Hola de nuevo. En esta entrada os traigo la resolución del reto Who Is Mr Robot de este blog. Muy a mi pesar no he conseguido terminarla del todo, me quedé justo en el último paso al igual que mucha gente que ha intentado este reto.



El reto lo podéis encontrar aquí por si queréis intentarlo antes de leer la resolución.

Para comenzar, se nos presentan dos mensajes:

Mensaje 1
Gv xjiomvnzñv kvmv jwozizm zg ozsoj zi xgvmj zn: ZqdgXjmk

Mensaje 2
xzvpocj tp iwxdfv  n pv lttstrmjv og ai gswwe, no tdrozlusñr tw rpzkgdgvjjzv!


El primero está cifrado con Cifrado César, y para obtenerlo habría que aplicar o bien un desplazamiento hacia adelante de 5 o un desplazamiento hacia atrás de 21. Obtenemos “La contraseña para obtener el texto en claro es: EvilCorp”. El siguiente mensaje está cifrado con Cifrado Vigenère, y como hemos obtenido anteriormente, la clave es “EvilCorp”. Obtenemos “tenemos el nombre  y la direccion de mr robot, la contraseña es whoismrrobot!”

Justo debajo de esos mensajes tenemos un enlace para descargar un .rar con contraseña, lo abrimos con la contraseña obtenida anteriormente “whoismrrobot!” y nos encontramos dos archivos. Uno de ellos no tiene extensión, así que lo abrimos con un editor hexadecimal y observamos que se trata de un .rar por su cabecera.


Extraemos y observamos que obtenemos un archivo pero además nos muestra un error. Volvemos de nuevo al editor hexadecimal y observamos que hay un archivo que no se ha extraído.



Buscamos 30 bytes antes del nombre del archivo y vemos que el byte de cabecera de dicho archivo (que debería tener un valor de 0x74) tiene el valor 0x00. Lo cambiamos por el valor 0x74 y extraemos de nuevo obteniendo ya dos archivos: un .exe y un .png. El .png no se ve por tanto volvemos a analizarlo con el editor hexadecimal y observamos que se trata realmente de un .jpeg. Cambiamos la extensión y lo abrimos, y podemos observar en la parte inferior derecha que hay parte de la imagen con ruido.


Usamos el comando “strings” y le pasamos la imagen, y vemos que al final del todo aparece un mensaje un tanto extraño “Pass:ot”.

Nos vamos al otro archivo que dice ser un .exe pero ya por costumbre directamente usamos “strings” para ver si hay algún mensaje oculto, y efectivamente observamos casi al principio “Password:Elliot”. Dejamos de lado estos archivos pero teniendo en cuenta las dos contraseñas obtenidas.

Pasamos ahora al otro archivo .p7z que hemos obtenido al principio y lo extraemos, obteniendo un archivo .wav. Lo primero que se me ocurrió al ver ese archivo fue usar Deepsound, ya que el reto tiene como fuente la serie Mr Robot, y esta es una herramienta que se usa en ella para ocultar archivos en audio. Intentamos obtener algo con la primera contraseña obtenida “ot” pero no obtenemos nada, pero por el contrario con la segunda “Elliot” obtenemos un .txt con un mensaje, aparentemente en base64.

 

Hasta aquí llegué yo, y tras muchos intentos de descifrar el mensaje con la contraseña “ot” anterior (que finalmente no servía para nada), usar cifrado César, separar mayúsculas y minúsculas y volver a probar lo anterior con ambas partes… No fui capaz de obtener nada de dicho mensaje. Finalmente Snifer me dijo cómo se terminaba el reto, y aquí os lo dejo. Para obtener el texto en claro del mensaje había que emplear la herramienta stegb64 elaborada por Hecky, que oculta texto en una cadena que aparenta estar en base64. Empleamos entonces la herramienta, y obtenemos finalmente el mensaje de final del reto: “MrRobotEresTuEvilCorpYaLoSabe”.


