En esta primera prueba se nos da un fichero de logs (Nikto) no muy largo con lo cual muy rápido de analizar. Entre las líneas del mismo podemos ver esto:
...
+ OSVDB-3092: GET /test.txt : This might be interesting...
+ OSVDB-3092: GET /phpmyadmin/ : phpMyAdmin is for managing MySQL databases, and should be protected or limited to authorized hosts.
+ OSVDB-3268: GET /challenge/logically_insane/ : Directory indexing is enabled: /challenge/logically_insane/
+ OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons
+ OSVDB-3268: GET /images/ : Directory indexing is enabled: /images
...
/challenge/logically_insane/ me llamó la atención. Según el escáner ese directorio tiene habilitado la función de listar. Pues accedamos al mismo:
Como vemos tenemos 2 ficheros, el primero de ellos, test.txt no nos lleva a ningún lado, nos manda a la página de inicio y el segundo, askmelater.asp, nos muestra:
Tampoco nos dice demasiado, aunque nos da una pequeña pista, que hagamos la pregunta apropiada. Echemos un vistazo al código de la página:
Vemos en el comentario que la página acepta un parámetro, question ¿Y si le preguntamos por el flag?
Menudo título he buscado, pero cuando acabes de leer esta Microhistoria lo entenderás.
El 30 de Octubre de 1995, día de Halloween, en las oficinas de Microsoft se estaba celebrando una fiesta que aparentemente, era normal. Cerveza, barbacoa y algunos efectos especiales como un volcán y una lona de circo eran el escenario del maestro de ceremonias, nada más y nada menos que Jay Leno. Todo parecía normal, sin mucho jaleo se estaba presentando la nueva tecnología gráfica Directx y el nuevo Microsoft Windows 95. El mítico juego Doom serviría de ejemplo para mostrar las maravillas de este nuevo entorno gráfico.
Pero queridos amigos, la verdadera fiesta, el fiestón, estaba en el garaje.
Convertido con un decorado de una mansión encantada, los mejores jugadores de deathmatch estaban luchando rodeados de pantallas gigantes mostrando toda la acción en tiempo real. La gente disfrazada de zombies, vampiros y todo tipo de seres del ultramundo, les rodeaba gritando y animando como locos. Vestido de Satán estaba Alex St. John (creador de DirectX) y de Papa estaba disfrazado Mike Wilson, preguntándose cómo reaccionaría la prensa o incluso el mismo Microsoft, a este loco evento alternativo a la fiesta oficial. ¿Por qué?, pues muy sencillo, la fiesta se estaba escapando de las manos para lo que una presentación de un producto “serio” tendría que ser. Vamos a ver un poco cómo fue este fiestón.
Los chicos de id software habían contratado a una banda de rock/punk/metal llamada “Gwar” que suelen disfrazarse para sus conciertos se personajes de películas de Ciencia Ficción y de Terror (además de arrojar líquido a los espectadores que simulan diferentes fluidos). El escenario era una vagina gigante con consoladores haciendo de dientes y la cabeza de O.J. Simpson colocada en la parte superior del escenario. Cuando el público asistente pasaba a través de la vagina, dos de los integrantes de Gwar disfrazados con pieles simulando carne cruda, los atacaban usando como arma, penes de goma.
Aquí tenéis un vídeo en directo del grupo para que os hagáis una idea:
Imaginaros la cara de los ejecutivos de Microsoft que se les ocurría ir a la fiesta alternativa. Estaban totalmente congelados por la impresión, pero la mayoría se reía aunque finalmente llamaron a los guardias de seguridad para que la banda dejara de hacer su estrambótico espectáculo (esto ocurrió cuando empezaron a tocar sus canciones empezando por una que se llamaba “Los dioses del miedo”). Literalmente, desconectaron el cable de sonido.
Pero justo en ese momento, las luces se apagaron y un video comenzó a proyectarse. Aún quedaba una sorpresa más.
En el video aparecía una partida típica de Doom. Los pasillos llenos de monstruos y el protagonista disparando con la escopeta. Pero de repente, la acción se para, desaparece la escopeta y aparece una figura de espaldas, andando por los pasillos, con una chaqueta larga y una escopeta de cartuchos en la mano.
Esa figura era, queridos amigos, el mismísimo Bill Gates.
De repente se para y comienza a hablar de las maravillas de Windows 95 como plataforma de juegos que ofrecerá experiencias multimedia como Doom. A mitad del discurso, justo en el minuto 1:50 del video que os he puesto en el post, aparece un soldado mutante enemigo pidiendo un autógrafo a Bill. La respuesta de Bill es pegarle un tiro con su escopeta y decir “No me interrumpas mientras hablo”.
Épico, aquí tienes el video:
Y al final, aparece el logo de Microsoft con una frase debajo que dice “¿A quién quieres ejecutar hoy? (cambiando la famosa frase de Microsoft “Where do you want to go today?”).
Alex, ya se veía despedido. Después de esto seguro que iba a la calle. Dejar en manos de los chicos de id la fiesta era un poco arriesgado. Al final se libró pero la cinta con todo esto la requisó Microsoft. En aquella época no había teléfonos móviles con cámara, una pena.
Desde aquí, animamos a alguien de Microsoft para que algún día, saque a la luz este fiestón que se montaron en sus oficinas.
Hemos leido en la web SawSquareNoise este genial artículo donde nos hablan de Free Music Archive, un portal web donde puedes encontrar todo tipo de contenido musical libre.
Su principal misión es proveer de contenido musical libre para cualquier uso (menos comercial), por ejemplo para podcast o cualquier otro contenido multimedia.
Pero mejor le echáis un vistazo al artículo original, está en castellano y obtendrás más información.
La semana pasada Nullcon abrió un CTF para todos los públicos Y como el lunes pasado fue fiesta para mi, pues me lie a jugar y todavía estoy enganchado por las noches ¿Qué estará pensando mi mujer esta vez?
Los retos están divididos en 7 categorías:
Trivia
Crypto
Programming
Web
Reverse Engineering
Log analysis
Forensics
Cada categoría tiene 5 niveles y tienes que pasar cada nivel para acceder al siguiente.
Ya hay varios que han pasado todas las pruebas, pero la web todavía sigue abierta y se puede seguir jugando. Así que iré escribiendo la solución a las pruebas que voy pasando.
Voy a empezar por las más fáciles, de hecho pongo las 5 pruebas en una misma entrada porque hay poco que explicar. Todo lo que use fue Google y en los 2 ó 3 primeros resultados estaba el link a la información que buscaba.
Aquí os dejo las preguntas y las respuestas:
Trivia 1
This operating system also refers to a 1982 science fiction film, a board game, and a song off the Prodigy B-Side “What Evil Lurks”
Flag: android
Trivia 2
This fictional IPv4 packet header field was proposed in RFC 3514 as a means for identifying packets with malicious intent.
Flag: evil
Trivia 3
This humorous RFC of the Internet Engineering Task Force describes a communication and control protocol suite designed for allowing infinite numbers of monkeys with infinite numbers of typewriters to produce the entire works of William Shakespeare.
Flag: 2795
Trivia 4
Metasploit was originally coded for what purpose?
Flag: Network security game
Trivia 5
Released on April 1st 2003, this esoteric programming language uses spaces, tabs and linefeeds to compose commands.
Flag: Whitespace
Para el resto de las pruebas iré escribiendo una entrada para cada una.
Y como el lunes pasado fue fiesta para mi, pues me lie a jugar y todavía estoy enganchado por las noches ¿Qué estará pensando mi mujer esta vez? 
