Este es un ebook que esta totalmente gratuito realizado por IAN SUTHERLAND por lo que vi cuenta con 88 paginas aproximadamente llegaria a ser facil de digerir y poder leer. Por lo que vi nos cuenta de una persona Brody Taylor que hace uso de Tecnicas de ingeneria social para lograr lo que obtiene.... me recuerda un poco a Hacker Epico, y La estancia Azul.

 
Aun no lo lei solo le di una revisada cuando viaje tendre algo que leer para pasar el tiempo. 

Regards,
Snifer
Leer Mas
Esta semana, algo loca malware por todo lado algo del FBI contra Apple, actualizaciones y mas.. no dudes en escucharlo nos vemos!! 




  

Enlace directo a Ivoox: Dame una Shell Security Week 0x04
Descarga Directa CloudUp - 1x06. Dame una Shell - Security Week 0x04
Enlace a Spreaker: 1x06 dame una shell security week 0x04
Disponible en Youtube: Dame una Shell Security Week 0x04

Gracias a @eribal por el tema que me paso! vino de perilla!

Regards,
Snifer



Leer Mas
Este lunes venimos a compartir un libro que si te gusta la seguridad informatica a nivel web debes de conocerlo o minimamente leer ya que en el se encuentra los conocimientos necesarios y optimos para todo aquel que desee mejorar sus conocimientos a nivel web, en los proximos dias compartiremos dos libros mas que son de importancia para mejorar en esta area.

  

Animense a leer, conocer las debilidades en nivel web, como atacar y del mismo modo como prevenir ataques de este tipo.
 


Regards,
Snifer
Leer Mas
Nuevamente compartimos el resumen semanal del blog con algunas entradas
Snifer@L4b's 

Lunes 21 de Marzo - Comparti un sitio en el cual tenemos unos pasos o guias para verificar el nivel de seguridad de tu sitio web desde linea de comandos

Verifica la seguridad de tu sitio web con Security Checklist

Martes 22 de Marzo - Venimos con el 3 podcast de Dame una Shell un vistado al mundo de la seguridad tienen curiosidad que hablamos escuchenla.!

1x05 Dame una Shell - Security Week 0x03

Jueves 24 de Marzo - Presentamos una nueva sección pestaña como quieran decirlo en el cual estan todos los retos del Blog por cierto ya salio la solución a Civil War!

Los retos que se realizaron y los que vendran...


Viernes 25 de Marzo - Salio la solución al reto Civil War el esteganografico que tenia como premido el libro de 0xWord.


Solución al Reto de Esteganografia Civil War


Sabado 26 de Marzo - Ayer Alvaro de Capsulas SI nos trajo la solución casi completa realizada desde Linux un gran aporte desde aquí agradecerle por animarse a realizar.

Solución casi completa del Reto Sorteo: Civil War (desde Linux)


Regards,
Snifer
Leer Mas
Hola a todos soy AlDr0id y en este post que es el primer aporte que hago al blog de @SniferL4bs os traigo cómo resolví casi completo el reto que publicó Snifer el pasado 11 de marzo.

El reto tenía como premio un libro de Informática 64 sobre Seguridad, donado por uno de los integrantes del grupo de Cápsulas SI en el que día a día aprendemos compartiendo conocimientos.



En el post dejaba un enlace para descargar una imagen en la cual se encontraba todo el reto. Como no daba ninguna información más supuse que la información estaría oculta en la misma imagen, y probé a usar Esteganografía para resolver esta primera parte del reto.

Una vez descargué la imagen la analicé con un editor hexadecimal en busca de cabeceras de archivos que no fueran las del jpg que teníamos inicialmente. Cómo no, encontré la cabecera de un bonito archivo .rar que Snifer había añadido con la técnica EOF y por tanto cambié la extensión del archivo y extraje su contenido.





Ahora contaba con una supuesta imagen .iso en la que tendría que seguir buscando. Probé a montarla pero me tiraba un error al montarla y sospeché entonces de que realmente fuera un .iso y de nuevo volví a analizar con un editor hexadecimal a ver qué encontraba. Nada más leer la primera línea vi que se trataba de nuevo de un .rar, el archivo solo había sido cambiado de extensión así que volví a cambiarla y extraje de nuevo el contenido.



