Writeup - UAM - DRAGON BALL

Para los fans como yo de Dragon Ball, tendremos la oportunidad de buscar las siete bolas del dragón por todo el planeta, conseguir el nombre del personaje y con este, la flag.

Accediendo al radar de Bulma podemos ver lo siguiente:

Si observamos el código del sitio, la aplicación hace una petición con las coordenadas a un archivo llamado “server.php” donde comprueba las coordenadas y nos devuelve una información en json.

Aunque podríamos ir cambiando las coordenadas desde el navegador, nos volveríamos locos ir introduciendo coordenadas por coordenadas de cada ciudad del mundo. 

Por este caso, me monté un sencillo script en Bash Scripting que básicamente lo que hace es ir haciendo petición POST con las variables “lat” y “lng” y sustituyendo su valor por el de las coordenadas… Ahora nos falta lo importante, conseguir un listado de la geolocalización de todas las ciudades del mundo. xD

Pues tras un buen rato buscando por la red, encontré esto https://dev.maxmind.com/geoip/geoip2/geolite2/ una base de datos (también en Excel) con un listado de 1.048.576 de coordenadas (casi nada). De este listado, sólo me he quedado con las columnas longitud y latitud, las he pasado a un archivo de texto para después utilizarlo con el script.

Este es código del script: (Aviso! Es bastante cutre el código, lo sé, pero funciona!)

Con el script ya en marcha solo tendremos que esperar a que vaya probando todas las coordenadas y empezará a mostrarnos las bolas del dragón que va encontrando:

Con estas 4 bolas fueron suficiente para poder resolver el reto…. Ya que contaba con la bola 2, 3, 4 y 7 (bolas del medio y la última).

Visto que el reto consiste en descubrir el personaje de la serie, ponemos las primeras iniciales en el orden del número de estrellas de las bolas, quedando de esta manera:

_ R G U _ _ O

Con las 4 bolas en mi poder, paso a contrastar con la lista de todos los personajes de Dragon Ball en una web. Utilizando el buscador, nos encontramos con esto:

Si contamos el número de caracteres solo tiene 6, cuando las bolas son 7, pero recordé la pista que lanzó @devploit:

Por lo que el nombre del personaje podría ser: D R G U E R O

¡Por probar que no quede! Lanzamos el nombre al comprobador 34.253.120.147:9999 utilizando Netcat:

¡Y reto superado!

Read More

Writeup - UAM - UNIVERSO MARVEL - EPISODIO 1 - 1ª PARTE

Los de UAM (Una al mes) nos traen un nuevo reto, esta vez nos adentramos en el Universo Marvel, donde tendremos que analizar una comunicación (una captura de red) para descubrir la ubicación exacta de la base secreta de Hydra.


Manos a la obra

Pulsamos el enlace y nos descargamos el archivo "capture-01.cap" y lo ejecutamos con Wireshark.

Como podemos ver, los datos están cifrados por el protocolo "IEEE 802.11" y la comunicación ha sido a través de una red inalámbrica (WiFi).

Por lo tanto, nos haría falta conocer la contraseña para poder desencriptar los paquetes y hacerlos legibles.

Para ello utilizaremos wpaclean, para dejar sólo las tramas del WPA y sacar la password posteriormente con fuerza bruta.

Procedemos a sacar la password por fuerza bruta con aircrack-ng y el diccionario "rockyou.txt".

Tras algo mas de una hora (en mi modesto portátil) obtendremos la password "hydra54321".

La colocamos en Wireshark y ahora estarán los paquetes legibles y encontramos esto:

Abrimos la URL y nos encontraremos en un sitio web, con las credenciales de "Grant Ward" y por lo que podemos ver, existe un apartado en el sitio llamado "Ubicación de la base".

Hacemos clic en el apartado y......Plaffff, en toda la frente! 

El juego continua, por lo que si visitamos el apartado "Misiones" nos muestra:

Aquí hay tomate! Bueno en este punto, revisé el código y encontré el enlace que abría el apartado de cual no tenía los permisos necesarios para poder entrar.

Tras unas pruebas y beberme una lata de "Monster", comprobé que el servidor no estaba bien protegido y me permitía descargar archivos. Por lo que hice "magia" con "Wget":

Hacemos un "cat" para leer el archivo y nos muestra el contenido codificado en "Base64".

Vamos a descodificarlo:

Por lo que se aprecia en el código, vemos que aunque esté cifrado, se entiende las coordenadas "37' 21' A 23" 28' R" y el formato de la flag "HNZ{.........} por lo que estamos muy cerca de terminar el reto.

Por la estructura, diría que es ROT:

Habemus flag! UAM{46863d92858b486c29f759767e53e92f}

Agradecer y dar la enhorabuena a los chicos de UAM (@hispasec) por los retos tan currados, espero impaciente otro reto. GRACIAS!

Read More

SQL Injection para dummies (Tercera y última parte)

Buenas de nuevo.

En este tercer y último post sobre SQL Injection (por ahora) vamos a sacarle todo el jugo al asunto, y a la base de datos.

Una vez hemos hecho el reconocimiento sobre el sistema objetivo, vamos a intentar obtener los datos de más campos de la base de datos, no solamente los nombres y apellidos como obtuvimos con el “ ‘ or ‘1’=’1 “.

Read More

SQL Injection para dummies (Segunda parte)

Hola de nuevo.

Aquí tenemos la segunda entrada sobre SQL Injection. En la anterior nos quedamos en descubrir un parámetro vulnerable y el por qué de que esto sea así. Ahora vamos a pasar a jugar con la vulnerabilidad y a hacer cosas más vistosas.
Sabiendo la estructura exacta de la consulta SQL podríamos llevar a cabo ataques mucho más precisos, pero rara vez vamos a tener acceso al código a la hora de realizar un pentest. Por tanto, vamos a ir dando palos de ciego y viendo qué nos encontramos a medida que avanzamos con el ataque.

Read More

SQL Injection para dummies (Primera parte)

Buenas a todos, este es mi primer post en el blog tras el inicio de los C43S4RS. No sabía muy bien de qué hablaros puesto que mis compañeros del grupo tienen muy buenas ideas y proyectos para plasmar aquí, y por supuesto no quería pisarles ninguna, así que al final me he decidido a escribir sobre SQL Injection.

Read More