar, vengo a traeros un pequeño giro: una herramienta para sistemas Windows que permite, entre otras cosas, ejecutar un ataque de WPS cracking.

WPS - WiFi Protected Setup

Podemos introducir un poco de los fundamentos del protocolo de conexión WPS o WiFi Protected Setup. Es un protocolo creado para facilitar la creación y conexión de dispostivos a redes WLAN. En la mayoría de implementaciones domésticas, la conexión puede realizarse tanto mediante por la pulsación de un botón en el punto de acceso mientras intentamos conectar desde nuestro host mediante WPS, o mediante la introducción de un PIN. Este PIN es un código, normalmente de ocho dígitos, que sirve para conectarse a la red.

Por desgracia, muchos de estos códigos o bien son el mismo para todos lo dispositivos de un mismo modelo (sinónimo de que son públicos), o bien son uno de una lista bien conocida (caso parecido al anterior), o se asignan siguiendo algoritmos fáciles basados en el ESSID, BSSID u otros datos del dispositivo o la red de forma predeterminada. Esto hace que existan muchas opciones y algoritmos que permiten el crackeo de las redes con este protocolo activado.

Dumpper

La herramienta en cuestión es Dumpper. Sus aplicaciones principales son la comprobación de la seguridad de una red inalámbrica mediante ataques al protocolo WPS, que es el caso que nos ocupa, u otros ataques, como la obtención de la clave WPA/WPA2 predeterminada de algunos sistemas, que se basa en el ESSID y el BSSID. Además, tiene integradas otras funciones de escaneo de red, como descubrimiento de hosts o escaneo de puertos.

Vista principal de Dumpper
Una vez descargada y abierta la herramienta, podemos seleccionar nuestra interfaz de red y realizar un escaneo muy rápido de las redes disponibles. Esta vista principal de redes actúa únicamente como herramienta de conexión de redes.

Para la parte interesante, iremos a la pestaña Wps. En ella, podemos pulsar de nuevo Scan. Las redes aparecerán en verde si se conoce el pin genérico único de esa red; en amarillo si se conocen varios posibles pines; y en rojo si no se tienen datos. Las redes que sean vulnerables al algoritmo ComputePIN.

Vista de WPS cracking de la herramienta

Una vez descubierta una red vulnerable, ya sea mediante PIN conocido o mediante algoritmo ComputePIN, podemos pulsar en el botón WpsWin, que lanzará dicha herramienta, incluida en la descarga del proyecto Dumpper, que ejecuta el crackeo en sí. Una vez ejecutado, y si todo ha ido bien, tendremos como resultado una conexión con el punto de acceso. Una vez conectado, podemos ver entre otros datos el PIN que ha servido para la conexión WPS y la clave de cifrado de la red, datos que quedan almacenados para futuros usos. Si no se ha podido adivinar el PIN de conexión de una forma u otra, el ataque habrá fracasado.

Protección ante ataques WPS

La mejor forma de prevenir estos ataques contra tu red doméstica es deshabilitar las conexiones mediante WPS en las opciones de configuración de tu punto de acceso o router inalámbrico. Otra opción, si es que el dispositivo lo permite, es cambiar el PIN a uno diferente al predeterminado.

 Sin embargo, el protocolo WPS sigue siendo vulnerable a otros ataques, como por ejemplo fuerza bruta, que podrían comprometer de todas formas tu red. De nuevo, la mejor manera de prevenir un ataque WPS es desactivar esta funcionalidad. 


Y hasta aquí la lección de hoy, chicos. Espero que os haya gustado y os sirva para aprender. Pronto volveremos con más entrega de cracking a redes WiFi. En concreto, realizaremos pronto un recorrido por Reaver y PixieScript. 

Un saludo hackers!!

miércoles, 20 de julio de 2016

Zero Cool, Margo, Eugene en Gibson:0.2

Buenas a todos!! En esta entrada se realiza un test de intrusión a una maquina virtual vulnerable, de la página de Vulnhub
Recomiendo que si tiene interés en hacer este CTF que nos proporciona Vulnhub, no lea más esta entrada e inicie el reto de ser root y capturar la bandera!
Cualquier duda siempre puede consultar el vídeo ;)


 Atención Spoiler!!


En el veremos una vulnerabilidad de ImageMagick para la escalada de privilegios CVE-2016-3714, fallos de seguridad en el código fuente de la página HTML descubriendo un usuario y su contraseña para posteriormente realizar una conexión ssh al servidor.
Se usará John the Ripper para descifrar en texto plano los hashes del archivo /etc/shadow.
Y el kit de herramientas Sleuth Kit, muy usado para el análisis forense en los sistemas.
Veremos también una herramienta llamada cupp.py para la realización de diccionarios personalizados orientados a un objetivo en concreto. Haciéndonos una serie de preguntas o afirmaciones ya sea la fecha de nacimiento, nombres, apellidos, nick etc...
Ese diccionario donde estará la supuesta clave privada para poder descifrar con gpg el archivo protegido flag.txt, que será la meta de este CTF.