Podéis dejar si queréis en comentarios hasta dónde llegásteis del reto, o cualquier duda sobre la resolución.

Un saludo y hasta la próxima.

AlDr0id
Leer Mas
 Hey hoy martes y como se esta haciendo costumbre en el blog andamos iniciando la semana y esta oportunidad vengo a compartir una solucion realizada por @met3or el cual en su blog  realizo el reto de PwnLAB Boot2Root que fue realizado por @Cla0r desde el grupo de Capsulas SI les dejo con la solución y felicitar por el resultado y el paso a paso realizado. 
 
 
Buenas lectores, hace unos días estaba aburrido acababa de leerme el último apartado de un PDF y no tenia nada que hacer, de pronto me dieron ganas de completar algún reto, así que me dirigí a la página de Snifer (Retos SniferL4bs), donde sabía que iba a encontrar un divertido e interactivo reto, después de unos minutos navegando por la página me encontré con el CTF PwnLAB Boot2Root en el cuál se requeria la descarga de una maquina virtual para posteriormente conseguir privilegios root y así finalmente conseguir el ansiado "flag.txt". Sin más preámbulos comenzaré a describir como conseguí llegar a dicho archivo.
Primero de todo reconocimiento, tenia que saber a que me estaba enfrentando, así que escanee toda mi red en busca de hosts vivos.
Mi primer pensamiento fue que en el CTF tendriamos que jugar con la base de datos MySQL, por otra parte se me ocurrió que si el servicio rpcbind tenia el servicio NFS activo podriamos explotar dicha configuración, seguido hice un rpcinfo y no mostró ningún efecto de lo que buscaba. Por último accedí a la página por browser, seguidamente le pasé un Nikto, y me devolvió algo interesante.. :)
Ahora sabia cual era el principal objetivo, leer el archivo "/config.php" el cuál mostraria las credenciales de la base de datos. Después de un tiempo navegando por la página me dí cuenta que cuando intentaba lanzar algún tipo de string vía url a la variable "?page=" me mostraba la pagina en blanco, así que deduje que algo me estaba escondiendo Snifer xD, así que solo tendríamos que buscar alguna manera el tipo de filtro que tenia activo, buscando por google encontré este Wrapper  

example1.php?page=php://filter/convert.base64-encode/resource=
Lo que hacia era encodear el output del source del archivo PHP, lo único que tendríamos que hacer luego seria decodearlo.
Bingo!! Encontramos las credenciales de la bases de datos ahora podriamos proceder a conectarnos mediante la terminal.


Ahora a probar a entrar en el login de la página, al acceder al login solo nos quedaba un objetivo para poder llegar a tener una sesión en la máquina subir una shell mediante el "Upload" que teniamos con acceso restringido solo a los usuarios logeados, lo primero que hice fue insertar código de una shell en una imagen mediante la herramienta msfvenom



De esta forma logré bypassear el uploader y subir la shell, aquí estaba el primer dilema solamente accediendo a la url no podiamos obtener una sesión meterpreter ya que el directorio no ejecutaba codigo PHP, después de buscar entre directorios con el filtro en php que usamos antes para sacar el config.php me di cuenta de una función en index.php

<?php “include/”.include($_GET['filename'].“.php”); ?>
 Comparando el código extraido de index.php  con un LFI, vemos que sí la cookie esta puesta, da paso a un source code vulnerable a otro LFI medainte la variable lang, eso quiere decir que si capturamos cabeceras y seteamos detrás de la cookie la variable ·"lang=" seguido del directorio que queremos ver, podria llegar a ejecutar código PHP y entonces podriamos llegar a obtener nuestra ansiada shell con el host



Ya tenemos sesión meterpreter ahora toca llegar escalar privilegios para tener root y así poder obtener la flag, lo primero sera hacer su a las cuentas para conocer a cuál podemos entrar y a cuál no utilizaremos el siguiente script en python para obtener una TTY porque con una conexión reversa de meterpreter no nos deja hacer uso de la funcionalidad (su).

