Slide.- Eduardo Sanchez & Rafael Sojo - Taller de CTF

No se si alguna vez os habéis enfrentado a alguna CTF, pero lo  mas normal es no saber por donde empezar por mucho que te resuman en una palabra el contenido de esta. Por eso, me ha encantado que Eduardo Sanchez y Rafael Sojo hayan liberado su presentación sobre el taller de CTFs la cual,  hace un buen repaso a cada tipo de reto y nos propone una guía para saber por donde tirar. 

Sed Buenos ;) 

Vídeo.- Juega a CTFs y aprende.

Hoy es viernes, vídeo y todo eso.  Hoy es un día Histórico tanto por un lado como por el otro en mi país  así que la entrada será corta, para mas información mirad los periódicos del día. Pero no me puedo ir sin  incitaros a que, si queréis coger soltura y aprender de seguridad informática, juguéis a CTFs. Bueno, mejor que yo os lo explica Live Overflow en su vídeo. 

Sed Buenos ;)

Vídeo.- Cyber Grand Challenge: The Analysis

Vale, es cierto, hoy no sabia que subir y es que estoy preparando ya el equipaje para las vacaciones y cosas chulas para el [CyberPunk Summer 2017] que esperamos que os guste un montón. Pero navegando entre mis redes sociales me he encontrado con esta CTF. Bueno, llamarla solo CTF se queda corto, tenéis que verlo vosotros mismos.  ¡Hasta tienen árbitros!

A que tenéis ganas de estar allí trasteando con cada uno de esos equipos. Yo si. 

Sed Buenos ;) 

CTF.- Algunos Write Ups curiosos sobre Forensics (II)

Si hace unos días os recomendé algunos Write Ups en forma de blogs hoy me gustaría centrarme en vídeos. La verdad es que me he podido apuntar pocos hobbytrucos  así que no se si os lo compartiré o no, dependerá de si me son útiles el viernes. Pero, espero que con estos vídeos me quede claro donde he de empezar a mirar y como. 

Para empezar, aquí tenéis un truco muy chulo con imágenes donde una de ellas está oculta y no vale solo con la parte técnica si no que encima tienes que saber de aeropuertos:

Otro que nos muestra como extraer un archivo .avi de un pcap en Wireshark debido a una llamada por VoIP:

Y el último un amplio y muy recomendable repaso a Volatility: 

Sed Buenos ;) 

CTF.- Algunos Write Ups curiosos sobre Forensics (I)

Este viernes por la tarde me han convocado a una CTF orientada al campo Forense. Así que he decidido ir recopilando información y Hobbytrucos (los comparto después de la CTF si me dan buen resultado) para que al encontrarme con el reto, al menos las situaciones me suenen. 

El primer write up nos muestra como tenemos que trabajar si nos encontramos un .Pcap en el sistema: 

• https://shankaraman.wordpress.com/?s=Alex+CTF+USB+probing+Forensics

El segundo y el tercero nos muestran como trabajar con volatility y process dump para extraer una imagen del proceso de paint, curioso y la verdad es que no tenia ni idea: 

• https://www.rootusers.com/google-ctf-2016-forensic-for1-write-up/
• https://w00tsec.blogspot.com.es/2015/02/extracting-raw-pictures-from-memory.html

Y el cuarto, es un recopilación de entradas de los grandes de Security Art Work donde juntan estas técnicas y les dan tres vueltas para solucionar una CTF muy complicada. 

• https://www.securityartwork.es/2016/12/19/forensic-ctf-writeup-baud-james-baud-i/

Sed Buenos ;) 

Vídeo.- mindreader Google CTF 2017

Siempre se aprende de ver a alguien solucionar una CTF, no tanto como jugando con ella pero si aun no nos atrevemos a entrar en el mundo de las CTFs o nos hemos atascado mucho y estamos hasta los mismísimos del [Try Harder]. 

Toda esta introducción viene a razón de que revisando la CTF de Google 2017 no tenia ni idea de porqué se utilizaba /dev/fd/ para poder acceder al archivo environ usando /dev/fd/../environ. [Ahora ya lo se], pero quiero recomendaros el vídeo de LiveOverflow del cual tengo que aprender un montón y ha hecho que me ponga a buscar muchas mas información. 

Sed Buenos ;) 

Root Me.- Trastea cuanto quieras.

Hace un par de días, mi hermano me hablo del sitio web Root Me. Así que le di un vistazo y  la verdad que me ha sorprendido mucho. Esta página cuenta con mas de 200 retos y mas de 50 entornos virtuales para trastear y practicar todo lo que queramos.

