Auditoría y CTFHacking Web

CTF – TEAM WHOAMI – RETO-1

Colaborador: Alberto44

Buenas a todos, este es el Reto-1 de cuatro, el cual ha sido realizado por el Team Whoami, para quienes somos apasionados de los retos y de la seguridad infomática podamos practicar lo que vamos aprendiendo. https://teamwhoami.wordpress.com/

Al lío pues, en las instrucciones del reto tenemos que encontrar el Panel Login y encontrar las credenciales para poder acceder y descargarnos un archivo .asc el cual deberemos desencriptar en gpg, para ello deberemos enviar un mail a una dirección que nos darán para obtener la clave de desencriptación y obtener la flag, la cual tendremos que enviar a coder17 o h4ckzu5 (los autores de los retos).

Pues ya tenemos las bases del reto, que comience el Reto-1:

(web del reto: http://h4ckzu5.orgfree.com/)

Aquí es donde deberemos como averiguar dónde está el Panel Login para poder acceder, pues aquí más o menos antes de usar cualquier otra herramienta, probé las posibles rutas donde se pondría, después de 2 o 4 intentos, di con ella:

Aquí probé contraseñas por defecto, pero sin resultado, probé al de SqlInjection sin resultado. Así que recurrí a Sqlmap (ya que es un reto oficial, tenemos permiso y no tendremos que preocuparnos de usar esta herramienta contra la web).

Si os fijáis nos ha dado la password hasheada en md5, pues intentemos ver su contenido en texto plano.

Una vez obtenidas las credenciales vamos a acceder a la web:

Hemos logrado nuestro objetivo, ahí vemos donde tenemos que enviar el mail para solicitar la clave para desencriptar con gpg y el archivo a descargar ARCHIVO.ASC .

Como vemos arriba, tenemos en en index, el mensaje cifrado, en vez de descargarme el ARCHIVO.ASC, lo que hice fue copiar el mensaje cifrado y guardarlo con extensión .gpg.

Cuando recibí la llave (teamwhoami2.0) para descifrar el mensaje procedí:

Y con esto hemos terminado este apasionante reto, realizado por este Team que nos brinda la oportunidad de practicar nuestras skills y lo más importante, usar la materia gris.

Hasta la siguiente entrada, donde trataremos el RETO-2 donde tendremos que investigar la metodología que se aplica a la Informática Forense.

Y como decimos desde fwhitbbit, sed buenos y manteneos siempre con el vaso vacío listo para llenarlo de conocimientos estudiando, investigando y practicando en entornos controlados o en Retos/CTF online.