OWASP Latam Tour 2019, CTF El Entrenamiento Necesario by Sebastián Vargas @blogdelciso

24 Abril 2019
¡CTF EL ENTRENAMIENTO NECESARIO!

Mg. Sebastián Vargas
CisoHacker
Ciso27K1
CISOSauri
o
Hum0
CajaL0ver
¡ CTF EL ENTRENAMIENTO NECESARIO ! 24 Abril 2019
R00t@a1r:# cat svargas.txt

v Académico de DUOC UC
v Actualmente Ingeniero de Ciberinteligencia Sector Financiero.
v Ex CISO Sector público y Presidene
v Entusiasta de Ciberseguridad y Influencer TOP 20 Chile 2018.
v Relator Profesional de Seguridad de la información y Ciberseguridad.
v Autor en blogdelciso.com. Twitter @blogdelciso
v Miembro de: P4rtyH4ck , CTF P4rtyH4ck,OWASP, Fundación Whilolab,
Sochisi, IOC Nacional, Ciberinteligencia Chile, L4tinHTB. Ex ISACA.
Mg. Sebastián Vargas linkedin.com/in/mgsebastianvargas/

BLOGDELCISO.COM
CyberKillChain

BLOGDELCISO.COM
Perfil de la Amenaza

BLOGDELCISO.COM
¿Qué pasa hoy en Chile?

BLOGDELCISO.COM
¿Entonces, cual es el panorama?
¡ALL
PWNED!
Noticias.

BLOGDELCISO.COM
¡Hay que entender que lo que antes funciono,

ya no es útil, frente al enemigo!
CiberAtacantes
Ciberseguridad Local

BLOGDELCISO.COM
¿Cómo se preparan los enemigos?

BLOGDELCISO.COM
¿Con que me defiendo?
Documentos Concientización Más Cajas
+ +
¡Diagnóstico Falso estado de Seguridad!

BLOGDELCISO.COM
¿Cómo nos preparamos nosotros?

BLOGDELCISO.COM
¿Con que me deberia defender?
Personas
Estrategia Concientización Cajas utiles Capacitadas
+ + +
¡Inicio de un estado de Seguridad real!

BLOGDELCISO.COM
¡Debes entrenar, antes de peliar!
0 -¡Jamás procastinar.!
1 -¡Humildad. Y reconocer tu realidad!
2 -¡Dejar fuera el ego!
3 -Participar en Comunidad
4 -Aprender Teoria y métodos
5 -Aprender técnicas
6 -Aprender y crear Herramientas
7 -Desarrollar el pensamiento lateral
8 -TRY HARD.
Reglas de Ciberseguridad
9 -Compartir lo aprendido.
del Señor Miyagi

BLOGDELCISO.COM
¡Que comience el entrenamiento!

BLOGDELCISO.COM
¿Qué es el CTF?
Capture the Flag (CTF) es un tipo especial de
competiciones de seguridad de la información.
Hay tres tipos comunes de CTF
Jeopardy
Attack-
Mixtos.
Defense
BLOGDELCISO.COM
¿Qué es el CTF?
Capture the Flag (CTF) es un tipo especial de competiciones de
Ciberseguridad.
ü Los CTF de Jeoparty tienen un par de

preguntas (tareas) en varias categorías
ü Más puntos por tareas más complicadas por lo

general.
ü La siguiente tarea en la cadena se puede abrir

solo después de que un equipo haya resuelto
la tarea anterior.
ü Luego, el tiempo de juego es más que la suma

de puntos te muestra un ganador de CTF.

BLOGDELCISO.COM
Tipos de desafios en un CTF

Ciberseguridad.
Análisis Forense Reconocimiento

Trivial [Trivia]
[Forensics] [Recon]
Criptografía Misceláneo
Web [Hack Web]
[Crypto] [Misc]
Esteganografía Programación
[Stego] [PPC]
Explotación Ingeniería Inversa

[Pwn] [Reversing]

BLOGDELCISO.COM

MISC
Pista Creemos que hay una contraseña SSH dentro de la

carpeta 'ZIP' protegida por contraseña.
¿Puedes descifrar la carpeta 'ZIP' y obtener la contraseña
SSH?
[misc]: Diferentes preguntas relacionadas con la seguridad informática.

