Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ronda de Hacking - Gambrinus challenge Sh3llcon

58 views

Published on

Intervención por parte del ponente Jorge Coronado en la primera edición de Ronda de Hacking en Triana. Habla sobre su experiencia ayudando en una de las pruebas del CTF (gymhackna) de la quinta edición de la Sh3llcon en Santander.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Ronda de Hacking - Gambrinus challenge Sh3llcon

  1. 1. 31/01/2019 www.quantika14.com 1
  2. 2. Quién soy yo • Fundador y CEO de QuantiKa14 • Colaborador de Canal Sur Radio desde 2015 • Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla • Colaborador del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” • Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos • Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación • Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) • Dinamizador del Hack&Beers Sevilla • Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 31/01/2019 www.quantika14.com 2
  3. 3. ¿Qué es Hacking Sevilla? • Un grupo de personas apasionadas por la seguridad informática y peritaje informático que realizan charlas y talleres. • Anteriores meetups/eventos: • Hack&Beers II • Charla uso seguro y responsable de las TIC • ¿Qué es la insolvencia? ¿Cómo investigar a personas insolventes usando OSINT? • Curso para proteger WordPress • Geoconciencia: localizados y localizables • Presentación de Killo.io • Generar un centro de testeo web con Docker • Guasap Forensic (Forense a WhatsApp) • Workshops… 31/01/2019 www.quantika14.com 3
  4. 4. GAMBRINUS SE HA PERDIDO EN SANTANDER JORGE CORONADO QUANTIKA14 31/01/2019 www.quantika14.com 4
  5. 5. Disclaimer 1. Soy un paquete en CTF 2. Es más, no tengo ni idea sobre CTF 3. Es mi primera vez que hago algo así 4. Mi objetivo es ayudar, aprender y compartir mi experiencia 31/01/2019 www.quantika14.com 5
  6. 6. ANTES DE HECHOS 31/01/2019 www.quantika14.com 6
  7. 7. ¿Te gustaría ayudar en la Gymhackna? 31/01/2019 www.quantika14.com 7
  8. 8. ¿Qué es una GymHACKna? https://twitter.com/C4T_13/status/1074687085536313344 31/01/2019 www.quantika14.com 8
  9. 9. ¿Qué es una GymHACKna? • Es un CTF • Pruebas secuenciales (también paralelas) y varias fases • Al aire libre 31/01/2019 www.quantika14.com 9
  10. 10. Es muy difícil pensar en una prueba para un CTF… y más para una GymHACKna 31/01/2019 www.quantika14.com 10
  11. 11. Solo se me ocurrían ideas con Gambrinus 31/01/2019 www.quantika14.com 11
  12. 12. Cruzcampo en er norte chungo 31/01/2019 www.quantika14.com 12
  13. 13. ¿EN QUÉ CONSISTE LA PRUEBA DE GAMBRINUS? 31/01/2019 www.quantika14.com 13
  14. 14. EMPIEZA LA PRUEBA • Delivered-To: sh3llcon@gmail.com Received: by 2002:a8a:70c:0:0:0:0:0 with SMTP id g12csp1779930ocq; Thu, 10 Jan 2019 04:25:22 -0800 (PST) X-Google-Smtp-Source: ALg8bN74fJ78WEYQHSWlluHjrMwDoRHCENxoZhXdv++YvAeE46QWIt0TwK3c0+Ggz u9gRoLbc2mb X-Received: by 2002:a1c:2884:: with SMTP id o126mr10124630wmo.17.1547123122547; Thu, 10 Jan 2019 04:25:22 -0800 (PST) Return-Path: <juankers@juankers.com> Received: from 1.tor.net (1.tor.net. [1.160.0.160]) by mx.google.com with ESMTPS id o8si43755348wrv.48.2019.01.10.04.25.22 for <sh3llcon@gmail.com> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Thu, 10 Jan 2019 04:25:22 -0800 (PST) Received-SPF: pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) client-ip=1.160.0.160; Authentication-Results: mx.google.com; spf=pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) smtp.mailfrom=juankers@juankers.com From: gambrinuselpastor <gambrinuselpastor@gmail.com> Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable Mime-Version: 1.0 (Mac OS X Mail 5.0 (1313.705.2)) Subject: Liberadme!!! Message-Id: <A01AEE45-1F75-4D52-8BDD-9E4C0FF9F374@gmail.com> Date: Thu, 10 Jan 2019 13:25:17 +0100 To: "Sh3llCON" <sh3llcon@gmail.com> X-VR-SPAMSTATE: OK X-VR-SPAMSCORE: -100 X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedtledrfeefgdegtdcutefuodetggdotefrodftvfcurfhro hhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtddtnecusecvtfgv tghiphhivghnthhsucdlqddutddtmd • Saludos fieles del camino del Pastor Gambrinus! Siento comunicaros que ten=C3=ADa intenci=C3=B3n de ir a Sh3llCON.