CTF #nullcon 2012: Análisis de logs 1

En esta primera prueba se nos da un fichero de logs (Nikto) no muy largo con lo cual muy rápido de analizar. Entre las líneas del mismo podemos ver esto: ... + OSVDB-3092: GET /test.txt : This might be interesting... + OSVDB-3092: GET /phpmyadmin/ : phpMyAdmin is for managing MySQL databases, and should be protected or limited to authorized hosts. + OSVDB-3268: GET /challenge/logically_insane/ : Directory indexing is enabled: /challenge/logically_insane/ + OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons + OSVDB-3268: GET /images/ : Directory indexing is enabled: /images .
Leer más

Soluciones oficiales del #wgsbd2

En Security By Default por fin han publicado las soluciones oficiales del segundo wargame que llevaron a cabo en la Campus Party de Valencia. Los solucionarios de los ganadores (PDF): nu11 w3b0n3s kifo Y aunque el grupo Activalink no está entre los ganadores, ya que sólo los tres primeros tenían premios, también fueron capaz de resolver todas las pruebas. En la entrada original también recogen soluciones a algunas de las pruebas por otros participantes, así algunas gráficas con datos estadísticos.
Leer más

Solución al reto zeropwn #wgsbd2

Esta prueba, como parecía de las difíciles no la intenté hasta que vi que pusieron una pista :). Y vaya pista, el código fuente del programa que actuaba de servidor y un fichero de texto con muuuuuchas palabras. El típico fichero diccionario de claves. Lo que teníamos era un servicio escuchando por el puerto 8008 en wargame.securitybydefault.com. Cuando nos conectábamos a dicho puerto recibíamos algo como: DIGEST-MD5bm9uY2U9IjEzMTExMzA1NzAiLHFvcD0iYXV0aCIsY2hhcnNldD11dGYtOCxh bGdvcml0aG09bWQ1LXNlc3M= El servidor nos está mandando algo codificado en Base64.
Leer más

Solución al reto keyconsole #wgsbd2

Este fue el primero que resolví creo. En este caso nos encontramos con un binario que al ejecutarlo nos dice: ./tmp_key [-] Checking if your environment is compatible, please wait ... [-] Your software isn't original, please buy an original copy. A ver que nos dice strings: strings tmp_key ... /tmp/%i_privatekey_%i [-] Checking if your environment is compatible, please wait ... /dev/random %i%i%i%i%i ... Parece que busca un fichero en /tmp/X_private_X, donde las Xs son variables y un poco más abajo vemos el uso de /dev/random.
Leer más

Resolviendo los retos hacking de la NoConName por Security By Default (1)

No pudimos asistir a la NoConName (para la próxima) pero nuestros amigos de Security By Default nos explican en estos geniales tutoriales cómo resolver cada uno de ellos (en este post nos ofrecen la solución para el primero). Por si quieres intentarlo antes, aquí tienes el PDF con el Reto Forense con las siguientes pistas: PISTAS: • Existen, al menos, 4 hallazgos interesantes. • ¿Cual es el título de la película?
Leer más

reversinglabs summer challenge

La web de reversinglabs publicó un pequeño reto la semana pasado, que dado un archivo .zip había que encontrar la clave. Era jueves por la noche cuando lo vi. Estaba cenando y me dije, vamos a intentarlo. El reto terminaba el domingo y la solución la harían pública el lunes.O sea, tenía un par de ratos el fin de semana. Ya hacía mucho tiempo que no participaba en ningún reto de este tipo.
Leer más

Solución al reto t2'09

Este año el reto t2'09 consistía en analizar un fichero que contenía una captura de red y a partir de ahí dependiendo de tus habilidades tendrás que encontrar la solución al reto. El reto ya terminó, pero ahora han publicado la solución de los organizadores y la del ganador de este año, ambos en PDF. Siempre me ha gustado leer las soluciones a este tipo retos. En realidad cualquier tipo de reto que se relacione con la programación o la seguridad.
Leer más

Proyecto Euler

El Proyecto Euler es una recopilación de problemas matemáticos y de programación, aunque en muchas ocasiones no necesitarás aplicar conocimientos matemáticos para resolver los problemas, pero si quieres llegar a una solución óptima y elegante sí que necesitaras de una buena base matemática. El proyecto está enfocado para aquellos que tengan ganas de aprender. Los problemas tienen distintos tipos de dificultad. En listado de los problemas, podrás ver cuanta gente a logrado solucionarlo, por regla de tres, cuanta más gente haya solucionado un problema, más fácil se supone que será su solución.
Leer más