Vamos a continuar con la resolución los desafíos de Capture the Flag (CTF)aplicando algo de nuestro pensamiento hacker.
Algo más complicado que el nivel anterior, ¿no?.
Vamos a seleccionar el cuadrado de la imagen rota (como seleccionar un texto, lo mismo pero a un elemento de la página en éste caso) y vamos a inspeccionar el elemento que marcamos (botón derecho – Inspeccionar Elemento)
Se nos abrirá algo raro como lo siguiente:
Aquí tenemos información sumamente importante. Nosotros solo le vamos a dar valor a lo que quedo resaltado automáticamente, la URL a la que lleva esa ‘imagen rota‘. Vamos a tratar de hacer una consulta a esa URL para saber que nos responde.
Para ello vamos a abrir una máquina con Linux, en éste caso tengo una distribución Kali, y vamos a hacer uso de una de las herramientas fundamentales y más importantes en entornos UNIX: curl.
cURL es una herramienta software para transferencia de archivos con sintaxis URL mediante intérprete de comandos, soportando FTP, FTPS, HTTP, HTTPS, TFTP, SCP, SFTP, Telnet, DICT, FILE y LDAP.
cURL soporta certificados HTTPS, HTTP POST, HTTP PUT, subidas FTP, Kerberos, subidas mediante formulario HTTP, proxies, cookies, autenticación mediante usuario y contraseña (Basic, DIgest, NTLM y Negotiate para HTTP y kerberos 4 para FTP), continuación de transferencia de archivos, tunneling de proxy HTTP y otras prestaciones. cURL es Open Source, software libre distribuido bajo la Licencia MIT.
Vamos a hacer una petición mediante cURL con la opción -v como modo verbose(es un modo para saber todo lo que está pasando mientras se realiza la petición) y por ultimo le pasaremos el parámetro de la URL que apuntamos, que es la que conseguimos inspeccionando el elemento anteriormente, http://ctf.infosecinstitute.com/img/leveltwo.jpeg.
La magia hizo sus frutos. Obtuvimos una cadena de texto codeada en base64. Vamos a ir a algún sitio para decodear y ver el resultado.