Error 404: “Pagina no encontrada … la persona tampoco”

La propuesta es simple, sencilla y eficaz: ¿Que pasa si unimos la tecnología con las grandes ONG de personas perdidas, tal como Missing Children?

Se trata, ni más ni menos, de aprovechar el famoso “Error 404” que nos devuelve un sitio web al no encontrar la pagina. A los que no lo recuerdan, esto les refrescará un poco la memoria:

1Entonces, ¿donde está la idea? Daniel Monastersky, abogado argentino especializado en nuevas tecnologías, propone que en el país argentino se publiquen fotos y datos inclusive, de personas que hayan desaparecido cada vez que nuestro navegador nos retorne el“Error 404”.

La gran ventaja, de no solo poder ayudar a las personas que hayan desaparecido, es que podamos aprovechar esos segundos en que vemos el error para poder ver este mensaje:“Esta pagina no se pudo encontrar, tampoco este chico”.

2

Cabe destacar que este proyecto no solo servirá para búsquedas de chicos desaparecidos, sino que ante emergencias sociales-nacionales (por ejemplo, por prófugos), también quedarían plasmadas las imágenes con el “Error 404”.

La iniciativa será lanzada primero en Argentina, en el mes de Marzo. A partir de allí, se tratará de replicar seguramente a todo Latinoamérica, siempre con el objetivo de poder ayudar y colaborar desde nuestro espacio.

Fuente: SrTabo

Web Hacking CTF: Infosec Institute Level 12

Bien, algo divertido como fuerza bruta por diccionario. El mismo desafío nos recomienda hacer uso de un google dork:

filetype:lst

Eso indicara que el tipo de archivo que estemos buscando se acoten a extensiones lst (listas). Nosotros vamos a agregarle luego la palabra password, ya que lo que estamos buscando es una contraseña.

1

Excelente, ya encontramos un diccionario y vamos a romper la contraseña de administrador ahora. Para hacer esta demo, vamos a utilizar a OWASP ZAP y su gran utilidad: los fuzzers.

Read More

Web Hacking CTF: Infosec Institute Level 10

Bien, un ejercicio por lo que veo bastante difícil. Y como dice la temática de este nivel, tendremos que tocar el código fuente: Source Code Tampering.

1Nuestra tarea (la cual no salió en la foto), es de ganar el juego en dificultad extrema y con un record de wins de 9999. Debe haber alguna función en el código fuente que maneje las partidas ganadas, ¿no?. La mejor forma de saberlo, es jugando …

2

Read More

Web Hacking CTF: Infosec Institute Level 5

Nos encontramos con una pantalla que posee un botón de Login deshabilitado (inspeccionen el elemento), con el siguiente mensaje resumido:

Parece que te has encontrado con una pagina solo usuarios autenticados puedan ver. Haz magia para poder visitarla sin estar logeado.

Con este mensaje y el botón de Login ya tenemos algunas pistas, igualmente al no tener suficiente información podemos consultar las que nos provee el juego, para hacer un listado y poder atacar:

Read More

Web Hacking CTF: Infosec Institute Level 4

Nuestro nuevo desafío, es encontrar la forma de poder cargar un archivo PHP desde el directorio raíz de infosecinstitute.com.

1

Si vamos navegando por los diferentes servicios de la página (BioClientsAbout) vamos a ver que la URL recibe como parámetro cierto archivo .TXT. Por ejemplo en la sección Bio, obtenemos lo siguiente

http://ctf.infosecinstitute.com/ctf2/exercises/ex4.php?file=file1.txt

Hasta ahora, sabemos lo siguiente:

  • Existe una referencia de objetos (file=)
  • Podemos crear una referencia desde nuestro servidor remoto (infosecinstitute.com) para llamar a un archivo PHP.

Read More