DEV Community: Carlos

First Person? - OSINT CTF Writeup - Pwnedcr2024

Carlos — Sat, 23 Nov 2024 01:56:51 +0000

Para este reto se nos daban estas instrucciones por lo que pensé en primera instancia que debía analizar el código fuente debido a que se mencionaba algo de moverse con las teclas. Esto me llevó a buscar algún key handler, pero el reto iba totalmente por otro lado.

Al ver el Discord, vi este mensaje que mencionaba algo de virtual y justo ese reto tenía la palabra Virtual en mayúscula. De manera que me di la tarea de analizar esa url.

Navegando el mundo virtual

Al abrir la web vi que era una especie de metaverso. De igual manera examiné el código fuente, pero tras buscar y no encontrar nada me di la tarea de recorrer ese mundo virtual yendo sala por sala.

Encontrando el flag en la Sala FAQ

En la sala FAQ encontramos en una pared la siguiente imagen con un string bastante interesante. Este tipo de texto como termina en = lo asocio con Base64.

UFdORHtPbGRfc2NoMDBsX2Nvd30=

Tras convertir de Base 64 a texto encontramos el flag

Flag: PWND{Old_sch00l_cow}

Terminator - MISC Writeup CTF - Pwnedcr2024

Carlos — Sat, 23 Nov 2024 01:45:05 +0000

Para este reto se nos brinda la siguiente imagen

Examinando la imagen

Como es un archivo suelo ejecutar comandos como strings, file, etc, pero con ellos no encontré nada interesante e incluso tampoco tras modificar los matices de colores. Sin embargo, tras ejecutar el comando steghide --info encontramos que existe un archivo txt dentro de la imagen por lo que procedí a extraerlo.

Para extraerlo utilicé el comando steghide --extract -sf nombreArchivo y por suerte no tenía contraseña.

Examinando el archivo txt oculto

Al abrir el archivo se encuentra el siguiente texto y tras examinar y probar diferentes cosas, podemos encontrar unos números que en mi caso al ver esto normalmente lo asocio con código ASCII, así que tras convertir cada número obtenemos lo siguiente.

Como se puede observar hay letras que coinciden con el flag, el cual tiene un formato de PWND{...}, pero ¿cómo debemos ordenarlo?. Acá me puse a observar bien el txt y vi que parecía haber una especie de pares, por ejemplo, en la línea 3 aparece pf y en la 37 también al puro final. Asimismo, en la línea 12 con xd y 33. Por consiguiente, me di la tarea de ordenar de acuerdo la sección de abajo

Esto nos brindaba este resultado PWND{_0x7}. Sin embargo, tras probarlo no ingresaba el flag y esto se debía a un error en la plataforma. Este error lo descubrí por el siguiente mensaje en discord

Tras observar las notificaciones encontramos lo siguiente

De manera que si tomamos PWND{_0x7} y aplicamos esta regla obtendríamos algo como PWND {_0x7}. No obstante, se pierde el formato por lo que tras intentar nuevamente otras opciones encontré que había un error en la instrucción debido a que era reemplazar _ por un espacio, quedando la flag correcta.

Flag: PWND{ 0x7}

Libre - OSINT CTF Writeup - Pwnedcr2024

Carlos — Sun, 17 Nov 2024 19:08:51 +0000

En este reto se nos brindaba una url, pero en mi caso tuve problemas para acceder a la url desde muchos navegadores.

Lo curioso del reto fue que primero encontré la flag, pero no sabía de cuál reto era.

Accediendo a la URL

Como tenía problemas para acceder a la URL empecé a buscar alternativas de ver el contenido de esa página.

Sabía que el dominio .ru es de Rusia, así que muy probablemente esa página estaba en ruso.

Se me ocurrió buscar la página internet con google y darle traducir para ver si me abría y efectivamente así fue

Una vez en la página pude ver que se trataba de información acerca de notificaciones por lo que se me ocurrió la idea de la existencia de un posible servicio que enviaba notificaciones y había que agregar el sitio web a las excepciones para recibir las notificaciones. Sin embargo, no recordaba que el sitio web me solicitará permisos, aún así opté por agregarlo en las configuraciones de Google Chrome, pero no obtuve los resultados esperados.

Me puse a ver la página web del reto y recordé que había una sección de notificaciones y que justo ahí había encontrado un flag codificado.