=20 Sin embargo, tras aterrizar me encontr=C3=A9 que en el aeropuerto no hab=C3= =ADa una casa de se=C3=B1or cervecero y me puse muy nervioso=E2=80=A6 Por s= i era poco, al llegar a la ciudad, empeor=C3=B3 todo=E2=80=A6 =C2=BFC=C3=B3= mo podr=C3=ADan beber esas cervezucas los santanderinos? Me entretuve entre= las plazas de la noble ciudad comparando sabores por si la Cervezuca, la I= bre, la Smach u otras pod=C3=ADan ser mejores que la Cruzcampo pero me entr= etuve demasiado en los pubs y se me acercaron unos nobles se=C3=B1ores rubi= os con ojos azules y gabardinas negras hasta los pies y me dijeron que podr= =C3=ADamos hacer algo con la cervezucas de ellos, haci=C3=A9ndoles una mezc= la entre Cruzcampo y Vodka que ser=C3=ADa explosiva. Por supuesto, no me negu=C3=A9 a ello, pero resulta que he sido retenido po= r ellos contra mi voluntad y por eso os pido ayuda para que me encontr=C3= =A9is!!!=20 Estoy aprovechando en escribir el email mientras buscaba la f=C3=B3rmula m= =C3=A1gica de la Cruzcampo en un rato que me han dejado con Internet... Menos mal que me he enterado que ten=C3=A9is a un buen grupo de juankers qu= e lo flip=C3=A1is=E2=80=A6 por eso, como s=C3=B3lo ten=C3=A9is este correo,= pero me han dicho que pod=C3=A9is hacer cosas maravillosas con ellos, os i= nvoco para que hag=C3=A1is magia y me liber=C3=A9is de estos malvados bebed= ores de Vodka. gambrinuselpastor@gmail.com PD: Que el Pastor Gambrinus os proteja! 31/01/2019 www.quantika14.com 14
  15. 15. ¿Qué no tenemos que hacer? • Investigar el EML • Investigar la IP de TOR • Pensar que hay algún hash 31/01/2019 www.quantika14.com 15
  16. 16. Paso I Hacer un OSINT al email “gambrinuselpastor@Gmail.com” 1/31/2019 www.quantika14.com 16
  17. 17. PISTAS: 1. Básicamente céntrate en el email 2. Puedes usar esta aplicación: https://github.com/Quantika14/email- osint-ripper 31/01/2019 www.quantika14.com 17
  18. 18. EMAIL OSINT RIPPER (EO- RIPPER.PY) 1/31/2019 www.quantika14.com 18
  19. 19. Paso II 1/31/2019 www.quantika14.com 19
  20. 20. Paso III 1/31/2019 www.quantika14.com 20
  21. 21. ¿Qué nos encontramos? 31/01/2019 www.quantika14.com 21
  22. 22. Virus total 1/31/2019 www.quantika14.com 22
  23. 23. ¿Qué tiene el archivo? • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 1/31/2019 www.quantika14.com 23
  24. 24. ¿Qué paso? • No “funka” • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 31/01/2019 www.quantika14.com 24
  25. 25. ¿Qué no debíamos hacer? 1. Descompilar CX_FREEZER con https://sourceforge.net/projec ts/easypythondecompiler/ 2. Descompilar de muchas formas https://reverseengineering.sta ckexchange.com/questions/58 60/reverse-engineering- program-written-in-python- compiled-with-freeze/5861 31/01/2019 www.quantika14.com 25
  26. 26. Problemas hardcodeados 1/31/2019 www.quantika14.com 26
  27. 27. Base64 inversa en un bosque cruzcampero 1/31/2019 www.quantika14.com 27
  28. 28. Para confundir… 1/31/2019 www.quantika14.com 28
  29. 29. ¿Qué tenían que hacer? 1. Pensar en un forense informático 2. ¿Qué hará la aplicación? 3. Dice que la flag siempre la he tenido yo 4. ¿Será posible que cree en algún sitio un archivo con la flag? 5. Si es así que archivo del sistema de Windows me puede dar esa información… (http://blog.quantika14.com/el- mapa-forense-en-windows/) 31/01/2019 www.quantika14.com 29
  30. 30. ANALIZAMOS EL MFT MFT - Sección Informática. Archivo de sistema NTFS en volúmenes con formato NTFS , que contiene información acerca de cada archivo y carpeta del volumen. La tabla maestra de archivos es el primer archivo de un volumen NTFS . Lo parseamos a CSV y con Excel o nos hacemos un script…
  31. 31. Obtenemos la flag 31/01/2019 www.quantika14.com 31
  32. 32. Muchísimas gracias a la organización de la Sh3llcon por esta maravillosa experiencia 1/31/2019 www.quantika14.com 32
  33. 33. Muchas gracias por escuchar esta bonita experiencia que he tenido

×