Security Web Hacking Challenge es un corto pero entretenido reto de seguridad en aplicaciones Web, que nos desafía a vulnerar un sistema hecho a la medida para el almacenamiento de imágenes.

El objetivo del reto es analizar en detalle el sistema de hosting de imágenes, enumerar características y funcionalidades del mismo y por supuesto identificar vulnerabilidades que nos permitan leer archivos ocultos en el sistema. No quiere decir esto, que la vulnerabilidad se trate de un LFI o Source Disclosure (aunque pueden existir) sino que una vez logremos identificar la vulnerabilidad (que pueden ser varias) y explotarla debemos escalar privilegios (o simplemente interactuar con los existentes) para leer información confidencial almacenada en el servidor objetivo.

La información precisa a identificar es un mensaje oculto entre dos personas. Precisamente la información sobre una cita entre ambas.

Para configurar el entorno del reto solo basta con descargar el archivo comprimido con la imagen VMWare del sistema. Descomprimir y ejecutar mediante VMWare Player, WorkStation, Fusion, etc… El servidor ya viene configurado para trabajar bajo DHCP, por lo tanto nos asignará de manera automática la IP objetivo. Uno de los primeros retos será identificar el mismo mediante un barrido PING. Asimismo debemos identificar el puerto de la aplicación Web destinada al almacenamiento de imágenes. Desde allí solo queda cumplir con los objetivos del reto.

Gracias a la Corporación El HackLab premiaré al mejor solucionario con el libro Ethical Hacking 2.0 El premio SOLO aplica para Colombia, pero igual bienvenidos todos los participantes de otros países. El solucionario ganador será el mejor elaborado de los recibidos. Esto puede implicar aspectos como la solución más creativa, diferentes vulnerabilidades en el mismo sistema, desarrollo de un exploit para la automatización de la explotación, etc…

El reto comienza desde  17-01-2013 hasta 25-01-2013.

El reto realmente no es complejo… Lo clasifico en un nivel básico-medio. Por lo tanto son bienvenidas todas las personas que recién están comenzando y las que llevan ya su tiempo

Pueden enviarme los solucionarios a 4v4t4r (AT) gmail (DOT) com

Descargar Security Challenge CTF Web (md5: 328ddbf34e00d662ea4c89672dac29d3)

Nota importante: El reto fue publicado hace varios meses por su autor original. Aun no publico la información relacionada para que traten de realizar el mismo sin información adicional o solucionarios.

Mucho éxito y have fun!!!

Sorry, this entry is only available in Español.

Nada más explicativo que el título del post. Acá el solucionario realizado y compartido por @nonroot

De todos los buenos solucionarios que ha realizado Fernando este me parece el mejor de todos… Pues claramente nos habla de su estrategia cuando se enfrenta a ese tipo de retos… Nos hace recomendaciones de como afrontarlos y sobre todo entender la finalidad del mismo (¿Qué?) por medio del ¿Cómo?…

Disfruten la introducción:

//———-

Quisiera explicar algunos puntos sobre el reto que pueden ayudar a que los que comienzan a jugar este tipo de desafios se puedan orientar mejor:

• Para resolver retos informático siempre debemos tener claro dos cosas:

a. La mayoría de los retos de nivel básico, medio y un poco avanzados van a buscar que interactuemos con herramientas conocidas, pocos retos intentaran que descubramos nuevas técnicas o nuevas herramientas.

b. Lo primero que debemos identificar es el QUE?, esto significa QUE es lo que se quiere lograr, entenderlo bien, una vez lo tenemos claro pasamos al COMO?, que es la parte que nos obliga a encontrar recursos que puedan solucionar el problema.

Desde mi punto de vista el QUE siempre será mas complicado pues se requiere conocimiento para poder identificar QUE es lo que se quiere hacer. Si no tenemos el conocimiento de un tema especifico siempre podremos descubrirlo en el camino, pero será mas dificil.

En los solucionarios se suele mostrar el COMO, pero casi nunca el procedimiento o la metodologia para explicar como se encontró el QUE. Eso es algo que siempre trato de hacer, quizas por mi vocación de docente, pero obviamente no es obligación para los que escriben los solucionarios. En el solucionario de ActivaLink se pueden ver algunas explicaciones ;)http://mirror.activalink.org/writeup_I_reto_navideno_intercepteam.txt Bien por eso.

———-//

Continúen leyéndolo desde la Wiki de Sec-Track >>

El pasado mes de diciembre el equipo de investigación @InterCEPTeam elaboró un magnífico reto temático relacionado con la navidad. Las pruebas entre otros aspectos involucraban prácticas de programación, stego y sobre todo mucho análisis… Quienes lo resolvieron de mejor manera fueron los integrantes del reconocido equipo RIC (@redinfocol).

Veamos a continuación el solucionario publicado:

//—————–

“ En primera instancia a los participantes se les dio a conocer una URL donde se encontraba el reto: http://retonavideno.intercepteam.org/. Al acceder se podía apreciar lo siguiente:

Continua leyéndolo desde el website oficial del RIC. >> “ 

—————–//

Desde el proyecto Sec-Track quise motivar un poco más la participación al reto con un mini premio para el ganador. En este caso un libro.

En un comienzo tenía pensado obsequiar un libro diferente, pero al enterarme del perfil del ganador decidí cambiarlo (Aprovechando que estoy en Bogotá por unos días, espero entregarlo personalmente)

Gracias al equipo de InterCEPTeam y a los genios del RIC… Esperamos pronto otro reto

Nuevamente desde HackPlayers comparten a toda la comunidad en internet un reto relacionado con la seguridad de la información. Esta vez, sobre análisis de malware!!!

Read the rest of this entry »

Este reto fue presentado hace varios meses por el equipo de HackPlayers:

El objetivo es darle solución (sin mirar el solucionario que ya publicaron!!) y enviar y compartir el procedimiento realizado para encontrar la solución (pueden hacerlo a través de la lista de correo de  Sec-Track o de los comentarios)

Nuevamente gracias a HackPlayers por compartir estos entretenidos retos!!

Reto HackPlayers: El gran Premio de Bahrein

Hace algunos días el equipo de HackPlayers publicó un solucionario al reto que presentaron llamado “llega el carnaval“. Veamos:

Solución al reto “Carnaval” de hackplayers.blogspot.com por Miguel

0. el reto estaba disponible aquí:
http://hackplayers.blogspot.com/2010/02/reto-llega-el-carnaval.html

1. me descargo la película
http://sites.google.com/site/h4ckpl4y3s/carnaval.swf

2. me descargo un descompilador gratuito (demo), en este caso el Trillix 4 de la casa Eltima (de Sothink no me fío después del troyano en el plugin para FF):
http://www.flash-decompiler.com/download/flash_decompiler.exe

3a. solución fácil:
abrir la película con el descompilador posicionarse en el fotograma 4:

-> Clave: samba10

3b. solución “guay” (o “pro”
Dado que el código actionscript está protegido (Amayeta?), y no puedo tener garantías de que la clave se altera de alguna manera durante la dinámica del juego, voy a intentar ganar “jugando”.

Continúa leyendo el solucionario desde HackPlayers >>

Nuevamente los amigos de HackPlayers han decidido publicar un reto bastante interesante que involucra el análisis de un juego en Flash.

Read the rest of this entry »