Buscando el flag

Habían varias notificaciones que se fueron liberando con el paso del tiempo y algunas de ellas tenían un texto codificado, así que parecía debía unirse, pero ¿cómo? debido a que no sabemos que va primero y ¿qué va al final? otra pregunta era, adivinar la codificación

Me puse a ver cómo podía armarlo y una notificación indicaba que iniciaba con >8u5(=ZP4$t2 y finalizaba con COGLX.B. Así que ya teníamos ambos extremos. Opté por colocar después del inicio, el texto de la notificación siguiente de acuerdo a la hora enviada nuXUCST0kC57 y así sucesivamente hasta tener el siguiente texto.

>8u5(=ZP4$t2nuXUCST0kC57@6j@WF19COGLX.B

Decodificando el flag

En mi caso me fui a master chef y hay una opción llamada "Magic" la cual me indicó de la codificación Base85

No conocía Base85, pero recordé que había una notificación que decía "Base new challenge 92", de manera que lo asocié con un posible Base92 y efectivamente existía.

Seguidamente, con Master Chef realicé la conversión y efectivamente encontré el flag

Flag: PWND{Ac4so_se_du3rme_en_el_CTf}

Traffic sniff - Forensics Writeup CTF - Pwnedcr2024

Carlos — Thu, 14 Nov 2024 07:04:44 +0000

Para este reto se nos brinda un archivo pcap de un tráfico de usb.

Investigando cómo funciona el tráfico de usb

Sinceramente el análisis de tráfico de red no es mi fuerte. Sin embargo, para este CTF tomé el reto de intentar resolverlo. Así que me puse a investigar y aprendí que en ese tráfico se pueden recuperar los clicks y teclas presionadas. Como es algo completamente nuevo para mí y aún no manejo bien, prefiero redirigir a uno de los artículos que leí.

Una vez que comprendí un poco cómo funcionaba encontré en internet scripts de python de muchas personas que realizan una conversión de un pcap a texto legible de la representación de las teclas presionas. Es por ello que opté por probarlos. Es importante mencionar que probé muchos scripts, pero algunos no me servían. El que me funcionó es el siguiente.

import subprocess,sys,os
import shlex,string
usb_codes = {
    "0x04":['a','A'],"0x05":['b','B'], "0x06":['c','C'], "0x07":['d','D'], "0x08":['e','E'], "0x09":['f','F'],"0x0A":['g','G'],"0x0B":['h','H'], "0x0C":['i','I'], "0x0D":['j','J'], "0x0E":['k','K'], "0x0F":['l','L'],"0x10":['m','M'], "0x11":['n','N'], "0x12":['o','O'], "0x13":['p','P'], "0x14":['q','Q'], "0x15":['r','R'],"0x16":['s','S'], "0x17":['t','T'], "0x18":['u','U'], "0x19":['v','V'], "0x1A":['w','W'], "0x1B":['x','X'],"0x1C":['y','Y'], "0x1D":['z','Z'], "0x1E":['1','!'], "0x1F":['2','@'], "0x20":['3','#'], "0x21":['4','$'],"0x22":['5','%'], "0x23":['6','^'], "0x24":['7','&'], "0x25":['8','*'], "0x26":['9','('], "0x27":['0',')'],"0x28":['\n','\n'], "0x29":['[ESC]','[ESC]'], "0x2A":['[BACKSPACE]','[BACKSPACE]'], "0x2B":['\t','\t'],"0x2C":[' ',' '], "0x2D":['-','_'], "0x2E":['=','+'], "0x2F":['[','{'], "0x30":[']','}'], "0x31":['\',"|'],"0x32":['#','~'], "0x33":";:", "0x34":"'\"", "0x36":",<",  "0x37":".>", "0x38":"/?","0x39":['[CAPSLOCK]','[CAPSLOCK]'], "0x3A":['F1'], "0x3B":['F2'], "0x3C":['F3'], "0x3D":['F4'], "0x3E":['F5'], "0x3F":['F6'], "0x41":['F7'], "0x42":['F8'], "0x43":['F9'], "0x44":['F10'], "0x45":['F11'],"0x46":['F12'], "0x4F":[u'→',u'→'], "0x50":[u'←',u'←'], "0x51":[u'↓',u'↓'], "0x52":[u'↑',u'↑']
   }
data = "usb.capdata"
filepath = sys.argv[1]

