Último ejercicio del desafío de Web Hacking de Infosec Institute. De los más divertidos que he podido resolver. Así que bien, arranquemos.
Debemos saber como se está haciendo la redirección. Una forma fácil, es pararnos encima de Level 13 (desde la pestaña izquierda superior) y ver como trabaja el sitio.
http://ctf.infosecinstitute.com/ctf2/exercises/ex13.php?redirect=ex13-task.php
Bien, algo divertido como fuerza bruta por diccionario. El mismo desafío nos recomienda hacer uso de un google dork:
filetype:lst
Eso indicara que el tipo de archivo que estemos buscando se acoten a extensiones lst (listas). Nosotros vamos a agregarle luego la palabra password, ya que lo que estamos buscando es una contraseña.
Excelente, ya encontramos un diccionario y vamos a romper la contraseña de administrador ahora. Para hacer esta demo, vamos a utilizar a OWASP ZAP y su gran utilidad: los fuzzers.
Recopilación del InfoSec CTF Training con sus niveles completos:
InfoSec CTF Training: Level 14 Resolved http://0x1gab.com/2015/07/03/infosec-ctf-training-level-14-resolved/
InfoSec CTF Training: Level 13 Resolved http://0x1gab.com/2015/07/02/infosec-ctf-training-level-13-resolved/
InfoSec CTF Training: Levels 11 & 12 Resolved http://0x1gab.com/2015/07/01/infosec-ctf-training-levels-11-12-resolved/
InfoSec CTF Training: Levels 9 & 10 Resolved http://0x1gab.com/2015/06/30/infosec-ctf-training-level-9-resolved/
InfoSec CTF Training: Level 8 Resolved http://0x1gab.com/2015/06/29/infosec-ctf-training-level-8-resolved/
InfoSec CTF Training: Level 6 & 7 Resolved http://0x1gab.com/2015/04/22/infosec-ctf-training-level-6-7-resolved/
InfoSec CTF Training: Level 5 Resolved http://0x1gab.com/2015/04/18/infosec-ctf-training-level-5-resolved/
InfoSec CTF Training: Level 4 Resolved http://0x1gab.com/2015/04/17/477/
InfoSec CTF Training: Level 3 Resolved http://0x1gab.com/2015/04/05/infosec-ctf-training-level-3-resolved/
InfoSec CTF Training: Level 2 Resolved http://0x1gab.com/2015/04/03/infosec-ctf-training-level-2-resolved/
InfoSec CTF Training: Level 1 Resolved http://0x1gab.com/2015/03/29/infosec-ctf-training-level-1-resolved/
Aprendiendo sobre CTFs http://0x1gab.com/2015/03/28/infosec-ctf-training-aprendiendo-sobre-ctfs/
DynamicSec.
Bien, comenzamos ya con la tanda final de ejercicios. Y por lo que pude verlo, es realmente muy fácil este ejercicio. Se trata de un escenario donde nos encontramos baneados, por lo que tenemos que saltar de esta blacklist.
Bien, un ejercicio por lo que veo bastante difícil. Y como dice la temática de este nivel, tendremos que tocar el código fuente: Source Code Tampering.
Nuestra tarea (la cual no salió en la foto), es de ganar el juego en dificultad extrema y con un record de wins de 9999. Debe haber alguna función en el código fuente que maneje las partidas ganadas, ¿no?. La mejor forma de saberlo, es jugando …
Siguiendo con el hilo del CTF (ya solo quedan 4 niveles), se nos presenta otro ejercicio de Autenticación y Sesiones. Este se ve algo fácil:
Si ya estamos logeados, podemos comenzar a ver nuestras cookies de sesión, donde seguramente habrá alguna haciendo alusión a nuestro usuario:
Tenemos un ejercicio de File Inclusion, nada de que preocuparnos todavía. Vamos a tratar de ver como funciona el sistema y cargaremos un archivo de imagen.
Ahora vamos a ver si realmente se subió la imagen. Para ello, utilizaremos las que nos ofrece este ejercicio:
Nos encontramos con una pantalla que posee un botón de Login deshabilitado (inspeccionen el elemento), con el siguiente mensaje resumido:
Parece que te has encontrado con una pagina solo usuarios autenticados puedan ver. Haz magia para poder visitarla sin estar logeado.
Con este mensaje y el botón de Login ya tenemos algunas pistas, igualmente al no tener suficiente información podemos consultar las que nos provee el juego, para hacer un listado y poder atacar:
Nuestro nuevo desafío, es encontrar la forma de poder cargar un archivo PHP desde el directorio raíz de infosecinstitute.com.
Si vamos navegando por los diferentes servicios de la página (Bio, Clients & About) vamos a ver que la URL recibe como parámetro cierto archivo .TXT. Por ejemplo en la sección Bio, obtenemos lo siguiente
http://ctf.infosecinstitute.com/ctf2/exercises/ex4.php?file=file1.txt
Hasta ahora, sabemos lo siguiente:
¡ Buenas !
Me pude sacar la facultad de encima y juro que tenía muchas ganas de retomar con el blog, ESTA VEZ para no dejarlo tirado más. Antes de que finalice el año voy a contar un poco como me fue este año en lo personal y profesional, fue muy satisfactorio. Así que bueno, arranquemos con la entrada como corresponde.
En una serie de 13 desafios, vamos a realizar el CTF de Infosec (nuevamente), pero en este caso nos ofrece un hacking challenge algo (en lo personal) mas divertido: hacking web apps.
Non static security 