Espero que os haya servido de ayuda si os habéis quedado atrancado en el CTF. Obviamente hay diferentes caminos para poder llegar al flag.txt. Esta es una de las soluciones que propongo :)
Nos veremos muy a menudo publicando vídeos ya sea en la categoría de Pentesting en sistemas vulnerables como en Hacking con PoC's.
Cualquier inquietud o duda personal, no dudéis en consultar en mi Twitter
Un saludo, Naivenom

martes, 19 de julio de 2016

Cambiando al lado oscuro - Instalando antergos y blackarch: Parte I


Hola a todos amigos, como sabéis son pocas las veces que me paso por aquí (menos de las que a mí me gustaría) pero trataré de ser más constante en mis apariciones. Prometido.

Hoy os traigo un tutorial de cómo instalar el sistema operativo Antergos.

Página web oficial de Antergos

Antergos, que era conocida hasta hace poco como "Cinnarch" es una distribución de Linux basada en Arch Linux, se trata de una distribución rolling release (recibiremos las actualizaciones del sistema y de las aplicaciones los primeritos) y es española, de Galicia más en concreto.



Se trata de un sistema basado en Arch que da la libertad a los usuarios de elegir entre los diferentes entornos de escritorio, lo cuál es un punto muy positivo. Además de su fácil instalación a través de un instalador gráfico.

Se trata de un sistema construido sobre la base del usuario, es decir, se permite al usuario elegir al comenzar la instalación el tipo de escritorio que quieres por defecto, además de algunas herramientas y características que se pueden elegir o no (como Firefox o Libreoffice).

Antergos usando el escritorio KDE
Antergos usando el escritorio GNOME
Otra de las características que lo hacen particularmente interesante es el hecho de que utiliza el repositorio oficial de Arch Linux y AUR, junto con sus propios repositorios de software. Antergos coge algunas de las cosas más interesantes de Arch Linux y lo incorpora, además, ha sacado recientemente una versión mínima para equipos no tan potentes con una instalación un poco más compleja pero igual de fácil de realizar.

Posiblemente Antergos esté en su etapa de máximo apogeo, en mi opinión, se trata de un "puente" entre el sistema Arch Linux puro y los usuarios novatos y además invita bastante a participar en la comunidad, ya que, tras los lanzamientos de software, son pocas las horas que se tarda en recibir lo último vía repositorio oficial. Algo que se agradece. Yo, que he sido usuario del "puro", veo que muy buenos ojos el uso de Antergos y es el sistema que actualmente utilizo.

En el siguiente vídeo, os muestro una forma sencilla de tener y utilizar un sistema basado en Arch a través de esta distribución española. Lo siguiente que veremos, en la segunda parte del vídeo, será cómo instalar la famosa distribución de pentesting Blackarch encima de ella, de forma que tengamos
las herramientas típicas del pentesting en el mismo sistema operativo que usamos.


Aquí os dejo el vídeo, subido al canal de Rabbit Hutch, una nueva propuesta por parte del equipo de fwhibbit para la mejora en el aprendizaje del hacking ético, mediante pruebas de concepto y cursos gratuitos para todo aquel que esté interesado en saber más de éste mundo.




De nuevo, mil perdones por la tardanza, espero que esto no sea otro alto en el camino sino que nos podamos ver más a menudo. Ya saben, si no estoy por aquí, también pueden encontrarme en bares y por las diferentes CON's españolas.

Juan V.

Twitter: @juanvelasc0


lunes, 18 de julio de 2016

Curso Hacking Ético: Introducción

Buenas chavales!

Vamos a empezar un curso prácticamente desde 0, de Hacking Ético y Pentesting, con lo que nos podréis seguir sin necesidad de tener grandes conocimientos de informática, sólo os faltará tener, motivación y ganas de aprender las reglas de la seguridad informática.

En el vídeo de introducción, podremos ver un poco las definiciones de lo que realmente es un Hacker, que también nuestro compañero andatux nos dejó una entrada para poder leer, y es bien interesante sobre el tema. Hollywood-Hackers

Hay una pequeña sección sobre los hackers que me han inspirado para seguir éste camino, el cual no es fácil, pero con ganas y fuerza de voluntad, se aprende.

