martes, 30 de abril de 2019

challengeland-Steganography

unos retos de esteganografia de la pagina challengeland.co; los vamos a descomponer en el blog; el primero uno muy sencillo;

lo primero es ver es buscar la imagen en google imagenes, o tal vez visitar nuestra herramienta favorita en estos casos, tineye.com;

vamos a tineye.com, cargamos la imagen y vemos los resultados;

buscamos y bajamos cualquiera de estas tres que estan ahi;
segundo paso hay que comparar las imagenes en un editor hexadecimal, yo ocupe hexWorkshop.

ahi puedes ver la utilidad que tiene este editor para comparar archivos, mas abajo sale mas detalle; 

y pinchamos en replaced, nos guiara a la respuesta;


y walaaa reto pasado;

domingo, 28 de abril de 2019

Root-me, Directory indexing

Seguimos con los retos en root-me, de la categoria web server,
esta vez uno llamado directory_indexing; 


Primero en la pista nos da ctrl+u, que es para ver el codigo fuente de la pagina, veamos que hay..

tras probar varias maneras  y tal vez minutos viendo este codigo fuente, di con el resultado era mas simple no se por que no me di cuenta pero bueno; 





era solo ir directamente a /web-serveur/ch4/admin y buscar por lo alrededores si habia alguna password;





viernes, 26 de abril de 2019

Rootme- HTTP-POST

Seguimos con los retos de la pagina root-me (https://root-me.org), esta vez un reto llamado HTTP - POST, de seguro tendras que buscar primero que es el protocolo HTTP, en wikipedia o nuestro amigo google;


nos salen una pantalla que nos dice conoces HTTP, ahi tendras que investigar que es el protocolo HTTP; la segunda pantalla nos muestra la pagina donde nos dice Human vs machine y nos dice las reglas del juego y el score 999999 que hay que batir;

haciendo un ctrl + u  o ver el codigo fuente de esta pagina nos aparece lo siguiente;


no nos sirve de mucho el codigo fuente, solo que toma el campo llamado score y le pasa un numero random y lo multiplica por 1000001, y nos dice siempre que gano la machine; entonces la forma para solucionar esto es enviar 1000000 de puntuacion y asi ganar a la machine, eso lo hacemos con burpsuite; 





entonces interceptamos el POST con burpsuite le cambiamos y lo enviamos y walaaa, reto pasado.

PD: Protocolo HTTP buscar para pasar el reto





martes, 23 de abril de 2019

Hackthis-Forensics 1

Seguimos con los retos, este uno distinto un reto forense; nos entregan algunas pistas antes de hacer el reto;


hay que buscar un codigo, dentro del backup, lo bajamos y lo descomponemos con la herramienta ancillary beta; 


es un reto largo, hay bastante imagenes, pdfs, docs y otros, hay que ir mirando; 

hasta que llegamos a un winrar; 

lo malo que esta con contraseña, pero hoy en dia encontramos muchas herramientas que pueden romper con fuerza bruta un RAR;

esta herramienta se llama PackageCrack, rompe ZIP/RAR/7Z;


en ese rar, encontramos un archivo .wav, que nos dice conversation_dtmf;

hay que buscar decoder que lea un archivo wav con dtmf; encontre varios ;



ahora hay que buscar como es el formato del codigo para ingresar y enviar para validar el reto;



y walaaa, reto pasado.



PD: aclarar que estos retos forenses son a veces complicados, ya que tienes una multitud de imagenes, procesos, doc, rars, etc. no se frustre si no ve la solucion, siga adelante :) 

lunes, 22 de abril de 2019

Root-Me, User -agent



seguimos con los desafios, esta vez en root-me, en la pestaña web server, nos encontramos con un desafio llamado user-agent;


nos sale la siguiente pantalla, bueno hay que cambiar el user-agent, algo de mas informacion sobre user-agent;



lo cambiamos en el navegador chrome; 

refrescamos el desafio y ; 

y walaaa desafio pasado;

jueves, 18 de abril de 2019

Hackthis - metodo GET y Metodo POST

Seguimos con los desafios de la pagina Hackthis, los que mostrare son challenges intermedios de esta pagina.

Metodo GET y Metodo POST, lo primero que investige para hacer ambos challenges fue ver que eran; 



Bueno, investigando di con los resultados esperados, corrimos burpsuite; 

Metodo GET: 




Metodo POST:



y walaaa, pasamos los dos desafios





lunes, 15 de abril de 2019

Root-me, Bluetooth

vale, este reto llamado en root-me, bluetooth, nos entrega el siguiente archivo; 

lo abrimos con wireshark; para ver que hay;




veamos que es GT-57390G; 

ok el reto nos dice encadena un hash SHA-1 con el MAC ADDRESS del telefono mas el nombre del modelo, seria algo asi; 




y walaaa reto pasado;