AutorCristhian Lima

Inicio/Artículos Publicados por Cristhian Lima

Wargame Natas 0-3

 

En esta entrada iremos resolviendo los retos que nos prestenta el wargame de Natas. El post se actualizara constantemente ya que se va resolviendo en las reuniones semanales que se realizan en las oficinas donde compartimos y resolvemos problemas de seguridad informática.

1.- Natas 0

Nos facilitan el usuario y contraseña, debemos encontrar la contraseña de Natas1. Una vez dentro se puede encontrar la contraseña viendo el código HTML.

Pass: gtVrDuiDfck831PqWsLEZy5gyDz1clto

2.- Natas 1

En este reto se puede observar que la opción de clic derecho esta desactivado pero usando las herramientas de desarrollador podemos ver que el pass para el siguiente nivel esta en el HTML.

Pass: ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi

3.- Natas2

En este reto se puede observar que no tenemos mucha información sobre el pass, pero si observamos el HTML se pude observar que tenemos un enlace a una imagen, si se intenta entrar al directorio files/ podemos ver que hay un Listen Directory donde se encuentra el pass para el siguiente nivel.

pass: sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

4.- Natas 3

En este reto la pista que nos dan se encuentra en el HTML de la pagina, donde dice “No más fugas de información! Ni siquiera Google lo encontrará esta vez…”. Al tener la pista de google lo primero que se nos ocurre son los robots.txt donde se des-habilita algunas direcciones donde no quieres que google busque, revisando el archivo robots.txt se puede ver que oculta una carpeta /s3cr3t/, ingresando a esa carpeta se puede ver un archivo users.txt donde se encuentra el pass para el siguiente nivel.

http://natas3.natas.labs.overthewire.org/s3cr3t/users.txt

natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ

 

 

Por Ahora eso es todo pero iremos resolviendo todos los retos que nos presenta http://overthewire.org/wargames/ .

 

Continuar leyendo

Mr. Robot 1.0

Muchos ya escucharon sobre la serie de televisión MR. ROBOT, una gran serie la cual no pueden perdérselo y dentro de poco ya podremos disfrutar de la 2° temporada.

Gracias a nuestros amigos de VulnHub, tenemos una maquina virtual basada en la serie.

Esta VM(virtual machine) tiene tres Keys (llaves) ocultas en diferentes lugares. El objetivo es encontrar estas 3 keys. Cada key es mas difícil de encontrar.

La VM no es demasiado difícil. No hay ninguna explotación avanzada o ingeniería inversa. El nivel es considerado principiante-intermedio.

Si te interesa resolverlo acá están los Links.

Descarga directa MrRobot-1.0

Descarga via torrent MrRobot-1.0

Pentest Box

Uno de los principales problemas al hacer auditorias de seguridad son las herramientas que están disponibles en los diferentes sistemas operativos (Windows, GNU/Linux), uno de los dolores de cabeza es la instalación de paquetes python, ruby, y perl, en sistemas Windows, o el uso de maquinas virtuales (cuando se tiene pocos recursos de CPU y RAM en la maquina).

PENTEST BOX.

Es una herramienta que permite ejecutar herramientas de pentesting en entornos windows a través del  CMD, no tiene que ser instalado y el uso de recursos es mínimo, de esta manera no es necesario el uso de una maquina virtual. Fue creado debido a que más del 50% de los usuarios de distribución de pruebas de penetración utiliza ventanas.Por lo que proporciona una plataforma eficiente para las pruebas de penetración en la plataforma de Windows.

Características que presenta PentestBox.

  • Funciona directamente en Windows de forma nativa, lo que ganaremos en rendimiento.
  • No necesita dependencias, todo esta incorporado en pentestbox.
  • Solo se necesitan 2GB de espacio en disco y 20MB de ram al ejecutar alguna herramienta.
  • Es portable, no es necesario instalarlo se puede llevar en una memoria USB.
  • Tiene soporte para maquinas 32-bits.
  • PentestBox puede ser compartida en una carpeta en la red de trabajo.

Herramientas que incorpora PentestBox

Las herramientas de pentestbox están ordenadas en las siguientes categorías:

  • Escáners de Vulnerabilidades Web
  • Proxies Aplicaciones Web
  • Rastreadores Web
  • Recopilación De Información
  • Herramientas de Explotación
  • Fuerza bruta a las contraseñas
  • Seguridad en Android
  • Ingeniería Inversa
  • Herramientas de Stress
  • Sniffers
  • Herramientas Análisis Forense
  • Ataques y Auditorias Wireless
  • Editores de Texto

Acá pueden ver una demo, en la que pueden observar el funcionamiento de pentestbox y algunas herramientas.

Para poder saber mas sobre esta herramienta dejare los enlaces de descarga y la documentación de pentestbox.

URL’s:

Descarga directa de PentestBox.

Documentación de PentestBox.