Ya en el tercer nivel de nuestro desafío de CTF, repasemos primero lo que hicimos anteriormente:
Presentación de InfoSec CTF Training
Éste nivel parece algo más fácil, ¿ no ?
Como bien vemos es un código QR. Es momento de tomar nuestro dispositivo celular y vamos a escanearlo. En mi caso, utilicé la aplicación QR Droid.
¿Saben que es? ¡ Código morse !
Vamos a tomar algún decoder que esté por Internet y vamos a decodificarlo.
Solución: INFOSECFLAGISMORSING
¡ Gracias por leer !
DynamicSec.
Vamos a continuar con la resolución los desafíos de Capture the Flag (CTF) aplicando algo de nuestro pensamiento hacker.
Algo más complicado que el nivel anterior, ¿no?.
Vamos a seleccionar el cuadrado de la imagen rota (como seleccionar un texto, lo mismo pero a un elemento de la página en éste caso) y vamos a inspeccionar el elemento que marcamos (botón derecho – Inspeccionar Elemento)
Se nos abrirá algo raro como lo siguiente:
Aquí tenemos información sumamente importante. Nosotros solo le vamos a dar valor a lo que quedo resaltado automáticamente, la URL a la que lleva esa ‘imagen rota‘. Vamos a tratar de hacer una consulta a esa URL para saber que nos responde.
Para ello vamos a abrir una máquina con Linux, en éste caso tengo una distribución Kali, y vamos a hacer uso de una de las herramientas fundamentales y más importantes en entornos UNIX: curl.
cURL es una herramienta software para transferencia de archivos con sintaxis URL mediante intérprete de comandos, soportando FTP, FTPS, HTTP, HTTPS, TFTP, SCP, SFTP, Telnet, DICT, FILE y LDAP.
cURL soporta certificados HTTPS, HTTP POST, HTTP PUT, subidas FTP, Kerberos, subidas mediante formulario HTTP, proxies, cookies, autenticación mediante usuario y contraseña (Basic, DIgest, NTLM y Negotiate para HTTP y kerberos 4 para FTP), continuación de transferencia de archivos, tunneling de proxy HTTP y otras prestaciones. cURL es Open Source, software libre distribuido bajo la Licencia MIT.
Vamos a hacer una petición mediante cURL con la opción -v como modo verbose (es un modo para saber todo lo que está pasando mientras se realiza la petición) y por ultimo le pasaremos el parámetro de la URL que apuntamos, que es la que conseguimos inspeccionando el elemento anteriormente, http://ctf.infosecinstitute.com/img/leveltwo.jpeg.
La magia hizo sus frutos. Obtuvimos una cadena de texto codeada en base64. Vamos a ir a algún sitio para decodear y ver el resultado.
Reto superado: infosec_flagis_wearejuststarting
Introducción a InfoSec CTF Training: InfoSec CTF Training: Aprendiendo sobre CTF’s
InfoSec CTF Training Primer Nivel: InfoSec CTF Training: Level 1 Resolved
¡ Gracias por leer !
DynamicSec.
Non static security 
