miércoles, 25 de diciembre de 2019

Viewstate without MAC Signature



by @raulrenales


Si sois usuarios de ZAP y últimamente habéis trabajado en el pentest de aplicaciones web basada en .NET es muy probable que os hayáis topado con esta vulnerabilidad, Viewstate without MAC Signature. En este post vamos a intentar hablar sobre ella y sobre las opciones de explotación que esta vulnerabilidad tiene, intentando aprender un poco como funciona el concepto de viewstate.

viernes, 22 de noviembre de 2019

Arsenal de herramientas para auditar la seguridad de tu API



By @raulrenales & @db3rn4l

En las últimas fechas mi compañero David (@db3rn4l) estamos trabajando con diferentes APIs auditando su seguridad, en este sentido creamos este post para tener un arsenal de herramientas que nos permitan trabajar en las auditorias de este tipo.

domingo, 10 de noviembre de 2019

HoneyCON 2019


Por quinto año consecutivo se celebró el Congreso de Seguridad Informática Ciudad de Guadalajara, que tras una dura semana de trabajo cerró con un nuevo récord de participación, dejando a Guadalajara como referente de la Ciberseguridad por unos días.

lunes, 17 de junio de 2019

WRITEUP - JASYP19 - Challenges - Cuantas contraseñas - 1v4n

Descripción


Fecha de liberación: 26 de abril de 2019
Autor: Inter_ferencias (https://twitter.com/inter_ferencias  ) y #HackingDesdeCero (https://twitter.com/hashtag/hackingdesdecero)
Dificultad: Bajo-Medio

Objetivo


Formato de flag: JASYP{flag}



Herramientas utilizadas


John the Ripper 1.9.0-jumbo-1 http://www.openwall.com/john/


Resumen:


Descargamos a través del link en la parte inferior izquierda de la pantalla el archivo llamado
NewDatabase.kdbx (411d3c16328957a8d107da30392fcd4a) y pasamos a realizar un análisis preliminar:


root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# file NewDatabase.kdbx
NewDatabase.kdbx: Keepass password database 2.x KDBX
root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# md5sum NewDatabase.kdbx
411d3c16328957a8d107da30392fcd4a  NewDatabase.kdbx
root@1v4n:~/CTF/JASYPCTF2019/forensic/cuantascontra# keepass2 NewDatabase.kdbx





Rompimos la contraseña con JtR para abrir la contraseña de la Base de datos de contraseñas de
Keepass (https://keepass.info/)


keepass2john NewDatabase.kdbx > Crack.hash && john -format=keepass Crack.hash >
output && john --show Crack.hash  > output && cat output

NewDatabase:admin
1 password hash cracked, 0 left





Y ahí está la flag es: JASYP{32d32c45d8a5141612c6db7313e83486}
Encontró : Hola caracola
(hash = 32d32c45d8a5141612c6db7313e83486)






Autor: 1v4n a.k.a. @1r0Dm448O
Twitter: https://twitter.com/1r0Dm48O

martes, 14 de mayo de 2019

WRITEUP: Challenge Linux 201 by @1r0Dm448O

Autor: 1v4n a.k.a. @1r0Dm448O
Twitter: https://twitter.com/1r0Dm48O  

Descripción
Fecha de liberación: 25 de abril de 2019
Autor: 53cur17y4f73rh0ur5 (https://ctftime.org/team/46502)
Dificultad: Bajo


Objetivo
Formato de flag: CSACTF{flag}


martes, 30 de abril de 2019

WRITEUP: Genetics (Crypto) b00t2root CTF


Autor: 1v4n a.k.a. @1r0Dm448O

Cipher in my blood. Flag is not in actual format. Wrap it in b00t2root{flag} before you submit?


Objetivo
Formato de flag: b00t2root{flag}




sábado, 30 de marzo de 2019

HTB Machine Walkthrough: Curling


Autor: 1v4n a.k.a. @1r0Dm48O

{0x0} Introducción


Curling es una máquina ubicada en HackTheBox que debemos vulnerar para conseguir las flags
de usuario (user.txt) y root (root.txt) creada por L4mpje basada en Linux OS, os mostraremos los
pasos que hemos dado.

viernes, 29 de marzo de 2019

Ya disponibles las entradas para el próximo sábado Hacker sobre Pentesting Web


Ya puedes reservar tu entrada para el próximo sábado hacker dedicado al pentesting web, si quieres asistir al evento puedes adquirir la tuya en el siguiente enlace:

https://sabadohackerpentestweb.eventbrite.es



domingo, 24 de marzo de 2019

27 de Abril, SabadoHacker: Memorias de un Pentester Web v.1


El próximo 27 de abril en el centro Asociado de la UNED se celebrara un nuevo #SabadoHacker de los programados para 2019. En esta ocasión el tema elegido sera Pentesting Web y el formato sera el de taller y resolución de casos prácticos. 

El encargado de impartir el taller sera Samuel Lopez (@ElChicoDePython) que preparara una plataforma con la que los asistentes puedan experimentar casos reales que el se ha encontrado en su día a día. Samuel Lopez es Auditor de seguridad en la empresa Mnemo y desarrollador Full Stack.

La reserva de entradas se abrirá en breve, se ruega que permanezcáis atentos a twitter o este blog.

sábado, 23 de marzo de 2019

Nuevo Sábado Hacker: Blockchain


Este sábado 23 de marzo llegaba al centro asociado de la UNED de Guadalajara el segundo de los Sábados Hacker preparados para 2019. En este caso la temática seleccionada fue BlockChain y de la mano de dos grandes ponentes como Pablo Fernandez Burgueño y Alberto Gomez Toribio se realizo un gran repaso sobre esta tecnología y las posibilidades que nos ofrece en su implantación en proyectos.

jueves, 24 de enero de 2019

VI Jornadas Ciberseg 2019


By @raulrenales


Durante los últimos días media docena de integrantes de HoneySec han participado en la sexta edición de Ciberseg, organizada por el grupo de Ingeniería de Servicios Telemáticos del Departamento de Automática, las Cátedra ISDEFE dirigida por profesores del Departamento de Ciencias de la Computación, y las Delegaciones de Estudiantes de la Escuela Politécnica Superior.

Para ser honestos de las 4 ediciones en las que hemos participado esta ha sido sin duda una de las mejores, se ha notado el salto organizativo, el nivel de ponentes y talleres y la masiva aceptación del público que llenó el auditorio y las salas de los talleres.

La organización del evento ha sido fiel a la estructura de otros años, se trata de un evento de dos jornadas donde en la primera jornada está dedicada a las charlas y la segunda a los talleres.

Ciberseg es una Con especial, se nota el ambiente universitario y la ilusión que aporta la juventud de sus organizadores, es por ello que es una de nuestras fechas marcadas en el calendario de conferencias y es una de las citas a la que no nos gusta faltar.