Writeup labs.gf0s.com - HACKLAB #3 - Rastreando a un terrorista

Pasamos al HackLab #3, esta vez tenemos que cazar a una terrorista.

Escenario del juego:

Tu objetivo.... si decides aceptarlo, consiste en rastrear a un terrorista cibernético.
Es conocido en el bajo mundo como TOCHAMA.
Muchos gobiernos han intentado ubicarlo, pero hasta ahora todos han fallado.

Detalles del reto:

TOCHAMA: No se sabe el origen de esta terrorista, inteligencia ha informado que lo único que le importa es el dinero y que hará todo lo que sea por ello.

EL SECRETO: Tiene en su poder información confidencial que intentará vender al mejor postor. En manos equivocadas, esta información podría causar un caos global.

LA BÚSQUEDA: No será fácil rastrear a Tochama, en todo momento intentará engañarte....

Pista #1

Tenemos un código QR con lo que básicamente vamos a descargarlo desde la terminal.

Una vez descargado, subimos el código QR a una herramienta online.

Y lo descodificamos para obtener la siguiente pista.

Pista #2

A primera vista, podemos observar que "supuestamente" a viajado a Isla de Pascua (Chile), sería bastante "obvio" pero por si las moscas probamos abrir la url http://labs.gf0s.com/chile

Hubiera sido sencillo, pero todo lo malo tiene su lado bueno, y es que nos ha dado una nueva pista "Toda la información que requieres está en el boleto". 

Descargamos y analizamos con exiftool la imagen y podemos ver que tiene metadatos interesantes, como por ejemplo "XP Title: labs.gf0s.com/canada" pero sigue siendo bastante sencillo....¡Pero un momento! también tiene datos de geolocalización. ¿Que tal si vemos a que punto del mundo nos marca los siguientes datos?

GPS Position: 22 deg 50' 13.01" N, 77 deg 41' 43.13" E

¡Está en la India! Abrimos el navegador con la siguiente url: http://labs.gf0s.com/india

Pista #3

Ahora nos encontramos con una web que dispone de un "área restringida" por una contraseña.

Después de probar las típicas claves "1234, admin, password, root...." no nos queda mas remedio que empezar a analizando el sitio y que tipo de programación está usando para poder vulnerar de alguna manera el acceso. 

Abrimos con el navegador el código fuente de la página web.

Está usando un javascript para proteger el sitio, el problema es que el código está "ofuscado", copiamos el código y "des-ofuscamos" con una herramienta online.

Una vez con el código "limpio", podemos observar que la contraseña para acceder es "2657". 

Pista #4

Hacemos clic en el botón "Download" y nos abrirá la siguiente web.

Allí nos podremos descargar un archivo .pcap donde encontraremos la siguiente pista.

Hay podemos observar que hay una foto con el nombre de "HackLab3-Pista4.JPG", probamos a visualizarla y.......

!Nuevamente nos ha vuelto a engañar! Tenemos que pensar...., vamos a pasar la foto por "NetworkMiner" haber que nos encuentra.

Efectivamente hay una foto escondida, la extraemos y la ampliamos.

Pista #5

Ya nos encontramos en la recta final, ahora tenemos un nuevo enlace, escribimos dicha url en nuestro navegador.

No nos deja acceder, el sitio web está capado sólo para el navegador de  "TOCHAMA", por lo que tendremos que engañar al sitio reemplazando nuestro "User-Agent" por ese.

Usamos la extensión de firefox "Tamper", con él modificaremos nuestro User-Agent por el mostrado en el sitio web.

Una vez modificado, ya deberíamos de tener acceso a la página web.

¡Misión cumplida! Hemos atrapado al terrorista.

Writeup labs.gf0s.com - HACKLAB #2 - Acceder a una página privada & Descifrar el contenido del archivo secreto

Antes de arrancar la jornada de trabajo, no hay nada mejor que hacer un reto de los chicos de labs.gf0s.com (Cyberh99 y GF0S).

Parte 1/2 del reto:

Escenario: mediante el uso de un sniffer, has logrado capturar tráfico de red de tu objetivo. Ahora tus siguientes pasos consisten en analizar los datos recolectados en búsqueda de las contraseñas que te permitan acceder a esta página privada. Sonries porque sabes que es momento de regresar a los básicos: los protocolos. 

Pistas: deberás hacer uso del mismo programa con el que se realizó la captura de red, tendrás que rastrear el paquete que incluye los datos de acceso, deberás ser realmente observador para identificar el método de autenticación empleado. Toda la información requerida se encuentra aquí: Captura de tráfico de red.