def keystroke_decoder(filepath,data):
    out = subprocess.run(shlex.split("tshark -r  %s -Y \"%s\" -T fields -e %s"%(filepath,data,data)),capture_output=True)
    output = out.stdout.split() # Last 8 bytes of URB_INTERPRUT_IN
    message = []
    modifier =0
    count =0
    for i in range(len(output)):
        buffer = str(output[i])[2:-1]
        if (buffer)[:2] == "02" or (buffer)[:2] == "20":
            for j in range(1):
                count +=1 
                m ="0x" + buffer[4:6].upper()
                if m in usb_codes and m == "0x2A": message.pop(len(message)-1)
                elif m in usb_codes: message.append(usb_codes.get(m)[1])
                else: break
        else:
            if buffer[:2] == "01": 
                modifier +=1
                continue   
            for j in range(1):
                count +=1 
                m  = "0x" + buffer[4:6].upper()
                if m in usb_codes and m == "0x2A": message.pop(len(message)-1)
                elif m in usb_codes : message.append(usb_codes.get(m)[0])
                else: break

    if modifier != 0:
        print(f'[-] Found Modifier in {modifier} packets [-]')
    return message

if len(sys.argv) != 2 or os.path.exists(filepath) != 1:
    print("\nUsage : ")
    print("\npython Usb_Keyboard_Parser.py <filepath>")
    print("Created by \t\t\t Sabhya <sabhrajmeh05@gmail.com\n")
    print("Must Install tshark & subprocess first to use it\n")
    print("To install run \"sudo apt install tshark\"")
    print("To install run \"pip install subprocess.run\"")
    exit(1)

function_call = keystroke_decoder(filepath,data)
hid_data =''

for _ in range(len(function_call)): hid_data += function_call[_]

if(hid_data == ''):
    function_call = keystroke_decoder(filepath, "usbhid.data")
    print("\n[+] Using filter \"usbhid.data\" Retrived HID Data is : \n")
    for _ in range(len(function_call)): print(function_call[_],end='')
    print("\n")
else:
    print("\n[+] Using filter \"usb.capdata\" Retrived HID Data is : \n")
    print(hid_data)

Conversión de pcap a teclas legibles

Una vez que lo ejecuté me dio el siguiente resultado

Acá empezó una lucha para averiguar la flag debido a que estaba ahí, pero no era el formato que yo esperaba. Intenté con alternativas como las siguientes:

pwnd{[s[CAPSLOCK]n1ff_th3_[CAPSLOCK]usb}
pwnd{sn1ff_th3_usb}

No tuve suerte así que me puse a analizar bien y me di cuenta que faltaba algo más. Justamente aparece en la flag CAPSLOCK, la cual nos permite cambiar el modo de escritura, mayúscula o minúscula. Es por ello que intenté establecer un intercalado de mayúsculas y minúsculas para la flag. Sin embargo habían varias combinaciones debido a que no sabía si CAPSLOCK estaba apagado o encendido al inicio. Algunos de los formatos que cree fueron:

pwnd{sn1ff_th3_USB}
PWND{SN1FF_TH3_usb}
PWND{Sn1ff_th3_USB}

Y así encontré la flag, que era la tercera opción

Flag: PWND{Sn1ff_th3_USB}

Udder Overflow - Binary Writeup CTF - Pwnedcr2024

Carlos — Thu, 14 Nov 2024 06:02:48 +0000

Para este reto se nos brinda un binario.

Ejecutando el binario

Lo primero que se me viene a la mente es brindarle los permisos para ejecutar y ver qué hace.

Como podemos observar el binario nos pide un texto y después se cierra. Estaba a punto de cargar el binario en Ghidra para hacerle reversing, pero antes de ello opté por ejecutar el comando strings.

Analizando el Binario

Para mi sorpresa tras ejecutar el comando strings encontré un texto posible de flag.

PUWND{buH ffer_oveH verflow_H hidden}
Al observar el texto vemos como unas letras U y H que parecen estar de más. Por consiguiente, las eliminé y me quedó PWND{buffer_overflow_hidden}

Flag: PWND{buffer_overflow_hidden}

Antitrust 1 - Web Writeup CTF - Pwnedcr2024

Carlos — Mon, 11 Nov 2024 15:32:41 +0000

Para este reto se nos brinda la información anterior. Como se puede observar, son rayas y puntos de manera que pensé en código MORSE. Así que busqué un traductor de MORSE a texto.

