Writeup - [NN4ED]

::::::::::::::::::::[WEB 1]:::::::::::::::::::: 

En este reto nos dan una página web, http://ctf.navajanegra.com/WEB%201.php

en la que aparece un boton que pone "Click Here!" dentro y al acercarnos con el cursor este cambia de posición y no nos permite pulsarlo. Si analizamos el código vemos que es imposible pulsarlo y en la linea 41 encontramos la evidencia,

<button id="bt" onmousemove="fun();" onClick="alert('Do not waste time with this button!  

The code is more interesting!');window.location = '//navajanegra.com/';">

De donde se deduce que si el código es lo interesante, mas interesante será descargar el archivo WEB 1.php que está en el servidor que en ocasiones puede ser distinto al que visualizamos a traves de la web.

wget http://ctf.navajanegra.com/WEB%201.php

Abrimos el archivo con cualquier editor que tengamos a mano y vemos que despues de <body> aparece el flag.

<body>
Password: 6e3e92ebfcec506d0cc56f24a929ac11

::::::::::::::::::::[WEB 2]::::::::::::::::::::

Nos daban una pagina web con el campo usuario y contraseña vulnerable a sql injection. La vulnerabilidad se ha explotado con la herramienta sqlmap.

Flag: 78a2109f8519940bb553

::::::::::::::::::::[STG 1]::::::::::::::::::::

Nos proporcionan una imagen con un mensaje oculto en la que aparece un astronauta tomándose una cerveza en la luna.

Con strings obtenemos las cadenas de caracteres de la imagen

Al final de todo vemos una cadena en base 64, 

:ozy:TXkgc2VjcmV0IGNvZGU6IDFlZjFkODM0NzMzMWFmYjc1YjgyMjgxOWZkNGU2ZDNiIA==

Que descifrada quedaria; My secret code: 1ef1d8347331afb75b822819fd4e6d3b 

Flag: 1ef1d8347331afb75b822819fd4e6d3b

::::::::::::::::::::[STG 2]::::::::::::::::::::

    

::::::::::::::::::::[Phreaking 1]::::::::::::::::::::

En el primer reto de Phreaking nos piden descubrir el número de la tarjeta de un cliente.

Nos dan una pista de audio con una grabación telefónica de un servicio de venta de tickets, en la que el cliente mete los números de su tarjeta de crédito para realizar la compra.

Cuando el cliente pulsa una tecla se genera un tono DTMF (Dual-Tone Multi-Frequency) que viene dado por dos frecuencias determinadas que corresponden a cada tecla segun la siguiente tabla:

Para saber cuales son los pares de frecuencias que generan cada tono seleccionamos el trozo de pista donde se emite el tono y usamos el análisis de espectro de Audacity.

Los dos primeros picos se corresponden con las frecuencias que determinan que número estamos pulsando y sus valores vienen dados por la frecuencia de pico al situarnos con el cursor sobre cada uno de ellos.

Para los cuatro primeros numeros tenemos los siguientes pares de frecuencias, que aunque no son exactas, debemos de aproximarlas a la mas cercana para entrar en la tabla y obtener el número correspondiente:

{774, 1341}Hz ----> 5

{773, 1205}Hz ----> 4

{776, 1468}Hz ----> 6

{698, 1202}Hz ----> 1

Realizando el mismo proceso en el resto de los tonos sacamos el numero:
5461765425671065

 

 ::::::::::::::::::::[Phreaking 2]::::::::::::::::::::

En este reto nos daban una captura de una comunicación voIP en la que se debia obtener la contraseña original de la comunicación e introducirla con el formato: hash:pass

Una vez descargue el archivo SipPHK2.pcapng, lo abrí con whireshark y comprobé que usaba el protocolo SIP.

...

User-Agent: Linksys/PAP2T-3.1.15(LS)
Contact: <sip:nn4ed@94.133.99.2:49156>
Expires: 0
Authorization: Digest username="nn4ed", realm="sip.12voip.com", nonce="720058375", uri="sip:sip.12voip.com", response="3c58ee4488a90ad08d67a24b4c2c9beb", algorithm=MD5
Content-Length:  0

...

Si la analizamos un poco vemos que el usuario es "nn4ed" y el hash MD5: 3c58ee4488a90ad08d67a24b4c2c9beb

Con sipdump se vuelca las sesión capturada a un archivo pass.txt.

A continuación usamos sipcrack para crackear la contraseña haciendo uso de un diccionario.

Luego de probar varios diccionarios sacó la contraseña: passw

Finalmente la flag era:  3c58ee4488a90ad08d67a24b4c2c9beb:passw

slimeline sata a sata, dos hdds en el laptop

Antes de nada explicar el porque, un segundo disco en el laptop no es solo por espacio, en mi caso, por tener las maquinas virtuales en otro hdd y un pequeño espacio de backup interno. Desaconsejo softraid, vuestra bateria os lo agradecera jajajjaja.

