Reto - http://labs.gf0s.

com/ -

Buenas tardes, esta es una de los diversos caminos para lograr realizar este CTF de GF0S.
Accedemos a la web del reto: http://labs.gf0s.com

Walkthrough realizado por el Team fwhibbit

https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Un poco más abajo nos encontramos con los HackLabs.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
HackLab #1
Si, ya lo sé......... es mucho texto por leer, pero créeme que no te tomará más de 3.5 minutos.
Introducción: Todos los días son puestos en operación miles de servidores en Internet, lamentablemente no
todos ellos son seguros ya que muchos administradores consideran que nunca serán objeto de un ataque y por
ello son muy flexibles en sus controles de seguridad, llegando a usar mecanismos de gestión y transferencia
de archivos nada recomendables.
Escenario del laboratorio: Imagina en 3D, una empresa que se dedica al diseño de drones de última generación.
Recientemente ha realizado una investigación que ha dado como resultado un prototipo de lo que consideran
será el dron más potente de nuestros tiempos. Si el diseño de este prototipo llegará a ser expuesto en Internet
antes de la fecha programada, causaría una gran pérdida económica para Imagina en 3D. Para evitar que esto
ocurra, has sido contratado con el objetivo evaluar los controles que están implementados y demostrar si la
seguridad puede ser vulnerada.

Tu objetivo (si deseas aceptarlo):

Has llegado a un acuerdo con Imagina en 3D y se definen los siguientes 2 objetivos:
1.- Intentar obtener el diseño del prototipo del dron.
2.- Dejar evidencia (un archivo .txt)

Reglas importantes: A pesar de que fuiste contratado y cuentas con la autorización del cliente, debes seguir
las siguientes reglas.
1.- Está prohibido todo ataque DoS / DDoS. En caso de identificar este comportamiento, el servidor será dado
de baja.
2.- Cuando logres acceder al sistema, deberás dejar una evidencia. Dicha evidencia deberá ser exclusivamente
un archivo .txt con tu nick del usuario.
3.- El contenido del archivo puede ser lo que tú quieras. Yo digo: ¿porque no usar ascii art?
4.- El servidor estará activo durante 1 semana. Por favor, no publicar durante este tiempo la manera en la que
accediste.
Información brindada por Imagina en 3D: La única información que te ha sido brindada para este servicio es
el nombre y el facebook del administrador del sistema. Puedes tener certeza que todo lo que necesitas esta allí.

1.- Nombre: Alejandro Quero.

2.- Facebook: https://www.facebook.com/profile.php?id=100010301916909

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Pistas: Siempre son bienvenidas unas pistas, por ello te compartimos las siguientes:
1.- Realiza un muy buen stalkeo del perfil del administrador, existen personas que ventilan sus problemas o
datos sensibles en Internet. Nunca se sabe... este admin puede ser una de esas personas.
2.- La vulnerabilidad no está en el servicio Web, por lo que no será requerido ejecutar herramientas como
Acunetix o SQLMap.
Plus: Tú y yo podremos ver en tiempo real cuando hayas logrado subir el archivo .txt al servidor. Si quieres
saber cuántos usuarios lo han logrado, puedes dar clic en el enlace que tiene como nombre Repositorio.
Última nota: Como último comentario queremos decirte que este esfuerzo lo hemos hecho para todos aquellos
usuarios que están iniciando en el mundo de la seguridad de la información. Este laboratorio no pretender ser
el más elaborado del mundo, pero le vendra bien a nuestros colegas que están dando sus primeros pasos.
¡Ahora sí... que comience el juego!
Atentamente: Cyberh99 y GF0S.

Pongamos la información en orden, tenemos:

1.- Intentar obtener el diseño del prototipo del dron.
2.- Dejar evidencia (un archivo .txt)
3.- Admin: Alejandro Quero.
4.- Facebook: https://www.facebook.com/profile.php?id=100010301916909
5.- Realiza un muy buen stalkeo del perfil del administrador, existen personas que ventilan sus problemas o
datos sensibles en Internet. Nunca se sabe... este admin puede ser una de esas personas.
6.- La vulnerabilidad no está en el servicio Web, por lo que no será requerido ejecutar herramientas como
Acunetix o SQLMap.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Vamos a la página de Facebook, a ver que podemos sacar de información:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
Pues hemos recogido la información necesaria, y ahora vamos a organizarla para ver que tenemos en claro:
1.- El admin tiene una captura del acceso por FTP y se ha dejado el login al descubierto: aquero
2.- Accedemos al enlace dejado de Mega y nos bajamos el diagrama de la WAN.

3.- En el mail enviado a otra persona de la empresa, describe la política de Seguridad para las Contraseñas:
Para dispositivos accesibles vía Red (como Telnet,Ftp o Red de Windows) deberán usar como contraseñas
únicamente números. Para evitar problemas de seguridad las contraseñas deberán ser de 7 dígitos.
Para contraseñas locales (como documentos, Pdf, .doc, .zip) deberán usar únicamente letras minúsculas y
números. Para evitar que nuestros usuarios olviden su contraseña, deberá ser de 6 dígitos.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