Lo contenia era lo siguiente:



Ahora tenía ante mí dos imágenes. Aquí es donde más tiempo me tiré analizando, probando con detectores de técnicas EOF, LSB, y analizando de nuevo con un editor hexadecimal pero no saqué nada de ello. Entonces probé con la herramienta Steghide a ver si por casualidad me sacaba algún archivo, y afortunadamente la imagen dino.jpg me devolvió la primera flag que luego hubo que descifrar.

Para descifrar el texto que contenía la flag 1 primero lo convertí de base 64 y después revertir un cifrado César con un desplazamiento de 11 hacia adelante en el abecedario, obteniendo “Buen trabajo! Conseguiste una bandera te faltan dos…. Busca un buen diccionario, pero que no sea uno normal porque no te creas uno?”

Tras esto solo quedaba sacar el contenido de la imagen Libro.jpg, y gracias a un script en bash que me proporcionó @jdangosto y a una pista que puso Snifer por el grupo de Cápsulas SI de que usáramos la herramienta Cewl, tras un tiempo de crawling a la url del reto obtuve un diccionario con el que poder crackear la contraseña del archivo, la única pega era que el script no paraba cuando encontraba la pass válida y tampoco la almacenaba por tanto sigo sin saber cuál es pero lo importante es que saqué la flag 2.

El Script mencionado es el siguiente:





Y aquí terminó mi ruta por el reto, porque por más búsquedas que realicé en Google e incluso intenté usar la herramienta Maltego (sin éxito) no encontré la flag 3 por ninguna parte. Gracias a Snifer por dejarme redactar esta resolución y espero poder armar pronto una completa!

Un saludo



AlDr0id

Contribucion realizada por: @Al_Dr0id
Leer Mas
Como es de su conocimiento hace un par de semanas se lanzo el reto de esteganografia que tenia como premio un libro de 0xWord lastimosamente nadie lo quiso o quizas paso a mas! en esta entrada se resolvera el reto bajo Windows y en la siguiente entrada una forma de hacerlo desde Linux cabe aqui notar que esto es con el fin de indicar que el Sistema Operativo no hace al Pentester, Informatico, Usario final y como dice Eribal que no es la flecha si no el Indio que la falla. 




Como saben lo primero que tenemos en el reto es una imagen de Spiderman indicando que tiene que hacer un anuncio y booom el detontante de CivilWar ya me calmo, ando esperando en el CINE es por ello mi locura, bueno teniendo la imagen nos da a entender que puede tener que ver el reto con la araña o bien con Comics referentes a CivilWar. 


Procedemos a descargar, la imagen y lo primero que se nos ocurre es ver si cuenta con metada, por si se tiene alguna pista o algun dato que nos pueda servir. 

Para este paso en Linux tenemos herramientas que nos pueden ayudar como  fileinfo con interfaz grafica, o exiftool.

En este caso la herramienta que utilizaremos sera OSForensic una utilidad que tiene bastantes herramientas que sirven para ir jugando pero en este caso mas que todo es por las opciones que tiene para la extraccion de datos  y textos.


La funcionalidad que usaremos sera la de Viewers como ven tenemos  5 pestañas para trabajar lo que haremos es dirigirnos  a la de metadata.
En este caso lo que llama la atencion es  el encoding Process y el programa con el cual fue realizada la imagen veamos que la fecha de modificacion dice 2015. Para llegar a conocer un poco mas sobre Huffman Coding visiten el link de Wikipedia.

Ahora tambien veremos lo que lleva por las cabeceras es recomendable siempre revisar por si se tiene algo de por medio, esto lo pueden hacer con un editor hexadecimal tras ir revisando de a poco y con paciencia veran algo metido por ahi por medio de EOF.
 
Con lo visto podemos comenzar a realizar grepeos (no se si esta bien dicho) hacer uso de grep y buscar url, ficheros por extensionm todo segun la necesidad o lo que se nos ocurra para ir revisando cabe resaltar que este proceso llegaria a ser un poco de Forense y análisis esteganográfico.

Como andamos encarando el reto con ayuda de OSFORENSIC utilizaremos su Ex-String Viewer tenemos la opcion de extraer todos los textos como tambien buscar unicamente por extension, URL o todo.


Vemos que nos devuelve algunas URL, podriamos ir por ese lado revisar y ver que tiene, pero cuando le damos por extension en el filtro nos da reto.iso, dino.jpg y Libro.jpg por lo cual nos da a entender que dentro de esta imagen tiene esos 3 ficheros, lo primero que se puede venir a la mente es abrirlo con Winrar o el manejador de ficheros preferido.

