lunes, 22 de febrero de 2021

Tenable CTF 2021

 BROKEN QR


El siguiente desafío era del ctf tenable 2021 recuperar un codigo qr roto; 



-Utilizar un editor de imagen, puede ser paint :), para dibujar los cuadrados que faltan.



Después ir a la url siguiente; 


cargar el codigo qr y extraer la informacion qr; 

nos muestran un data blocks; 


Esos data Blocks copiarlos a esta url https://binarytotext.net/


y por ahi se ve una flag :)


martes, 20 de octubre de 2020

Explorando Tinder;

 Primero que nada toda opinión vertida en este articulo queda bajo responsabilidad del autor;


Herramientas compartidas:

Estas herramientas son para dar un paso mas a lo que se mostrara a continuación, mas asociado a la social engineering, cuidado de usar estas herramientas y ser responsables en sus actos;


https://es.fakenamegenerator.com/ - generar una identidad falsa.
*https://datafakegenerator.com/generador.php- muy parecida a la de arriba.
https://thispersondoesnotexist.com/- generar una foto rostro.
*https://generated.photos/faces-otra alternativa para generar una foto rostro.
https://randomuser.me/photos-otra con mas fotos de rostro.
*https://thiscatdoesnotexist.com/ - generar una mascota falsa, en este caso un gatito.
*http://www.dingtone.me/-generar un segundo numero telefónico móvil.
*https://www.2ndline.co/-otra alternativa para numero móvil.
*https://faceapp.com/app - para poder retocar un rostro
*https://tinder.com/@username - Buscar a un usuario en tinder

Primer capitulo el camino hacia Tinder:

Tinder red social para buscar una cita  o hacer match, a lo mucho tienes que tener un correo y un teléfono para darse de alta en esta aplicación. Ahora se viene el juego que estuve jugando, ya autentificado, tuve la sensación o el pensamiento de que podría ser demás con una cuenta normal  no pagada, por ejemplo la ubicación geográfica es pagada no puedo cambiar si estoy en chile cambio a colombia no se puede, es forma de pago, sentir eso  y por que no se puede.

 Vamos al tinder de escritorio




 buscamos en google con palabras claves por ejemplo:

-tinder location fake
-tinder location false gps




Hasta que me salió este link, bendito google; como dicen algunos no hay que inventar la rueda de nuevo; 





Segundo Capitulo dar vida a estos links:

Debemos estar en un navegador como incognito como google chrome




Como se ve en la imagen tenemos la ubicación Santiago, Chile, o sea lo que nos interesa; es cambiar la ubicación, para eso seguimos los paso de los links, el primer paso es ir y tener google chrome, no lo he probado en otros navegadores, tu haces ctrl+shift+i o vas a herramientas de desarrollador, buscas More tools/ Sensors.

ejemplo: Montevideo, latitud:-34.8269653, longitud:-56.4611284, timezone ID America/Montevideo locale:es--ES

probar tu ubicación, para ver si cambio; https://bestvpn.org/html5demos/geo/


location nos sale como defecto -no override, hacemos clic y vemos london, berlin, etc, pero ademas podemos agregar localidades, como puedes ver agrege la de Santiago, ir a google maps, agregar las latitudes y longitudes; 



Ahora el Timezone ID America/Montevideo, mas consultas aquí en esta pagina; 

http://www.world-timedate.com/timezone/timezone_info_by_country.php?country_id=221

En el Locale tuve algunos problemas por que en las peticiones que envía al servidor me decía 404 algunas veces o tuve suerte por que agregue un - mas y funciono me decía 200; como observación dejo que es-ES, funciona, pero si quieres cambiar a london no me funciono a mi. En todas las zonas que tienen un lenguaje español se puede cambiar la ubicación;





Cambiado esto debemos ir a mirar nuestro tinder y hacer clic en nuestro perfil para ver si ha cambiado nuestra ubicación:


De hecho a la primera creo que no salga así pero tienes que seguir intentando, hasta que te salgan perfiles de ese país como este; 







También, se observa que perfiles no tienen mucho miedo de compartir otras redes sociales, como tampoco sabemos si son perfiles reales como sus fotos, también se ve promociones a pymes o marcas.


Tercer Capitulo Foto real o falsa: 


Para averiguar si una foto de una red social es falsa primero deberíamos intentar bajar o encontrar la ruta de donde almacena la aplicación sus fotos, en tinder y para no asustar a las personas debo decir que sus imágenes pueden ser bajadas sin casi ningún esfuerzo anormal; esto ya se puso tenso; 

Bastaría ir al inspeccionar en google chrome para ver la ruta; como muestra la imagen; 



y bastaría ir a la dirección https://images-ssl.gotinder.com/xxxx.jpg para poder guardar en tu disco y obtener una foto del perfil de una persona xxx.





podemos ir a tineye, yandex images  y hacer reverse images; para poder saber si estamos atraídos por un perfil falso; 


como es una red social para citas ponen mucho datos personales y gustos, este perfil tenia su instagram en su descripción; 


solamente con ver el perfil nos da una sensación que le gusta ir a escalar, su instagram esta como publico, también podemos apreciar a sus seguidores y a los que sigue, sus fotos, sus posteos, sus gustos; 



Por ultimo agregar que no comparta fotos con desconocidos, como cliquear links que sean sospechosos.






jueves, 2 de julio de 2020

Técnicas de Explotación "Union" -SQLI Parte-7

Técnicas de Explotación "Union" -SQLI Parte-7






El operador UNION se utiliza en la inyecciones sqli para unir una consulta forzada, permitiendo obtener los valores de las columnas de otras tablas;

viernes, 10 de enero de 2020

Raspando Google search en Python


Ojo: Pueden que hayan mas aplicaciones  que se asemejan al de Google o quizás mejores, pueden utilizar este material como apoyo, como también puede haber software como searchdiggity mas tirado al OSINT.




El objetivo es el siguiente: hacer consultas en Google pero en Python;

Existe una librería creada en Python que se llama Google, lo pueden instalar en pip install Google, ustedes usen el IDE mas cómodo que tienen para codear, el IDE que uso es WIng IDE 6.1;

la libreria que usaremos : 


Guia practica del tema:





Ahora si queremos profundizar es cuestión de probar, por ejemplo los parámetros tbs es la herramienta de ultima hora que nos da Google en sus pagina, Tld, en que dominio de Google vamos a encontrar la consulta, Stop, en cuantas consultas vamos a parar, num la numeración de las consultas ósea cuantas consultas haremos, user-agent podemos ponerlo en None o también cambiarlo, pause tiempo de espera de cada petición, Lang podemos cambiar el lenguaje en, query la consulta que vamos a buscar en nuestro amigo Google, country podemos cambiar el país.




Pagina para cambiar el user-agent : http://www.useragentstring.com/
Ej- Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; WOW64; Trident/4.0; uZardWeb/1.0; Server_USA)


Ejemplos:






El ejemplo guarda un archivo con extension .csv para despues si quieres analizar tu busqueda;