• Facebook
• Twitter
• Reddit
• LinkedIn

En la quinta y última prueba de esta categoría nos encontramos con:

Do You Have What IT Takes to Break into the World’s Most Secure Login System?

El sistema más seguro del Login del mundo. Cuando vamos a la página de Login nos encontramos con:

Y aunque en esta prueba no nos dan ninguna pista en el código de la página, si que nos la dan en el nombre de la “empresa” que creó esta pantalla de Login: MERASEQUEL. Automáticamente asumí de que se trataba de una inyección de SQL.

Después de ponerme a meter basura como un loco, la página detecta y evita los espacios en blanco y la igualdad (=). A mi me dio el flag introduciendo en username: ’!=‘1’– y en el password: ’!=‘1

Luego por curiosidad hice otras pruebas y cosas como: ’<>‘1 también se las tragaba. Al final nuestro flag era: 47c1b025fa18ea96c33fbb6718688c0f

• Facebook
• Twitter
• Reddit
• LinkedIn

En esta prueba hice el primo por un buen rato. La pregunta que nos hacían:

Can You Get Me all the Data?

Y nos daban un par de enlaces 2007 (http://www.nullcon.net//challenge/wlevel-4-data.asp?input=2007) y 2002 (http://www.nullcon.net//challenge/wlevel-4-data.asp?input=2002).

Si pulsamos sobre el 2007 nos aparece:

DR. A.P.J. Abdul Kalam 25 July 2002 TO 25 July 2007

Volvemos atrás y pulsamos sobre 2002

Shri K. R. Narayanan 25 July 1997 TO 25 July 2002

Vemos que cada texto tiene un fecha inicial y una final. Jugando con el año y el parámetro input me doy cuenta que si metemos el parámetro a mano no vamos a ningún lado, incluso 2002 ó 2007. Típico caso del campo Referer de la cabecera. Pues como decía al principio me llevé haciendo el primo un rato, jugando con Burp y el dichoso parámetro hasta llegar a un callejón sin salida, sin flag y sin sus…

Era tarde y antes de irme a dormir, me dio por meter una “’” (comilla simple) y me aparecía un error en la pantalla: Query Failed

Ok, esto tiene mejor pinta. Parece que tenemos una inyección xpath. Y efectivamente haciendo esta llamada:

www.nullcon.net//challenge/wlevel-4-data.asp?input=' or count(//user/child::node()) or ''='

Nos aparecía en la pantalla:

DR. A.P.J. Abdul Kalam 25 July 2002 TO 25 July 2007
Shri K. R. Narayanan 25 July 1997 TO 25 July 2002
Dr Shankar Dayal Sharma 25 July 1992 TO 25 July 1997
Shri R Venkataraman 25 July 1987 TO 25 July 1992
Giani Zail Singh 25 July 1982 TO 25 July 1987
SHRI NEELAM SANJIVA REDDY 25 July 1977 TO 25 July 1982
Dr. Fakhruddin Ali Ahmed 24 August 1974 TO 11 February 1977
Shri Varahagiri Venkata Giri 24 August 1969 TO 24 August 1974 and 3 May 1969 TO 20 July 1969
Dr. Zakir Husain 13 May 1967 TO 3 May 1969
Dr. Sarvapalli Radhakrishnan 13 May 1962 TO 13 May 1967
Dr. Rajendra Prasad 26 January 1950 TO 13 May 1962

Todos los datos que anteriormente había sacado haciendo el lila. Y después de varios intentos más y no conseguir nada más que esos mismos datos, pensé que a lo mejor el flag estaba a un nivel superior y efectivamente con esta llamada:

http://www.nullcon.net//challenge/wlevel-4-data.asp?input=2002%27]/parent::node%28%29[%271

La página nos mostraba:

DR. A.P.J. Abdul Kalam 25 July 2002 TO 25 July 2007 Shri K. R. Narayanan 25 July 1997 TO 25 July 2002 Dr Shankar Dayal Sharma 25 July 1992 TO 25 July 1997 Shri R Venkataraman 25 July 1987 TO 25 July 1992 Giani Zail Singh 25 July 1982 TO 25 July 1987 SHRI NEELAM SANJIVA REDDY 25 July 1977 TO 25 July 1982 Dr. Fakhruddin Ali Ahmed 24 August 1974 TO 11 February 1977 Shri Varahagiri Venkata Giri 24 August 1969 TO 24 August 1974 and 3 May 1969 TO 20 July 1969 Dr. Zakir Husain 13 May 1967 TO 3 May 1969 Dr. Sarvapalli Radhakrishnan 13 May 1962 TO 13 May 1967 Dr. Rajendra Prasad 26 January 1950 TO 13 May 1962 Web Level 4 myworthinessisallmydoubthismeritallmyfearcontrastingwhichmyqualitydoeshoweverappear

Nuestro flag era: myworthinessisallmydoubthismeritallmyfearcontrastingwhichmyqualitydoeshoweverappear

• Facebook
• Twitter
• Reddit
• LinkedIn

Me lo entregó en mano el Maligno el jueves pasado y ya me lo leído enterito, aunque este es uno de esos libros que no puedes leer una sola vez (hay demasiada  información que asimilar en una sola lectura).

Cuando vimos a Mikel Gastesi y Dani Creus (de S21sec) en su charla en el pasado Asegúr@IT Camp (aquí puedes ver las diapositivas) ya teníamos fichado el libro "Fraude online. Abierto 24 horas". La charla nos abrió los ojos y nos "acojonó" un poco a medida que iban explicando la infraestructura global que existe alrededor del malware y sus herramientas. Eso sin hablar de lo sencillo que resulta alquilar servicios, para entre otras cosas, realizar ataques DoS a diestro y siniestro por una mísera cantidad de dinero o del tremendo negocio que existe con las tarjetas de créditos y como fluyen esos números por todas las cuentas de todas las mafias detrás del malware o el fraude online.

Pues el libro nos amplía esa genial charla y nos hace ver la tremenda guerra que se libra por los rincones de Internet y la cantidad de intereses económicos que la rodean (aquí puedes descargar el índice para ir haciendo boca).

Desde los roles técnicos y comerciales de las empresas de malware hasta el análisis de las herramientas (explicando cómo se crean) que se utilizan para cometer estos delitos, todo está explicado en el libro. Tengo que destacar el análisis del "Carding" (en el capítulo cuarto), donde se explica con todo detalles como funciona una tarjeta de crédito y todo el material que se utiliza para clonarlas y fabricarlas, o el capítulo 5 donde se explica a fondo la creación de malware orientado al fraude. Para rematar, al final hay una historia ficticia (pero muy "real") de un caso de campaña de fraude, genial.

Si te dedicas a temas de seguridad, o incluso si sólo quieres saber un poco más sobre la (in)seguridad de Internet (y ver la realidad que nos rodea y de esa forma, al menos intentar protegerte), este libro es imprescindible.

Podéis conseguirlo en la web de Informatica64 por 20€ + gastos de envío.

Felicidades a los autores (que tuvimos el gusto de conocer y pasar una divertida noche tomando unas copillas) por el libro, he disfrutado cada página, os lo aseguro (eso sí, mi nivel de "paranoia" con la seguridad en Internet ha aumentado bastante, ahora estoy en Defcon 2 por vuestra culpa ;) ).

PD: No te olvides también echar un vistazo a los otros libros de la colección de Informatica64, aquí.