BLOGDELCISO.COM

Esteganografia
Pista “puedes encontrar el mensaje oculto”
Esteganografía [Stego]: Imágenes, sonidos o vídeos que ocultan información en su interior.

BLOGDELCISO.COM

Web
Creemos que un determinado individuo utiliza
este sitio web para negocios dudosos. ¿Puede
averiguar quién es y enviarle un correo
electrónico para verificarlo, utilizando la
funcionalidad del sitio web?
Web: Descubrimiento de vulnerabilidades en una aplicación Web.

BLOGDELCISO.COM

Cripto
Sospechamos que algunos

terroristas tienen un plan para usar
el virus del ébola. Hemos logrado
recopilar un mensaje cifrado y su
clave. ¿Puedes ayudarnos a
descifrar el mensaje?
Criptografía [Crypto]: Textos cifrados mediante un criptosistema determinado.

BLOGDELCISO.COM

Forense
Se alertó al equipo de seguridad sobre

una actividad de red sospechosa
desde un servidor web de producción.
¿Puedes determinar si algún dato fue
robado y cuál fue?
Análisis Forense [Forensics]: Lo más común; imágenes de memoria, de discos duros o capturas de
red, las cuales almacenan diferentes tipos de información.

BLOGDELCISO.COM

Reversing
Ingeniería Inversa [Reversing]: Inferir en el funcionamiento del software. Lo más común, binarios de
Windows y Linux.

BLOGDELCISO.COM

PWN
Explotación [Pwn]: Descubrimiento de vulnerabilidades en un servidor.

BLOGDELCISO.COM
Metodologia para CTF
• Escanear
Enumerar • Identificar
• Explorar
• Analizar
• Buscar
Investigar • Recopilar
• Procesar
• Obtener
• Preparar
• Atacar
Explotar • Escalar
• Ex filtrar

BLOGDELCISO.COM
Técnicas que necesito conocer
OCI SQLi XSS/CSRF LFI/RFI
BOF RCE BYPASS PIVOTING
SHELL/REVERSE
ESCALATION REVERSING SCRIPTING
SHELL
CRIPTOGRAFIA ESTEGANOGRAFIA

BLOGDELCISO.COM
Pensamiento Lateral

BLOGDELCISO.COM
Herramientas minimas para CTF
Terminal
Navegador
Wireshark Gobuster Sublyme

BLOGDELCISO.COM
POC
Wireshark
BLOGDELCISO.COM
¿Qué es el ataque defensa?

Ciberseguridad.
ü Aquí cada equipo tiene su propia red (o solo un

host) con servicios vulnerables.
ü Su equipo tiene tiempo para parchear sus servicios
y desarrollar explotaciones generalmente.
ü Entonces, ¡los organizadores conectan a los
participantes de la competencia y comienza el
juego de guerra! Debe proteger sus propios
servicios para los puntos de defensa y hackear a los
oponentes para los puntos de ataque.
ü Históricamente, este es un primer tipo de CTF, todo
el mundo sabe acerca de DEF CON CTF , algo así
como una Copa del Mundo de todas las demás
competiciones.

BLOGDELCISO.COM
¿Qué es el CTF Mixto?
ü Los juegos de CTF a menudo abordan muchos

otros aspectos de la seguridad de la
información: criptografía, stego, análisis
binario, ingeniería inversa, seguridad móvil y
otros. Los buenos equipos generalmente
tienen habilidades y experiencia sólidas en
todos estos temas.

BLOGDELCISO.COM
¿Dónde me entero de los CTF?

https://ctftime.org/

BLOGDELCISO.COM
¿Qué herramientas necesito?
Una Distribución basada en Debian

con más de 300 herramientas de
pruebas de penetración. Preparada
por Offensive Security los creadores
de LA certificación más prestigiosa
de Ciberseguridad Ofensiva OSCP y
otras más.