Sorpresa!! lo tenemos el reto.iso esta ahi disponible, pero  ya conocemos otros 2 ficheros mas por ello abriremos el .iso despues de descomprimir y lo analizaremos. Si vemos en la cabecera nos dice que es un Rar! entonces se realizo un cambio de la extension original no es un .iso.

Una vez cambiando la extension y damos extraer tenemos los otros dos ficheros dino.jpg y Libro.jpg.

 Ahora si toca revisar las herramientas que tenemos disponibles para hacer análisis esteganografico porque en esos dos ficheros tienen algo o son solo para despistar? Podriamos usar  lsb, cambios de curvas de color y demas tecnicas para identificar pero muchas veces es necesario pensar en simple para algunos retos ademas cabe resaltar que es el primer reto de Esteganografia que se lanza en el blog.

Por ello al realizar el reto hice uso de una herramienta bastante usada la cual es Steghide lo tenemos en la distro de Pentesting favorita, y como andamos en Windows podemos usarlo!!. Entonces accedemos desde la terminal y probamos a tener suerte por si ninguno de ellos cuenta con contraseña.


Vaya sorpresa el dino.jpg si cuenta con un fichero y dice flag1.txt el otro cuenta con contraseña. Entonces procedemos a visualizar el txt que obtuvimos, al visualizarlo tenemos un texto el cual esta cifrado.

Con tan solo ver el cifrado llega a ser un Base64  por los dos ultimos == es un patrón que con el tiempo al verlo infiero que llega a ser base64 recuerdo que tiene algun cambio de por medio para determinar alguna variante.


Al realizar el DECODE obtenemos un texto el cual si esta cifrado por lo cual a simple vista llegaria a ser un CESAR o una variante les invito a que lean sobre ello en el siguiente link Cifrado por sustitución.

Entonces probado y trasteando es posible obtener el texto en claro, para ello con un servicio online o bien armando un script personal es posible obtener el texto en claro. Por cierto era Root 11.


Entonces con la pista o bandera ya tenemos por donde comenzar con la segunda imagen, para ello podriamos crear un diccionario de superheroes tomando como base la primera imagen de spiderman, otro diccionario a armar podria ser de Dinosaurio por el dino? las opciones son bastantes pero en este caso todo venia de la mano de armar un diccionario con el texto del post, quizas algo no especifico o determinado en la pista pero vamos la idea era revisar ademas en su momento lanze un tweet y comente para luego eliminarlo :).

Por lo cual yo use BurpSuite para esta tarea con el Plugin CO2, lo que hacemos es una vez ingresamos a la pagina o el sitio en este caso el post donde se lanzo el reto, una vez realizado ello interceptando la petición lo que se hace es ir al request  y click derecho enviamos a Cewel.


Ya en el tenemos una pantalla bastante parecida a la siguiente, en realidad identica. 

1. Nos dirigmos a la pestaña CeWLer.
2. Tendremos en el campo de texto Extract from la URL que enviamos previamente. 
3. En este campo determinamos la longitud mínima y máxima. 
4. El ultimo tenemos que valores omitira si se encuentra palabras repetidas, comentarios y demas para realizar un filtro adecuado. 
5. Y al final solo nos queda Extract! 
Tras guardar tendremos un diccionario como se ve a continuación.


La palabra que se encuentra marcada es la contraseña, ahoar la forma de proceder a realizar la fuerza bruta puede ser con un script automatizando la prueba o bien con una version modificada de steghide que cuenta para realizar ya este ataque. Steghide Brute Force.


El script que les muestro fue realizado por @jdangosto 


Como veran con la palabra redundancia obtenemos el segundo flag al verlo ya nos da una pista bastante grande el cual es busqueda OSINT ver como identificar. 


El objetivo era que hagan uso de Google, Maltego o cualquier utilidad que vean de importancia, la otra pista la teniamos disponible en Pastebin al mencionar repositorios publicos me referia a Github, PasteBin y demas con el fin de algo de busqueda por cierto 1 persona si logro encontrar con Maltego :).



La bandera final teniamos el siguiente mensaje.
 


