Web Hacking CTF: Infosec Institute Level 12

Bien, algo divertido como fuerza bruta por diccionario. El mismo desafío nos recomienda hacer uso de un google dork:

filetype:lst

Eso indicara que el tipo de archivo que estemos buscando se acoten a extensiones lst (listas). Nosotros vamos a agregarle luego la palabra password, ya que lo que estamos buscando es una contraseña.

1

Excelente, ya encontramos un diccionario y vamos a romper la contraseña de administrador ahora. Para hacer esta demo, vamos a utilizar a OWASP ZAP y su gran utilidad: los fuzzers.

Read More

Jugando a ser un Hacker: primeros pasos del hacking [CTF]

Recopilación del InfoSec CTF Training con sus niveles completos:

313ee-facehack

InfoSec CTF Training: Level 14 Resolved https://0x1gab.com/2015/07/03/infosec-ctf-training-level-14-resolved/
InfoSec CTF Training: Level 13 Resolved https://0x1gab.com/2015/07/02/infosec-ctf-training-level-13-resolved/
InfoSec CTF Training: Levels 11 & 12 Resolved https://0x1gab.com/2015/07/01/infosec-ctf-training-levels-11-12-resolved/
InfoSec CTF Training: Levels 9 & 10 Resolved https://0x1gab.com/2015/06/30/infosec-ctf-training-level-9-resolved/
InfoSec CTF Training: Level 8 Resolved https://0x1gab.com/2015/06/29/infosec-ctf-training-level-8-resolved/
InfoSec CTF Training: Level 6 & 7 Resolved https://0x1gab.com/2015/04/22/infosec-ctf-training-level-6-7-resolved/
InfoSec CTF Training: Level 5 Resolved https://0x1gab.com/2015/04/18/infosec-ctf-training-level-5-resolved/
InfoSec CTF Training: Level 4 Resolved https://0x1gab.com/2015/04/17/477/
InfoSec CTF Training: Level 3 Resolved https://0x1gab.com/2015/04/05/infosec-ctf-training-level-3-resolved/
InfoSec CTF Training: Level 2 Resolved https://0x1gab.com/2015/04/03/infosec-ctf-training-level-2-resolved/
InfoSec CTF Training: Level 1 Resolved https://0x1gab.com/2015/03/29/infosec-ctf-training-level-1-resolved/
Aprendiendo sobre CTFs https://0x1gab.com/2015/03/28/infosec-ctf-training-aprendiendo-sobre-ctfs/

DynamicSec.

Web Hacking CTF: Infosec Institute Level 10

Bien, un ejercicio por lo que veo bastante difícil. Y como dice la temática de este nivel, tendremos que tocar el código fuente: Source Code Tampering.

1Nuestra tarea (la cual no salió en la foto), es de ganar el juego en dificultad extrema y con un record de wins de 9999. Debe haber alguna función en el código fuente que maneje las partidas ganadas, ¿no?. La mejor forma de saberlo, es jugando …

2

Read More

Web Hacking CTF: Infosec Institute Level 5

Nos encontramos con una pantalla que posee un botón de Login deshabilitado (inspeccionen el elemento), con el siguiente mensaje resumido:

Parece que te has encontrado con una pagina solo usuarios autenticados puedan ver. Haz magia para poder visitarla sin estar logeado.

Con este mensaje y el botón de Login ya tenemos algunas pistas, igualmente al no tener suficiente información podemos consultar las que nos provee el juego, para hacer un listado y poder atacar:

Read More

Web Hacking CTF: Infosec Institute Level 4

Nuestro nuevo desafío, es encontrar la forma de poder cargar un archivo PHP desde el directorio raíz de infosecinstitute.com.

1

Si vamos navegando por los diferentes servicios de la página (BioClientsAbout) vamos a ver que la URL recibe como parámetro cierto archivo .TXT. Por ejemplo en la sección Bio, obtenemos lo siguiente

http://ctf.infosecinstitute.com/ctf2/exercises/ex4.php?file=file1.txt

Hasta ahora, sabemos lo siguiente:

  • Existe una referencia de objetos (file=)
  • Podemos crear una referencia desde nuestro servidor remoto (infosecinstitute.com) para llamar a un archivo PHP.

Read More

Web Hacking CTF: Infosec Institute Level 1

¡ Buenas !

Me pude sacar la facultad de encima y juro que tenía muchas ganas de retomar con el blog, ESTA VEZ para no dejarlo tirado más. Antes de que finalice el año voy a contar un poco como me fue este año en lo personal y profesional, fue muy satisfactorio. Así que bueno, arranquemos con la entrada como corresponde.

En una serie de 13 desafios, vamos a realizar el CTF de Infosec (nuevamente), pero en este caso nos ofrece un hacking challenge algo (en lo personal) mas divertido: hacking web apps.

Read More