Ademas, si nos bloqueamos existen la solución pero os recomiendo que  le deis a la cabeza que hay un montón de retos bastante asequibles. Bueno y posiblemente tengo que acabar de hablarlo con mi hermano podamos traeros la solución a alguno de estos retos. Aun no sabemos si de forma conjunta, hablando de lo que sea o de forma periodica sin voz ... tenemos que hablarlo.  Pero algo aremos. 

Enlace a la página: 

• https://www.root-me.org/?lang=es 

 Sed Buenos ;) 

El reto de MrRobot

Hace mucho que no os recomendaba una ctf o un reto que a parte de ser entretenido y molón, nos ayudara a aprender sobre el terreno. Bueno, pues como últimamente MrRobot esta tan de moda, ahora podemos jugar a romper una máquina virtual basada en la serie.  Al estilo Metasploitable, esta VM esta pensada para ser vulnerable a ciertos ataques que tendremos que descubrir 3 claves escondidas en diferentes lugares. 

Vamos un reto muy interesante para este verano, aquí tenéis el enlace al reto:

• https://www.vulnhub.com/entry/mr-robot-1,151/

Y por si os quedáis encallados, aquí hay alguien que ya lo ha solucionado: 

• https://drive.google.com/file/d/0B4NG4XHkMyIFRFQzWGdFREQzLVk/view

Sed Buenos ;) 

Practical Web Hacking.- Hackea Tranquilo

Algunos ya sabréis que antes de mi anterior trabajo, me dedicaba ha hacer pentesting en una web, reportaba las vulnerabilidades y perseguía para que las arreglaran. Bueno la verdad es que o hacías eso o te dedicaba a ir buscando blancos para practicar de una forma "poco legal". 

Ahora, Infosec ha sacado otro desafío basado en web para que le demos fuerte y flojo.

Aquí tenéis el enlace a la CTF: 

• http://ctf.infosecinstitute.com/ctf2/

Bueno, se que puede ser un poco duro, pero si queréis aprender de verdad deberíais intentarlo por vosotros mismos pero, por si se os hace cuesta arriba os dejo el enlace a la fuente de esta noticia donde están las soluciones.  

• http://blog.segu-info.com.ar/2016/03/solucion-del-web-hacking-ctf-del.html

Sed Buenos ;)

Un Dibujo, Una Foto.

Ayer fue el día de Sant Jordi una tradición catalana que viene de lejos y que consiste en regalar rosas a las chicas y libros a los chicos. Aunque recibí un regalo inesperado de la creadora de los pingüinos avatares de este blog. No lo subí ayer ya que ya había hecho la entrada pero creo que hoy es un día genial para compartirlo con todos vosotros. 

Los que conozcáis la leyenda ya interpretares que esta pasando en la ilustración pero los que no os invito a leeros la leyenda de Sant Jordi. 

Ilustración realizada por Gisela Garcia Hurtado del blog Salmon's Art: 

• http://salmonsart.blogspot.com.es/

Por otro lado hoy he ganado mi primera CTF quedando como el mejor equipo de la oficina. A que no adivináis como se llamaba el equipo: 

La verdad es que no he puesto yo en nombre pero me ha gustado mucho. Creo que he de darle mas caña a los retos que hay en Internet ya que solo el echo de participar en esta ctf me ha encantado. 

Sed Buenos ;)

¡CTFtime Y Sus WriteUps!

Siempre me ha encantado ver a gente librando una CTF, leer sus resultados y sus posteriores writeups para saber como se podía haber resuelto. Pero, como soy un poco despistado por naturaleza siempre iba leyendo los que me encontraba por el camino o los que conseguía pedir, sin hacer una búsqueda correcta en Google, 

Cual ha sido me sorpresa que preparándome un poco para la primera CTF que voy jugar, decidí acaparar todos los writeups que pudiera para estudiar las diferentes posibilidades que había. Así que haciendo la búsqueda correcta di con CTFTime. 

Esta pagina nos ayuda a ponernos al día con las ultimas CTFs realizadas con todo lujo de detalles. Podremos ver primer, segundo y tercer puesto de los últimos eventos realizados y una tabla de los equipos con mas puntos en un ranking realizado a ta vez de los puntos ganados en cada CTF.

La verdad es que está genial pero lo que mas me ha impresionado, es el gran trabajo de recopilación de writesups que hacen. Podemos leer los resultados de cualquier evento y la velocidad de actualización no está nada mal. 

Así que, tenemos todos los papers de las CTFs que nosotros queramos haciendo clic a un enlace,.

ESTO NO SE PAGA CON DINERO, ES PURO AMOR. 

Si teneis curiosidad por la pagina os dejo el enlace abajo: 

• https://ctftime.org

Aunque, si estais mas interesados en los wirteups/papers os indico que vayáis directos al siguiente enlace ya que están algo escondidos:

• https://ctftime.org/writeups 

Sed Buenos ;)