Espero les haya agradado el reto y aun mas la solución queria mostrarles una manera de realizarlo en Windows, en la siguiente entrada la tenemos pero desde Linux el cual se encuentra hasta donde llego la persona que se animo a realizar el reto. 


Dudas, plumeos y lo que quieran bienvenido nos vemos en el reto de Abril que vendra otro!!

Regards,
Snifer
Leer Mas
En SniferL4bs como es de su conocimiento desde este ano comenzamos a lanzar retos de seguridad informatica con diferentes tematicas para que sea resueltos, pero si no lo sabian con anterioridad el 2013 lanzamos los viernes de Reto que no se dio continuidad por la falta de personas que participaron además de que para ese entonces, no tuve la visión o ideas para que la gente participe conforme paso el tiempo salieron nuevos y esta vez con mas incapie para que todos aprendamos y conozcamos.
 Snifer@L4b's


Por ello a partir de ahora se tendra una pagina con los retos y las personas que lo resolvieron como tambien la referencia de la solucion que fue posteada en el blog, y el que lo resuelva si lo hizo en su blog o simplemente mando el solucionario lo tendran para descargar, cabe resaltar que del reto de Pentesting con Kali el Desafio se tiene y debe de agregar a los que lo resolvieron, estare en los proximos dias agregando como tambien la respuesta que realizo una persona al reto el paso a paso, cabe mencionar que el viernes daremos a conocer la solucion al reto de Esteganografia que tenemos como premio un Libro de 0xWORD. 

Espero les guste los retos y proyecto del blog, nos vemos mañana. 

Regards,
Snifer
Leer Mas
Otro podcast resumen de seguridad de la semana tenemos nuevos temas la privacidad en la red, herramientas, pwn20wn, vulnerabilidades en Github y mas, espero les guste el formato y tengan un buen martes.





Enlace directo a Ivoox: Dame una Shell Security Week 0x2
Descarga Directa CloudUp - 1x05. Dame una Shell - Security Week 0x2
Disponible en Youtube: Dame una Shell Security Week 0x03

Gracias a @eribal por el tema que me paso! vino de perilla!

Regards,
Snifer
Leer Mas
Hoy lunes venimos a compartir un Checklist de seguridad de entornos web quizas es algo tonto el post y lo admito pero vamos estamos iniciando la semana y anda medio floja, pero enserio si ven lo que tiene la pagina nos da un buen vistazo de pasos a verificar la seguridad y lo mas interesante todo desde la terminal haciendo uso de CURL, y totalmente utilidades desde la shell.

Sitio web: SecurityChecklist

Regards,
Snifer
Leer Mas
Tenemos una semana menos floja que las anteriores pero aun asi vamos retomando el ritmo del blog.
Snifer@L4b's 

Lunes 14 de Marzo - El lunes compartimos el segundo Security Week donde vemos algo del mundo de la seguridad de la semana una pasada rapida pero elegante ;) mañana sale el 3 donde veremos nmap, drownatack, un poco de Snowden, Protonmail y más. 

1X03. Dame una Shell Security Week 0x02

Martes 15 de Marzo - Comparti un analisis de VPNs que  me parecio interesante.Veanlo!!

That One Privacy Guy's VPN Comparison Chart

Miercoles 16 de Marzo - Una nueva entrada de Hacking 101 donde explico a mi manera valga el termino, sobre como identificar un hash y como llegar a obtenerlo en texto claro gracias a la exposición en internet todo esto desde Kali o bien con herramientas online. 

Hacking 101 - Identificando Hashes y buscando en la red en texto claro


Jueves 17 de Marzo - Claor nos presenta un reto de HACKING para atacar una maquina vulnerable, la verdad aun no lo vi, ando esperando tener algo de tiempo para meter mano en el y trabajar.

Reto Desafio 3: VM CTF PwnLAB Boot2Root

El reto desafio, que hasta la fecha de hoy 20 de Marzo aun no tenemos in vencedor ganador recibira un libro de 0xword hasta la fecha de esta entrada hoy domingo nadie lo resolvio que esperas te animas?

Reto Sorteo: Microsoft Sharepoint 2010 Seguridad de 0xword


Sabado 19 de Marzo - Ayer compartimos un Podcast de Certificaciones por un momento que me moleste en semana con una certificación, visiten el post y me dicen que tal el podcast el primero heee. 

1X04. Dame una Shell - Certificaciones Opinión!


Regards,
Snifer
Leer Mas