python -c ‘import pty; pty.spawn(“/bin/sh”)’
 
 
  
En resumen, lo que hice es hacer uso del script en python para acceder a una terminal, accedí al usuario kane con la contraseña de la base de datos MySQL,básicamente porque en los demás usuarios no habia nada interesante, luego liste todos los archivos con sus respectivos permisos en este caso contaba con el bit SUID activo así que cualquiera que lo ejecute iba a tener los mismos permisos de quien lo creó, al intentar ejecutarlo me devolvió una ruta la cual es ejecutada por "cat"

 
En ese momento supe que cambiando el orden de ejecución del PATH podria crear mi propio cat y así ejecutar una shell
Ahora me aparecia un nuevo archivo pero con el bit SUID también activado, así que le hice un "strings" para ver que estaba haciendo

/bin/echo %s >> /root/messages.txt
Lo que pasaría es que podriamos cortar el string con un ";" y detrás poder poner una orden para que se pueda ejecutar
Y ahora que tenemos privilegios le podemos hacer un cat a la flag.txt para estar seguros que Snifer no nos ha troleado esta vez como cuando troleo a medio twitter con los PDF's de 0xWORD xD


El primer CTF tuyo y ya me hicistes tener migraña nada más empezar con la página web, por lo demás fue muy divertido y espero unos cuantos más para la colección.

Blog del autor de la solución. Meteor Labs

Regards,
Snifer

Leer Mas
Este nuevo reto del blog, viene de mano de la serie que atrae buenas y malas críticas y les hablo de Mr Robot,  para resolver el reto deben pensar como Mr Robot y desconfiar de lo que veas.


Se ha interceptado un fichero compreso el cual estaba siendo enviado a Evil Corp, en dicha intercepción se logro obtener dos mensajes que son:

Primer Mensaje
Gv xjiomvnzñv kvmv jwozizm zg ozsoj zi xgvmj zn: ZqdgXjmk

Segundo Mensaje
xzvpocj tp iwxdfv  n pv lttstrmjv og ai gswwe, no tdrozlusñr tw rpzkgdgvjjzv!



El reto viene en dos partes puedes elegir el camino corto o el camino largo. Se iran lanzando pistas por medio del Canal de Telegram y por Twitter cada dia hasta que se termine la fecha del reto que es el Sabado  15 de Octubre ya que despues de ello se liberara el solucionario del reto. Les notifico que las pistas seran diferentes de uno y el otro o quizás las mismas


Nos encantaria que una vez tengas la resolución del reto, nos envies un correo a sniferl4bs[rooba]ymail.com para que sea posible compartirlo con todos, el mejor resuelto lo compartiremos y los otros estaran disponibles y formaran parte del area de los retos solucionados. 

Creditos del FanArt de Mr Robot a Boddbby

Regards,
Snifer
Leer Mas
Esta es una recopilacion completa de las entradas que abordamos en el blog es cierto que debo el ebook la centralizacion de las entradas como se tiene de la serie de ZAP Proxy escrito por Eric y maquetado por mi persona, aun esta a un 10% no avance casi nada, lo que falta y falla es sentarme frente al ordenador  y maquetarlo respectivamente, en esta entrada me comprometo oficialmente que antes de fin de año lo tendre debidamente armado.


Como saben BurpSuite es la herramienta que me fui enamorando por decirlo asi y mientras estuve aprendiendo y descubriendo las bondades de la misma, en la pagina que se ha creado especificamente para la serie se tiene todas las entradas ordenadas en dos partes que son:

  • Guia de Uso.
  • Material Audio Visual
Les dejo el enlace a continuacion y recordarles que en estos dias centralizare en una pestaña la serie de entradas como la de Pentesting con Kali.

Si notan algun error no duden en comentar en esta entrada.