ACCEDIENDO AL FTP

Como estamos en una Lan, para que el FTP nos reconozca para enviar y recibir comandos tenemos que poner
la opción -p (passive mode) y así nos identificará desde nuestro router la ip interna que tenemos asignada.
Probamos passwords por defecto y no obtenemos resultado, sabemos el user: aquero
En el mail enviado al equipo de seguridad, decía que las contraseñas para estos servicios tenían que tener 7
dígitos y exclusivamente números. Pues arrancamos Crunch y nos creamos un diccionario con esos
parámetros:

crunch mínimo máximo caracteres -o ruta_de_salida_del_archivo/nombre_archivo.txt

Ya tenemos el diccionario listo, vamos a importarlo a HYDRA

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Vamos a recurrir a Hydra para crackear la pass del FTP:

Loging:aquero
Pass:0019808

Ahora si podremos acceder al FTP:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Aquí es donde tenemos que dejar la evidencia que nos pedía de que hemos al servidor, pues vamos a ello:

Ahora lo subimos al server FTP:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Comprobamos que hemos subido el .txt:

Archivo subido exitosamente y algunos miembros del TEAM fwhibbit.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Inspeccionando el FTP, vimos algo curioso más abajo:

No nos muestra nada, nos dice que es un directorio.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Nos vamos a la parte del reto para ver nuestro archivo fwhibbit.txt vía web (recordad, que en el esquema se
podía acceder mediante ftp y web):

Viendo el sitio de todos aquellos que han logrado acceder al FTP, nos hemos percatado de que no vemos el
directorio “ privado ” que vimos en el server, inspeccionando la url que tenemos en el navegador para ver
nuestro fwhibbit.txt , probemos hacer algo haber que ocurre:

¡Bingo! , hemos accedido al directorio y no está vacío, contiene un archivo : PrototipoPrivado6.zip

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Una vez descargado procedemos a descomprimirlo para ver el prototipo y conseguir la FLAG del Reto1:

Vaya, nos pide una password, mmmmmm, si recordamos el mail que ponía las políticas de seguridad de la
empresa decía:
Para contraseñas locales (como documentos, Pdf, .doc, .zip) deberán usar únicamente letras minúsculas y
números. Para evitar que nuestros usuarios olviden su contraseña, deberá ser de 6 dígitos.

fcrackzip -b(brute force) -c a1(caracteres alfanuméricos) -l 6-6(minimo y máximo longitud de pass)

-v (utiliza más palabras) -u (Utiliza unzip para descartar las contraseñas erróneas, muy útil porque así nos
da la correcta, y no un montón de contraseñas probables (como ocurre en muchos casos).)

/root/Escritorio/PrototipoPrivado6.zip (ruta y archivo a crackear)

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
El área privada pide user y pass, vamos a inspeccionar el archivo. pcap que nos descargamos anteriormente,
podemos hacerlo de dos formas distintas que aquí veremos y nos ha funcionado:
WIRESHARK:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

En el enunciado ya nos daba alguna pista que nos decía volver a los básicos protocolos y también nos daba
otra pista en la imagen del enunciado del reto:
Hacemos un filtrado por el protocolo http y revisamos las peticiones GET que es la información que enviamos
desde nosotros a la web con la que estamos interactuando:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Otra manera es utilizando esta herramienta bajo windows:
NetworkMinner:

Esta herramienta me ha gustado mucho por su facilidad de uso, nos lo dá todo masticado. Es otra opción muy
buena si no dominamos el wireshark.
Pues ya tenemos las credenciales del área privada
User:james
Pass:007BOND

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
Comencemos el Reto-3, el link anterior nos envía a esta dirección web:

Vemos un código QR, descargamos la imagen y vamos a descifrarla: http://zxing.org/w/decode.jspx

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/
Nos descargamos la imagen del billete para comprobar si tiene Metadatos incorporados y nos puedan ser
ayuday nos vamos a la web de ElevenPaths (los metadatos que saqué con un script de pyhon no me los
ordenaba bien la información que yo quería, por eso acudimos a esta web):

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Vemos que tiene unos Metadatos interesantes de coordenadas GPS, tal vez nos indiquen a donde se ha
escondido TOCHAMA.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Introducimos las coordenadas en esta web: http://www.coordenadas-gps.com/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Ya nos estamos acercando, se fue a la INDIA, pues introduzcamos la url de destino: http://labs.gf0s.com/india/

Vaya parece que no hemos terminado, veamos lo que nos pide,

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Nos pide PASSWORD, que podríamos hacer,probar pass por defecto:

Nos da una pista de que todo lo que necesitamos está en la página principal, veamos el código fuente y
buscamos la palabra password:

PASS: 2657

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Otro método es con el complemento de Firefox llamado Firebug.
En el checkbox de AREA RESTRINGIDA, le damos click derecho y lo señalamos:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Vemos que tiene el script contraído, pues le damos al + y lo extendemos para inspeccionarlo:

Seguimos el script hasta el final, puede que nos de alguna información:

PASS: 2657

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Ahora que ya sabemos la password:2657 vamos a introducirla para ver si hemos conseguido pasar:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Le damos a Download y nos redirige a la web de Mega:

Nos pide la llave para desencriptar el link y descargarnos el archivo, la llave la tenemos arriba en el enunciado
del reto:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Nos descargamos el archivo Reto3_Acertijo4.pcap y lo abrimos con Network Minner:

El archivo contiene una imagen con texto escrito, veamos lo que dice:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Nos manda a la siguiente dirección: http://labs.gf0s.com/r3c0d3/d9dca86bed509ecce0902ab8cc1c1d88

Parece ser que no le gusta nuestro navegador, solamente acepta el navegador de GF0S.

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

Usamos el copmplemento de Tamper Data para modificar las peticiones que enviamos a la web:

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/

RETO GF0S - http://labs.gf0s.com https://fwhibbit.blogspot.com.es/