InfoSec CTF Training: Level 13 Resolved

Dejemos los últimos dos ejercicios para la entrada final.

Screen Shot 2015-06-30 at 1.30.57 AM

Imagen: Presentacion al Nivel 13

Si tenemos que buscar algo en concreto sobre un sitio, que mejor que técnicas de Google Hacking. Para ello utilizaremos las siguientes expresiones:

  • inurl: Para que los resultados de la búsqueda contengan SI o SI la URL que le pasemos por parametro.
  • filetype: Lo negamos para indicar que no nos traiga archivos .PHP, ya que todos los niveles del sitio poseen esa extension.

Screen Shot 2015-06-30 at 1.31.47 AM

Imagen: Google Hacking

Si vemos, el segundo resultado indica una especie de version vieja (OLD) del Nivel 13, por lo que vamos a ella. Se descargara el archivo y lo que vamos a hacer, es abrirlo con algun navegador (ya que contiene codigo HTML).

Screen Shot 2015-06-29 at 6.44.18 PM

Imagen: Inspeccion del elemento

Lo que se ve en la imagen puede ser algo confuso pero voy a tratar de explicarlo lo mejor posible.

Como se puede ver en el final de la imagen, se puede descargar un archivo (dandole al boton YES). Para saber desde donde lo descargara, seleccionamos el boton e inspeccionamos en elemento (click derecho -> inspeccionar elemento). Como se puede ver, se llama al archivo IMADECOY ubicado en el directorio /misc/. En ejercicios anteriores (por ejemplo el del audio, nivel 10), el audio se encontraba alojado en http://ctf.infosec.com/misc/, por lo que siguiendo la logica, el archivo IMADECOY se encontrara alli. Para descargarlo, vamos al enlace: http://ctf.infosecinstitute.com/misc/imadecoy

Una vez descargado, necesitamos saber contra que tipo de archivo debemos enfrentarnos. Para eso, podemos correr en UNIX el comando file y le pasamos como parametro nuestro archivo, en este caso, imadecoy:

Screen Shot 2015-06-30 at 1.02.13 AM

Imagen: Conociendo el tipo de archivo que es imadecoy

Vemos que el archivo tiene captura de trafico de red, por lo que vamos a abrirlo con Wireshark.

Screen Shot 2015-06-30 at 1.24.11 AM

Imagen: TCPDump leida desde Wireshark

Si ordenamos la información por el protocolo, podemos notar que se manipulan varios archivos. Para ver en concreto (de forma local) estos archivos, podemos exportarlos a nuestra computadora y ver de que se tratan. ¿Como? Muy facil: desde el panel File, vamos a Export Objects y luego seleccionamos el protocolo donde vimos la manipulacion, en nuestro caso HTTP. Solo basta con seleccionar uno y darle a Guardar Como:

Screen Shot 2015-06-30 at 1.25.16 AM

Imagen: Objetos a tratar

Ahora es necesario abrir los archivos para ver si hay algo de información. Para reducir los tiempos, voy a abrir el archivo HoneyPY.PNG para poder ver lo siguiente:

Screen Shot 2015-06-30 at 1.27.52 AM

Imagen: Desafio terminado

Resultado: infosec_flagis_morepackets

Tan solo 2 ejercicios mas.

¡ Gracias por leer !

DynamicSec.

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s