Parte 2/2 del reto:

Una vez que lograste acceder a la página privada y descargaste el archivo secreto, es momento de averiguar el contenido.  

Pistas: el contenido es una combinación de usuario y contraseña, otra pista es el nombre del archivo, con ello podrás averiguar el tipo de cifrado empleado, despúes tendrás que leer para conocer sus debilidades. Existe más de una forma para lograr este objetivo y cuentas con múltiples herramientas, tanto online como offline. Elige la correcta y podrás descifrar el contenido en segundos.  

Empezando el reto

Accedemos al enlace web donde supuestamente se encuentra el archivo secreto y vemos que nos pide un usuario y contraseña para acceder al contenido.

Obtenemos la primera pista: el usuario y contraseña está en la captura del tráfico de red (archivo.pcap)

Nos descargamos el archivo con la captura del tráfico de red y la abrimos con Wireshark para analizar su contenido en busca de unas credenciales de acceso.

Efectivamente existe la evidencia de un "login" y podemos ver en texto plano el usuario y la contraseña. (james:007BOND).

Usamos las credenciales obtenidas y ya tenemos acceso a la zona secreta, vemos un archivo llamado "pwdump.txt".

Abrimos el archivo de texto para ver su contenido desde la terminal, se trata de un usuario (Administrador) y con una contraseña que está detrás de un hash.

Copiamos el hash y lo volcamos en la aplicación online de CrackStation para descifrar a texto plano.

¡Misión cumplida! Tenemos la clave del Administrador, es "HACKERS".

Manual de SkyTorrents.in - Cómo encontrar torrents en Español.

Sky Torrents es un buscador de archivos .torrent que destaca del resto por ser una herramienta gratuita, sin publicidad, sin uso de javascript, sin cookies y por supuesto sin malware.

El buscador está muy bien, el único "pero" es que tiene tantos archivos indexados que puede resultar agobiante encontrar lo que estamos buscando (sobre todo en nuestro idioma).

He decidido hacer un pequeño manual de uso, donde vamos a usar un "dork" que nos va a filtrar por idioma y así agilizaremos los resultados del buscador.

El dork que usaremos será este "título del archivo:castellano+spanish". Voy hacer una prueba para que lo veáis en acción.

Prueba: The Walking Dead, filtrar sólo episodios que estén en Castellano (supuestamente, ahí lo dejo...).

 Abrimos nuestro navegador con la siguiente dirección: www.skytorrents.in.

Escribimos nuestro dork, en este caso he usado "The Walking Dead:castellano+spanish" (sin las comillas).

Podemos ver que hemos conseguido filtrar la búsqueda en Español. (Me reitero, en supuesto Español) unos 317 resultados.

Para descargar, sólo deberemos de hacer "clic" en el icono de la flecha, directamente se nos descargará el archivo .torrent, si tienes algún programa asociado a esta extensión (Ej: uTorrent o Transmission), se ejecutará y descargará automáticamente.

¿Fácil no?

He elegido "The Walking Dead" porque posiblemente es una de las series mas vistas en todo el mundo, por lo que si quitásemos el dork y sólo dejásemos el título nos encontraríamos con un gran "dolor de cabeza".

Ojo! 1000 resultados!! Como podemos ver, hacer uso del "dork" es la mejor manera de poder ir "al grano".

Espero que os haya sido de ayuda. ¡Comparte!

¿Necesitas WiFi? ¡Pues pregúntale al vecino!

Hay gente buscando y/o pagando a "juankers" para tener Wifi "gratis" por cortesía del vecino. Y me hago esta pregunta, ¿Para que pagar a un tipo para que te da la clave? Déjate de "intermediarios" y pídesela a tu vecino.

Hoy os voy a mostrar una de las múltiples formas que utilizan los "malos" para engañarnos y obtener la contraseña de nuestro WiFi.

El método que usaré será el de la "clonación" de una red WiFi que queramos conocer su contraseña. Básicamente lo que haremos será "simular" ser nosotros el router, al tener una distinta BSSID provocaremos una desconexión en sus aparatos (móviles, pcs, etc...), al quedarse sin internet, la víctima volverá a buscar su red WiFi, le pedirá nuevamente la clave (os recuerdo que se está conectando al clon) la volverá a escribir pensando que ha debido de haber algún fallo en el router.

Vamos a ponerlo en práctica

Lógicamente no iba a practicar con mi vecino, haré la prueba con el router de mi casa, usaré mi portátil con un adaptador WiFi de mayor alcance (compatible con modo promiscuo) y usaré mi iPhone como dispositivo víctima donde le lanzaremos el "phishing dirigido".