Empece a curiosear sobre el tema y todo lo que vi eran adaptadores chinos de slimeline sata (conector del lector de dvd) a sata para colocar el lector de dvd de un portatil en un barebon o adaptaciones del estilo, yo buscaba un simple sata macho a hembra, buscando vi los adaptadores con caja entera que venden para los mac, per eso era... demasiado facil, la cosa era hacerlo yo. 

Buscando los voltajes de los conectores encontre la documentacion oficial de sata slimeline http://www.serialata.org/documents/SATASlimlineConnector%20V10.pdf ahi estan entre muchas cosas, esta el conector de alimentacion, podemos ver que el pin 2 y 3 son positivo 5v y el 5 y 6 son masa, solde los cables, adapte un cable sata muy corto que consegui.

lo meti todo dentro de la caja del lector de dvd, lo adapte bien con unos tornillos, hay espacio de sobra, luego pegue la tapa de plasico del lector de dvd para que por fuera no se note 

No tengo mas fotos de proceso, es una pena.

Añadi el uuid al fstab y el punto de montaje:

ls -l /dev/disk/by-uuid

y añadi en /etc/fstab:

UUID=eac125cf-b722-4112-a8f4-b2b7f892XXXX /srv/b         ext4    errors=remount-ro 0     1

(en mi caso, el punto de montaje es /srv/b y el formato ext4)

besos para todos, en especial para nagat0 y atotclic 

Reverse Shell detrás de router utilizando SSH

Saludos gente!!!
Hoy quería comentar una opción de ssh conocida como Local Port Forwarding es bastante útil y por ahí no muy conocida, en este caso la utilizaremos para hacer un reverse shell  estando detrás de un router y sin  tener permisos para abrir puertos.
Para comenzar vamos a hacer una breve explicación de que es el port forwarding, que es básicamente direccionar el trafico de un puerto a otro, lo que hace ssh es reenviar el trafico de un puerto local a través de un túnel hacia un puerto remoto y viceversa.
Bien creo que no soy muy bueno explicando y mi intención no es explicar como usar ssh sino como usar la opción -R  para hacer un local port forwarding así que vamos a hacer un ejemplo de remote forwarding port (-L) para conectar a un irc para luego hacer un forward de verdad :D

 ssh  -NL 1337:irc.freenode.net:6667 ssh.servidor -l usuario

bien con esto estaríamos haciendo un túnel para conectar a freenode solo bastaría poner en nuestro irssi " /connect 127.0.0.1 1337 " o ejecutar irssi -c 127.0.0.1 -p 1337 para conectar a través del túnel a freenode y así ocultar nuestra ip =)
Ahora vamos a usar la opción -R para hacer el local port forwarding para lograr un reverse shell. ¿que hace la opción -R?

por ejemplo con el -L le dices a ssh que reenvíe el tráfico que vaya a un puerto local hacia uno remoto, con -R le dices a ssh que reenvíe el tráfico que llegué a un puerto remoto hacia uno local. Suena bastante bien no :D
Pero olvide mencionar que los túneles solo escuchan a localhost (127.0.0.1) por lo tanto todavía nos falta editar el archivo ssh_config en otras distros es sshd_config en ssh.servidor agregar una opción al final del archivo /etc/ssh/ssh_config:

GatewayPorts yes

bien con eso los túneles escucharían a cualquier interfaz, ahora un ejemplo de como hacer el local port forwarding :

ssh -NR 1337:127.0.0.7:4444 ssh.servidor -l usuario

 Lo cual quiere decir: “abre un túnel desde ssh.servidor en el puerto 4444 que reenvíe el tráfico hacia mi máquina (127.0.0.1) en el puerto 1337″.
Bien ahora solo quedaría hacer el reverse shell como siempre :P solo con la particularidad de que en vez de poner tu ip pondrás la ip del ssh.servidor
que seria maso menos así:

en tu pc ponemos netcat a la escucha:

nc -nlvvp 1337

y en la reverse shell solo quedaría poner:

ip: ssh.servidor  port:4444

con eso deberías tener tu reverse shell detrás de un router espero que haya entendido el procesamiento y les sea de utilidad ya en este caso nos es útil para hacer un reverse shell detrás de un router pero pueden darle un montón de utilidades, es cuestión de usar la imaginación.
bueno aca les dejo el link de un php reverse shell que es una de las que uso por si quiere practicar un saludo.

PHP Reverse Shell

                                                                                                           nagat0

About RSecurity

Research Security es una comunidad formada por miembros de varios paises de habla hispana, con el unico proposito de desarrolar y publicar informacion sobre las T.I.C.

Podras encontrarnos en el irc,  irc.freenode.net, canal: #RSecurity

En esta comunidad no apoya ningun tipo de actividad fraudulenta ni delictiva y estamos en total desacuerdo con ello.

En este momento que vive el mundo de manipulación y censura o si lo prefieres llamarlo falsa democracia, Rs sale a la luz para hacer libre distribucion de lo que hasta ahora estaba al alcance de solo unos pocos, la informacion no es un privilegio, es un derecho.

Creeis que tenemos miedo? A vosotros no.