Regards,
Snifer
Leer Mas
En esta oportunidad veremos mas opciones que nos brinda NMAP con los NSE (Nmap Script Engine) viendo 3 funcionalidades, la primera un relevamiento de correos electronicos, identificacion de subdominios por medio de fuerza bruta y por ultimo verificar si un hosting es o no compartido.




Identificando correos electrónicos en un sitio web

Cuando toca realizar el relevamiento pasivo de correos electrónicos en un proceso de pentesting lo primero que llegamos a pensar es en utilizar TheHarvester como herramienta para realizar la busqueda en internet por los principales buscadores y obtener un listado de correos, asi tambien otros scripts que nos permiten realizar la tarea, pero veremos la obtención de correos de un dominio en base a lo que este tiene expuesto que ojo es totalmente diferente a lo que hace TheHarvester.

Para esta tarea haremos uso del NSE http-email-harvest cuyo uso es simple como lo vemos a continuacion.

root@snifer:#nmap -p80 --script http-email-harvest [DOMINIO]

 Tras realizar el crawling al portal que le mandamos nos devolvera el listado de correos identificados como se ve en la siguiente captura.



Si no concen The Harvester en la entrada de Pentesting con Kali especificamente en Recoleccion de informacion de manera pasiva se explica el uso de la misma.

Identificando posibles subdominios

Esta identificación por medio de una prueba de fuerza bruta por diccionario, es decir  solicitando respuesta de la existencia de un subdominio en base  a un dicccionario y verificando si este mismo responde o no se llega a tener un listado de los mismos, el que permite realizar esta tarea es el NSE DNS BRUTE.

root@snifer:#nmap -p80 --script dns-brute [DOMINIO]


 El resultado despues de realizar es el siguiente veran que muchas veces estos llegan a ser falsos positivos pero no en su totalidad.


En una entrada de Hacking 101 abordamos dicha identificacion especificamente en Aprendiendo a Identificar Subdominios. ahi tenemos otras opciones para el cometido de este apartado.

Reverse IP, Identificando vecinos de un sitio Web


En este ultimo punto que veremos en esta entrada, la primera de la semana es el ver si un sitio comparte o no el mismo hosting con otros, seguro mas de uno se preguntara y eso para que puede servir en un pentesting? Bueno la razón para hacer esta prueba o reconocimiento es el de llegar a identificar si los vecinos cuentan con alguna vulnerabilidad que nos permita explotar totalmente el servidor y afectar al objetivo inicial. 

Por lo tanto con esto, ya tenemos el uso que se da a esta funcionalidad el NSE que nos permite realizar esta tarea es hostmap-bfk vemos a continuación un ejemplo del mismo.

root@snifer:#nmap -p80 --script hostmap-bfk [DOMINIO]

El resultado final de la prueba es el siguiente.


Veran que estos NSE nos permiten realizar tareas adicionales todo desde la misma herramienta con lo cual nos brinda una visión mas amplia y seguiremos con ello, les recuerdo que la anterior entrada fue Consultado Whois y Geolocalizando.

Gracias por las sugerencias y comentarios de la anterior entrada y no dudes en comentar que ayuda mucho!!

Regards,
Snifer
Leer Mas
Hoy sabado como todos saben es momento de descansar y tiendo a andar viendo algunos videos de seguridad en esta oportunidad estuve viendo informacion referente a PowerShell y me engancharon bastante estos dos videos el primero PowerPwning y el segundo PowerShell omfg ambas charlas de Defcon que son mas que interesantes, en lo personal me da mas ganas de jugar y aprender sobre ello. 
 Image result for powershell wallpaper

Por cierto en el blog tenemos una entrada con material para aprender sobre PowerShell Libros para aprender PowerShell adicionando a el la serie de entradas de Pentesting with PowerShell.

PowerPwning: Post-Exploiting By Overpowering PowerShell



Powershell...omfg



Regards,
Snifer
Leer Mas