Buenas!
Como ya sabéis cada vez que participamos en un evento de seguridad, ya sea como asistente o como ponente tratamos de escribir un pequeño post contando la experiencia vivida.
En esta ocasión se trata de la 4ª edición de la Euskalhack, que tuvo lugar los días 21 y 22 de Junio en San Sebastian (Donostia). Fue aceptado el CFP que envíe para impartir el taller «Pentesting4ever» (el nombre de lo más original xd)
Después de la gratificante experiencia del año pasado en la que debuté en este evento, tenía muchas ganas de volver y repetir este año.
Este año como gran novedad se ha realizado el primer CTF de Ingeniería Social fuera de EEUU. En una primera fase, mediante técnicas de OSINT se recolectaba toda clase de información útil para poder aprovechar en la fase de llamadas basado en lo que se conoce como vishing. Podéis encontrar más info: https://securitycongress.euskalhack.org/#se-ctf
La ganadora fuera Martina (https://twitter.com/da3n3rys) Olé!!. Estuvimos charlando con Martina sobre la experiencia y viene genial por la primera parte de OSINT a empresas simulando ser un ejercicio lo más real posible, aprovechando esa info para utilizarla como cuartada en la fase de llamadas para alcanzar las flags.
Como es habitual el congreso ofreció charlas de mucha calidad y variedad de la mano de ponentes de alto nivel:
Respecto a la parte que me aplica, después de la experiencia en la impartición de talleres en otros congresos en los que al final existe poca interacción con los asistentes y que en ocasiones se convierte en una masterclass, seminario o como lo queráis llamar, en esta edición lo enfoqué a un taller puramente práctico con alta interacción con los asistentes.
El enfoque se basaba en que los asistentes llevarán descargadas dos máquinas (subidas los días antes del congreso) más una que se repartió al inicio para poder cacharrear durante el taller. Las máquinas que se facilitaron son del tipo «boot2root» del estilo de Hackthebox o Vulnhub.
Tras una pequeña introducción básica sobre enumeración, explotación y escalada de privilegios, se dejó un tiempo a los asistentes para jugar con las máquinas para que posteriormente el ponente las resolviera. A diferencia de las plataformas anteriormente citadas, el taller era de nivel intermedio y las máquinas no seguían el estilo CTF, sino que eran típicos escenarios que nos podemos encontrar con vulnerabilidades a nivel de versión o bien de configuración. El objetivo era que los asistentes se «pegaran» con ellas hasta donde llegarán en un pequeño tiempo para después aprendieran mediante su resolución.
La slides ya se encuentran subidas en mi github como me pedisteis algunos durante los talleres . Próximamente subiré las soluciones a mi github y las publicaré también en el blog. Si alguno se anima a realización el write-up, que se pongo en contacto conmigo y se lo publicamos como invitado 😉
Al final como siempre decimos estos eventos están genial también para encontrarse a viejos amigos y para conocer nuevos, así como desvirtualizar a otros que conoces por Telegram o Twitter.
Una vez más Euskalhack vuelve a estar a la altura demostrando ser el congreso referente en el norte y de los mejores a nivel nacional. Os recomiendo acudir sin dudarlo si os sale la oportunidad!
Muchas gracias por el trato y la experiencia! Eskerrik asko!
Fuente: https://twitter.com/EuskalHack/status/1142501232780689408
Nos vemos en la siguiente entrada!
Saludos.
n4xh4ck5
La mejor defensa es un buen ataque.