NOTA: He omitido pasos, la idea de este post es mostrar el ataque y poder defendernos de él, si tu idea es diferente, te invito a que abandones el blog. 

Dispositivo atacante (Nuestro portátil)

La red que queremos obtener la contraseña se llamada "FUC", realizamos un escaneo de redes a mi alcance, esperaremos un poco para obtener mas tráfico.

Me llevo la lista a la terminal y selecciono la línea 18 como objetivo.

Ahora esperamos a tener el "handshake" de la red y la chequearemos, si es correcta, le crearemos un falso certificado SSL y provocaremos la desconexión de los dispositivos de la víctima.

Ahora toca esperar a que muerda el "anzuelo".


Dispositivo de la víctima (iPhone)

Podemos observar que se ha llevado acabo con éxito la desconexión del WiFi, el dispositivo ha conectado a sus datos móviles.

La víctima volverá a buscar su red WiFi, pero esta vez se conectará a la red "clon" (portátil atacante).

Ahora la aparecerá un asistente donde deberá de insertar la clave WiFi, para los que conocéis los asistentes inalámbricos de los diferentes dispositivos móviles no os será complicado daros cuenta de que no es el asistente "original".

Se trata de un ataque de "phishing" simulando ser el asistente original, y os digo que muuuuucha gente cae en estas trampas.

Dicho esto, continuamos con el ataque, escribiré "miclavewifi" como contraseña y pulsaré en "Enviar".

Lógicamente, el asistente no tiene acceso al router original, por lo que siempre tirará el mensaje de error (aunque la contraseña sea buena). Esto provocará que el usuario vuelva a buscar la red WiFi, le vuelva a pedir la contraseña (esta vez si que será el asistente original de su router) y conectará perfectamente.

Fuera sus preocupaciones, no sospechará que ha sido víctima de un "phishing dirigido".

Mientras tanto, esto es lo que muestra el portátil del atacante...

Una vez que algún aparato de nuestra víctima se conecte a nuestro "WiFi clon" podremos ver cuantos dispositivos se han conectado (pantalla arriba a la derecha).

El ejemplo muestra una conexión de un aparato llamado "iCastellon" (es mi iPhone)

En Fake DNS (abajo a la izquierda) nos muestra las aplicaciones que tiene en ejecución la víctima, por lo que también podríamos usar algún sniffer para capturar sus paquetes y obtener mas información sobre esta (paginas web que está visitando, claves de correo electrónico, de bancos....)

Esto nos sirve para entender el riesgo que corremos al conectarnos a una WiFi abierta, pueden capturar nuestro tráfico y podemos ser "hackeados".

Dicho esto, vamos a buscar el ".log" para ver que contraseña ha puesto la víctima.

¡Perfecto! La contraseña del WiFi es: "miclavewifi".

No ha sido complicado ¿Verdad?


¿Que hemos aprendido?

- Nunca introduzcas contraseñas en formularios "sospechosos".
- Aprende a identificar tu red, si te sucede algo similar, escanea tu redes wifi y observa que identificador tiene la tuya (BBSID). Esta tiene que coincidir con la dirección MAC que está en la etiqueta tu router. (Ej. 00:1e:c2:9e:28:6b o 001ec29e286b)
- Evita conectarte a redes WiFi "sin claves", los "malos" no descansan nunca y pueden estar detrás de esas redes para "hackear" tus dispositivos.

¿Te ha gustado? ¿Te ha parecido interesante? ¡Pues comparte!

Writeup labs.gf0s.com - HACKLAB #1 - Comprometer servidor FTP

Antes de salir de viaje con la familia, dejé empezado un reto de la mano de los chicos de labs.gf0s.com (Cyberh99 y GF0S).

La introducción del reto

Todos los días son puestos en operación miles de servidores en Internet, lamentablemente no todos ellos son seguros, ya que muchos administradores consideran que nunca serán objeto de un ataque y por ello son muy flexibles en sus controles de seguridad, llegando a usar mecanismos de gestión y transferencia de archivos nada recomendables.

Escenario del laboratorio

Imagina en 3D, una empresa que se dedica al diseño de drones de última generación. Recientemente ha realizado una investigación que ha dado como resultado un prototipo de lo que consideran será el dron más potente de nuestros tiempos. Si el diseño de este prototipo llegará a ser expuesto en Internet antes de la fecha programada, causaría una gran pérdida económica para Imagina en 3D.  Para evitar que esto ocurra, has sido contratado con el objetivo evaluar los controles que están implementados y demostrar si la seguridad puede ser vulnerada.