BLOGDELCISO.COM
¿Qué herramientas necesito?
Oracle VM VirtualBox es un
software de virtualización para
arquitecturas x86/amd64.
Actualmente es desarrollado
por Oracle Corporation como
parte de su familia de
productos de virtualización

BLOGDELCISO.COM
¿Qué necesito leer?

BLOGDELCISO.COM
¿Qué necesito leer?
https://www.kali.org/download-kali-
linux-revealed-book/

BLOGDELCISO.COM
¿Dónde puedo practicar online?
Una plataforma en línea

para probar y mejorar sus
habilidades en pruebas de
penetración y seguridad
cibernética. Únete hoy y
comienza a entrenar en
nuestros laboratorios en
línea.
https://www.hackthebox.eu

BLOGDELCISO.COM
¿Cómo practico?

BLOGDELCISO.COM
¿Dónde puedo practicar offline?

Metasploitable
Descarga: https://github.com/rapid7/metasploitable3
Web Security Dojo

Descarga: https://sourceforge.net/projects/websecuritydojo/
DVWA Damn Vulnerable Web Application

Descarga: https://github.com/ethicalhack3r/DVWA
OWASP Mutillidae II
Descarga: https://sourceforge.net/projects/mutillidae/
VulnHub
Url: https://www.vulnhub.com/
Pentester Labs
Url: https://pentesterlab.com/

BLOGDELCISO.COM
La Ciberseguridad es un tema Cultural

BLOGDELCISO.COM
Conclusiones

BLOGDELCISO.COM
24 Abril 2019 ¡ !
CTF EL ENTRENAMIENTO NECESARIO
¡Gracias!
Mg. Sebastián
Vargas

OWASP Latam Tour 2019, CTF El Entrenamiento Necesario by Sebastián Vargas @blogdelciso

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

OWASP Latam Tour 2019, CTF El Entrenamiento Necesario by Sebastián Vargas @blogdelciso

Cargado por

Copyright:

Formatos disponibles

24 Abril 2019

¡CTF EL ENTRENAMIENTO NECESARIO!

R00t@a1r:# cat svargas.txt

Mg. Sebastián Vargas

Mg. Sebastián Vargas linkedin.com/in/mgsebastianvargas/

Mg. Sebastián Vargas

Mg. Sebastián Vargas

¿Qué pasa hoy en Chile?

Mg. Sebastián Vargas

¿Entonces, cual es el panorama?

Mg. Sebastián Vargas

¡Hay que entender que lo que antes funciono,

Mg. Sebastián Vargas

¿Cómo se preparan los enemigos?

Mg. Sebastián Vargas

¿Con que me defiendo?

Documentos Concientización Más Cajas

¡Diagnóstico Falso estado de Seguridad!

Mg. Sebastián Vargas

¿Cómo nos preparamos nosotros?

Mg. Sebastián Vargas

¿Con que me deberia defender?

¡Inicio de un estado de Seguridad real!

Mg. Sebastián Vargas

¡Debes entrenar, antes de peliar!

Mg. Sebastián Vargas

¡Que comience el entrenamiento!

Mg. Sebastián Vargas

Hay tres tipos comunes de CTF

ü Los CTF de Jeoparty tienen un par de

ü Más puntos por tareas más complicadas por lo

ü La siguiente tarea en la cadena se puede abrir

ü Luego, el tiempo de juego es más que la suma

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Análisis Forense Reconocimiento

Explotación Ingeniería Inversa

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Pista Creemos que hay una contraseña SSH dentro de la

[misc]: Diferentes preguntas relacionadas con la seguridad informática.

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Pista “puedes encontrar el mensaje oculto”

Esteganografía [Stego]: Imágenes, sonidos o vídeos que ocultan información en su interior.

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Web: Descubrimiento de vulnerabilidades en una aplicación Web.

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Sospechamos que algunos

Criptografía [Crypto]: Textos cifrados mediante un criptosistema determinado.

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Se alertó al equipo de seguridad sobre

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Mg. Sebastián Vargas

Tipos de desafios en un CTF

Explotación [Pwn]: Descubrimiento de vulnerabilidades en un servidor.

Mg. Sebastián Vargas

Metodologia para CTF

Mg. Sebastián Vargas

Técnicas que necesito conocer