The purpose of this post is to explain how to learn offensive security of DeFi smart contracts in Ethereum blockchain. First challenge was about stop service, named «unstoppable» contract. There’s a lending pool with a million DVT tokens in balance, offering flash loans for free. If only there was a way to attack and stop […]
Security is the most important consideration when we writing smart contracts. All is public in Ethereum, for example, etherscan which is the main source of checking source code from contracts deployed. Therefore, everything is public anyone can check source code, find issues and make exploits to steal big amount of money in critical cases. Logical […]
Buenos dias!! hace tiempo que no publico nada, y mencionaron hace poco por Twitter una entrada sobre ingeniería inversa de hace unos años y me dije, porque no volver a escribir. Según el CWE-121 Stack-based Buffer Overflow, «A stack-based buffer overflow condition is a condition where the buffer being overwritten is allocated on the stack […]
En esta entrada aprenderemos hacer pentesting a Smart Contract. Un «contrato inteligente» de Ethereum es un programa informático que se ha desplegado en la blockchain de Ethereum, donde existirá para siempre. Los contratos inteligentes desplegados representan muchas capacidades como ejecutar código para realizar «transacciones» que se le envían a través de una de las funciones […]
Buenas conejetes! En esta ocasión vamos a hacer el WriteUp de la máquina de HackTheBox con nombre OpenAdmin que quitaron este fin de semana en el que por fin hemos podido salir a pasear; un Linux creado por dmw0ng categorizado con dificultad fácil-media: Enumeración Por regla general, lo primero que podemos/debemos hacer siempre es lanzar […]
Hola! La entrada de hoy como su nombre indica se basa en la solución de la máquina Resurrection, que hice para el CTF de Sh3llCON. Como es habitual el write-up se divide en las siguiente partes: Enumeración Explotación Escalada de privilegios Enumeración En primer lugar, se detecta la máquina dentro de la red. Para ello, […]
Buenas conejetes! En esta ocasión vamos a hacer el WriteUp de la máquina de HackTheBox con nombre TraverXec que quitaron este fin de semana; un linux creado por jkr categorizado con dificultad fácil-media: Enumeración Qué mejor para empezar que comprobar los puertos abiertos de este linux, pudiendo ver que dispone de un puerto SSH y […]
Buenas! Continuamos con los writeups de máquinas de HacktheBox. En esta ocasión es el turno de Netmon, que fue retirada hace ya un tiempo. Una máquina bastante didáctica e interesante para aprender un nuevo vector de compromiso en una herramienta web. El write-up se divide en tres fases: Enumeración Explotación Escalada de privilegios Enumeración En […]
Buenas! Como comenté tanto en RRSS como en el taller «Pentesting4ever» que impartí en Euskalhack voy a escribir las soluciones de las máquinas que vimos. En esta primera entrada vamos a ver el write-up de la máquina Illidan. Como ya sabéis el nivel del taller era intermedio dónde se verían máquinas de las llamadas «casos […]
Buenas! Continuamos con la serie de write-ups de las máquinas de HackTheBox,. En este caso, se trata de la solución de la máquina retirada Stratosphere. El write-up se divide en tres fases: Enumeración. Explotación Postexplotación Enumeración Enumeración de servicios Para ello, empleamos nmap: Se identifican los puertos/servicios: 22 – SSH 80 […]