Tu objetivo (si deseas aceptarlo): Has llegado a un acuerdo con Imagina en 3D y se definen los siguientes 2 objetivos:

1.- Intentar obtener el diseño del prototipo del dron.
2.- Dejar evidencia (un archivo .txt) 


Información brindada por Imagina en 3D

La única información que te ha sido brindada para este servicio es el nombre y el facebook del administrador
del sistema. Puedes tener certeza que todo lo que necesitas esta allí =)

1.- Nombre: Alejandro Quero.
2.- Facebook: https://www.facebook.com/profile.php?id=100010301916909



Empezando el reto

Con la poca información que nos ha sido entregada por la empresa Imagina en 3D, nos ponemos "manos a la obra" y accedemos al perfil de facebook del sysadmin.

Pues si que es un desastre, el tipo ha colgado fotos y ha dejado pistas, como la IP del servidor, su nombre de usuario y una copia del email bastante interesante para saber de que tipo de contraseñas se trata.

Con estos datos ya sabemos lo siguiente:

Dirección IP del FTP: 52.10.103.130

Usuario: aquero

Password: Está formada por 7 caracteres numéricos.

Con estos datos ya tenemos suficiente para "tirar" de hydra y obtener la contraseña por fuerza bruta. Para ello crearemos un diccionario personalizado utilizando algunos números "clave" que le sean fácil de recordar al administrador. ¿Que datos utilizarías tú que contuvieran números y que te fuera fácil de recordar? ¿Un teléfono, un DNI, una fecha...? 

Mas arriba, en la primera foto, tenemos la fecha de nacimiento del administrador. Cómo sólo buscamos un número de 7 cifras,Cómo sólo buscamos un número de 7 cifras, crearemos un diccionario utilizando esas 4 cifras del año de nacimiento "1980" para obtener todas las posibles claves. Para ello usaremos "Crunch".

Acotando por el año, sólo hay 16384 posibles contraseñas, utilizaremos "hydra" para obtener la contraseña por fuerza bruta. (No nos llevará mucho tiempo)

Perfecto! Ya la tenemos! Ahora accederemos al servidor FTP y cumpliremos con nuestros objetivos.

Dentro del FTP

Revisando el listado de archivos del FTP, sólo vemos evidencias de acceso de otros usuarios, pero entre tanta evidencias hay un directorio llamado "privado" que resulta bastante "curioso".

Visto esto, nos dirigimos desde el navegador al directorio y ¡Bingo! hay un archivo llamado "PrototipoPrivado6.zip", no hay duda que ese es el archivo que buscamos. Procederemos a descargarlo a nuestro disco duro.

Una vez descargamos vamos a descomprimirlo...¡Nos han jodido! ¡Tiene contraseña! 

Recordando la foto que sacamos del perfil de facebook del administrador, nos informaba que los archivos "locales" (.doc, .pdf, .zip...) usaban contraseñas alfanuméricas, en minúsculas y de 6 dígitos. 

Teniendo esta información, usaremos el famoso diccionario de kali linux "rockyou" y con la ayuda de "fcrackzip" nos dispondremos a sacar la contraseña del .zip.

 

¡Perfecto! ¡Ya tenemos la contraseña! La utilizaremos para descomprimir el .zip y a visualizar el archivo "Prototipo Super Privado.jpg".

Ya tenemos el diseño del prototipo y primera parte de la misión completada. Ahora sólo nos queda dejar la "evidencia" en el FTP (esto si que mola eh!)

Creamos un archivo.txt, yo lo he llamado "Odine.txt" y en él le pondremos el mensaje que dejaremos como evidencia de hemos "comprometido" el servidor FTP.

Posteriormente, sólo queda subirlo al FTP con "curl". Y ya tenemos nuestra evidencia dentro del servidor FTP -> http://labs.gf0s.com/website/Odine.txt

Me ha encantado el reto, Gracias chicos!

Moraleja: Ojo con lo que compartes en las redes sociales, cualquier pista es buena obtener la siguiente, las contraseñas son fáciles de sacar, por eso siempre que puedas utiliza otro tipo de seguridad como autenticación de doble factor o huella, iris.... Y si no te queda otro remedio, al menos usa contraseña alfanuméricas, con mayúsculas y minúsculas, y que no guarden relación con tus datos personales... (fecha, DNI, teléfono...) Acuérdate de Alejandro Quero.