viernes, 22 de noviembre de 2019

Arsenal de herramientas para auditar la seguridad de tu API



By @raulrenales & @db3rn4l

En las últimas fechas mi compañero David (@db3rn4l) estamos trabajando con diferentes APIs auditando su seguridad, en este sentido creamos este post para tener un arsenal de herramientas que nos permitan trabajar en las auditorias de este tipo.

domingo, 10 de noviembre de 2019

HoneyCON 2019


Por quinto año consecutivo se celebró el Congreso de Seguridad Informática Ciudad de Guadalajara, que tras una dura semana de trabajo cerró con un nuevo récord de participación, dejando a Guadalajara como referente de la Ciberseguridad por unos días.

lunes, 17 de junio de 2019

WRITEUP - JASYP19 - Challenges - Cuantas contraseñas - 1v4n

Descripción


Fecha de liberación: 26 de abril de 2019
Autor: Inter_ferencias (https://twitter.com/inter_ferencias  ) y #HackingDesdeCero (https://twitter.com/hashtag/hackingdesdecero)
Dificultad: Bajo-Medio

Objetivo


Formato de flag: JASYP{flag}



Herramientas utilizadas


John the Ripper 1.9.0-jumbo-1 http://www.openwall.com/john/


Resumen:


Descargamos a través del link en la parte inferior izquierda de la pantalla el archivo llamado
NewDatabase.kdbx (411d3c16328957a8d107da30392fcd4a) y pasamos a realizar un análisis preliminar:


root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# file NewDatabase.kdbx
NewDatabase.kdbx: Keepass password database 2.x KDBX
root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# md5sum NewDatabase.kdbx
411d3c16328957a8d107da30392fcd4a  NewDatabase.kdbx
root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# keepass2 NewDatabase.kdbx





Rompimos la contraseña con JtR para abrir la contraseña de la Base de datos de contraseñas de
Keepass (https://keepass.info/)


keepass2john NewDatabase.kdbx > Crack.hash && john -format=keepass Crack.hash >
output && john --show Crack.hash  > output && cat output

NewDatabase:admin
1 password hash cracked, 0 left





Y ahí está la flag es: JASYP{32d32c45d8a5141612c6db7313e83486}
Encontró : Hola caracola
(hash = 32d32c45d8a5141612c6db7313e83486)






Autor: 1v4n a.k.a. @1r0Dm448O
Twitter: https://twitter.com/1r0Dm48O

martes, 14 de mayo de 2019

WRITEUP: Challenge Linux 201 by @1r0Dm448O

Autor: 1v4n a.k.a. @1r0Dm448O
Twitter: https://twitter.com/1r0Dm48O  

Descripción
Fecha de liberación: 25 de abril de 2019
Autor: 53cur17y4f73rh0ur5 (https://ctftime.org/team/46502)
Dificultad: Bajo


Objetivo
Formato de flag: CSACTF{flag}


martes, 30 de abril de 2019

WRITEUP: Genetics (Crypto) b00t2root CTF


Autor: 1v4n a.k.a. @1r0Dm448O

Cipher in my blood. Flag is not in actual format. Wrap it in b00t2root{flag} before you submit?


Objetivo
Formato de flag: b00t2root{flag}




sábado, 30 de marzo de 2019

HTB Machine Walkthrough: Curling


Autor: 1v4n a.k.a. @1r0Dm48O

{0x0} Introducción


Curling es una máquina ubicada en HackTheBox que debemos vulnerar para conseguir las flags
de usuario (user.txt) y root (root.txt) creada por L4mpje basada en Linux OS, os mostraremos los
pasos que hemos dado.