Y ya acabamos con una pequeña guía de lo que veremos en las siguientes semanas.

El próximo Viernes, habrá nuevo vídeo sobre la instalación de VirtualBox en nuestra máquina, (os adelanto que yo haré el vídeo de instalación en un entorno OS X, concretamente "El Capitán".

Para luego poder instalar nuestra distribución favorita en la rama del pentesting, que es Kali Linux.

Veremos los comandos más usuales que necesitaremos tener presente, y así romper mano con Linux.

Y más adelante, ya entraremos en materia con lo que viene siendo las redes, para entender la parte técnica de los test de penetración que haremos contra nuestras máquinas.

Espero que os guste mucho el curso, y os espero a todos!






Rubén Gutiérrez.
@rgutga.

www.cursohackingeticorabbithutch.tk

jueves, 14 de julio de 2016

GNS3 y posibles usos alternativos


Hoy venia aquí para presentaros algunos de los posibles usos de una fantástica herramienta como es GNS3.

Todos o al menos la mayoría de vosotros conoceréis este software, sobretodo aquellos mas vinculados al mundillo de las redes, por ser un buen emulador donde poder hacer pruebas de configuraciones de routers o prepararse alguna certificación de fabricante, pero cual fue mi sorpresa cuando en el pasado Mundo Hacker Day dos de los participantes del reto ISACA, en el que participaban dos de los integrantes de esta comunidad, que presentaban un proyecto sin meterme en demasiados detalles consistía en montar una honeynet emulando una típica red de una empresa con servidores, puestos de usuario, una DMZ, equipamiento de red, etc todo ello monitorizado desde fuera para poder analizar los ataques que recibían y así poder sacar sus propias conclusiones. Ellos abrieron su presentación planteando una excelente pregunta, ¿por qué usar se le conoce solo en redes cuando ofrece un amplio abanico de posibilidades para seguridad? Y sinceramente es muy sorprendente, ya que en muy pocas ocasiones se habla de estas posibilidades de uso para las SDN (redes basadas en software).

Bien, para los que no lo conozcáis, lo primero que habría que aclarar es que este software se trata de un emulador no de un simulador , como podría ser Packet Tracert. La diferencia radica en que con un simulador no puede ir mas haya de su programación, no podrás usar ciertas opciones de las cuales podrías disponer en una maquina real por el contrario, un emulador, crea un entorno en el cual cargar el sistema operativo completo que queramos usar (Windows, Linux, IOS de Cisco, Gaia de Check Point) de manera que cualquier opción que pudieras tener en el equipo real lo tendrás en la maquina emulada. Para realizar esta tarea utiliza varios componentes como Dynamips (para emular las IOS y así poder ejecutar los binarios de Cisco) o Qemu, Virtual box, Vmware o, en las ultimas versiones, contenedores Dockers (para permitir maquinas virtuales) también integra el afamado wireshark para el análisis de trafico de red o Putty como cliente de de conexión.


Otras de las características mas destacables es que se trata de un software multiplataforma y dispone de instaladores tanto para arquitecturas de 32 como de 64 bits, no importa si usáis Windows o Linux podréis usarlo, aunque por experiencias pasadas en la versión de Windows, al no disponer de Qemu, la utilización de lo que ellos llaman appliances  (sistemas virtualizados ya optimizados para cargar algunos de los softwares de fabricantes de equipos de seguridad como F5 o Check Point ) lo cual no supone un gran problema, ya que se pueden virtualizar en vmware o virtualbox sin ningún problema (hasta ahora lo he probado con Check Point sin problema).


Las posibilidades son prácticamente infinitas, y tan solo limitadas por vuestra imaginación y por la capacidad del equipo anfitrión de vuestra red, desde montar una honeynet a un entorno formativo donde los alumnos puedan probar sus habilidades de pentesting con la tranquilidad de que no van a alterar ningún sistema en producción o tal vez un laboratorio para analizar el comportamiento del malware.


Hay que resaltar que no es el único software de este tipo, existe por ejemplo unetlab, pero como por algún lado hay que empezar pues en las siguientes entradas haremos nuestra humilde aportación a la documentación existente en la red y explicaremos como instalar y configurar GNS3 para que podamos jugar.


Es totalmente gratuito y lo podéis conseguir en la pagina oficial, en la cual solo debéis registraros.


gns3 -- https://www.gns3.com/


¿A vosotros que ideas se os llevar a cabo?


Por ultimo, si  queréis contactar con los participantes del reto ISACA que hicieron la honeynet sus twitters son @junglesec y @rvargasbarranco, son dos auténticos cracks y seguro que estarán encantados de contaros mas acerca de su proyecto.


Alberto.


Google Analytics