InfoSec CTF Training: Level 13 Resolved

Dejemos los últimos dos ejercicios para la entrada final.

Screen Shot 2015-06-30 at 1.30.57 AM

Imagen: Presentacion al Nivel 13

Si tenemos que buscar algo en concreto sobre un sitio, que mejor que técnicas de Google Hacking. Para ello utilizaremos las siguientes expresiones:

  • inurl: Para que los resultados de la búsqueda contengan SI o SI la URL que le pasemos por parametro.
  • filetype: Lo negamos para indicar que no nos traiga archivos .PHP, ya que todos los niveles del sitio poseen esa extension.

Read More

InfoSec CTF Training: Level 6 & 7 Resolved

En este caso, vamos a hacer una entrada doble sobre los desafios de CTF.

Como siempre mostramos, vamos a ver la presentacion del nivel 6.

presentacion

Presentacion al Nivel 6

Vamos a proceder a la descarga del archivo PCAP. Estos archivos poseen informacion sobre comunicaciones de redes. Vamos a simplificarlo con un ejemplo.

Tenemos una red con dos computadoras, A y B. Cuando establecen una comunicacion, provocan trafico en la red. Un archivo PCAP, a grandes rasgos, posee esa informacion que se transmite.

La aplicacion mas conocida para analizar trafico de red es Wireshark, por lo que es la elegida para este desafio. Wireshark esta disponible tanto para Linux como para Windows.

Sigamos con el desafio. Una vez descargado el archivo, vamos a abrirlo con Wireshark, para obtener lo siguiente.

ws

$ wireshark sharkfin.pcap

wireshark

Archivo listo para examinarse.

A simple vista, ¿ ustedes que piensan que es lo que vamos a revisar de esos 5 topicos (Frame 1, Ethernet II, Internet Protocol Version, User Datagram Protocol y Data) ? Yo diria Data, que seguro debe tener informacion sobre los datos transmitidos 😀

Ubicados sobre este topico, vamos a hacer Click Derecho + Follow UDP Stream. Con esto se podra ver lo que se ha capturado en la comunicacion, en este caso UDP (tambien hay muchos casos donde las conexiones son TCP o SSL). Vamos a obtener lo siguiente: un codigo en hexadecimal.

hexa

La DATA importante.

Vamos a decodificarlo, yo lo hare con la siguiente herramienta online y obtenemos el resultado del sexto nivel.

res6

Resultado final.

Resultado: infosec_flagis_sniffed

Sigamos con la presentacion del siguiente nivel.

presentacion nivel 7

Presentacion confusa del nivel 7

Si se fijan, la URL de los demas niveles eran ‘levelone.php, leveltwo.php …’, y este cambio rotundamente a 404.php. Vamos a tratar de poner nosotros manualmente la URL, y la cambiaremos a /levelseven.php y no nos vamos a encontrar un mensaje de error, sino una pagina en blanco. ¿ Raro no ?

pagina blanco

Pagina en blanco, pero sin errores. Aca hay algo.

Vamos a hacer una prueba, visualizando las cabeceras que se transmitan a la hora de conectarnos contra la pagina. Para ello, voy a usar el complemento Live HTTP Headers para Firefox.

cabeceras

Viendo las cabeceras en la comunicacion, se nota un codigo base64 bastante peculiar.

Remarcado en la imagen, hay un valor algo raro, ¿ no ? Es un codigo en Base64, asi que es momento de decodificarlo con alguna herramienta Online, en mi caso la siguiente.

2015-04-19-201751_1366x768_scrot

¡ Nuevo desafio terminado !

Obteniendo asi, el resultado del 7 nivel.

Resultado: infosec_flagis_youfoundit

 

¡ Gracias por leer la entrada doble !

DynamicSec.