Decodificando código MORSE

Una vez decodificado vemos que nos dice que debemos mirar el "EGERFIL", suena similar a "Perfil". Sin embargo, de momento debemos hacer algo más, pero ya tenemos una pista.

Analizando código fuente

Anteriormente se resolvieron Sinapsis y Sinapsis 2 por lo que se conocía un poco la página. En el reto anterior (Sinapsis 2) estábamos en la página para aplicar a un trabajo, pero además de encontrar el flag de dicho reto, también encontramos una especie de credenciales.

Si analizamos bien, vemos que tenemos dos strings, hiddenUsery hiddenPass. Ambas con un valor inicial. No obstante, a ambas se les llega a anexar un nuevo valor más abajo. Por consiguiente, hiddenUser inicialmente tenía "Li", pero después se le agrega "sa", quedando "Lisa". Para hiddenPass tenemos inicialmente "Design_UIX_" y se le agrega "4ever", dando como resultado "Design_UIX_4ever".

Encontrando un sistema para acceder

Una vez que parece que tenemos unas credenciales debemos buscar dónde las podemos probar y justo en la página que nos encontramos tenemos un nuevo link que nos redirecciona a un panel administrativo

Panel administrativo

En este panel en la parte inferior encontramos un espacio para ingresar credenciales. Así que probamos los valores que encontramos previamente.

Dentro del sistema

Una vez dentro del sistema empezamos a buscar la flag. Noté la versión de Chamilo (nombre del sistema al que ingresamos) que está desactualizada y hay un exploit para ello.
Sin embargo, parece que eso es para un reto futuro, no para este.

Tras buscar más recordé que el código MORSE del inicio nos decía que miráramos el perfil.

En una de las publicaciones encontramos lo siguiente que parece ser base64 y una posible flag.

Decodificando texto encontrado

En un decodificador online copiamos y pegamos el texto, lo cual nos da como resultado el flag

Flag: PWND{Ti3nes_acc3s0_vuln3ra_eL_s3rv3r}

Paper sospechoso - Forensics Writeup CTF - Pwnedcr2024

Carlos — Mon, 11 Nov 2024 05:37:30 +0000

En este reto se nos proporciona un archivo con extensión docm. Personalmente, no conocía la extensión y lo primero que hice fue buscar en internet. Tras buscar me di cuenta que efectivamente mi hipótesis de un archivo con un código malicioso era cierta. Así que busqué en internet opciones para analizar un docm y me encontré una librería llamada python-oletools.

Analizando el archivo con Ole tools

Leyendo la documentación de dicha librería encontré el comando oleid, el cual me brindaba información básica del archiva y parte de esta información era el análisis de un posible macro malicioso. Así que tras correr el comando oleid Paper.docm

Analizando el macro malicioso

Dentro de esta librería existe un comando llamado olvba, el cual nos despliega el código del macro.

Justo en una parte del código encontramos la siguiente string, que parece está codificada. Normalmente, cuando veo esto suelo decodificar en base 64.

Decodificando cadena encontrada

En un sitio web decodifiqué la string y me di cuenta que dentro del resultado se encontraba el flag

Flag: PWNED{p4p3r_for_rev3ng3}

Sinapsis 2 - Web Writeup CTF - Pwnedcr2024

Carlos — Mon, 11 Nov 2024 05:15:49 +0000

En este reto se nos proporciona una url al igual que Sinapsis 1. De manera que haremos uso de las herramientas para desarrollador del navegador web.

Analizando la página web

Una vez en la página web había un link que nos redireccionaba a otra página con información para obtener un trabajo en la compañía.

Tras ingresar a esta nueva página encontramos otro código que también apunta a un flag.

De igual manera que Sinapsis 1 el texto termina en "=" por lo que es una señal de que esté en base64

Decodificando la variable

Para ello copiamos y pegamos el valor para decodificarlo, lo cual nos da la flag.

Flag: PWND{Ya_estas_cerca_d3_entr4r_al_sist3m4}

Sinapsis - Web Writeup CTF - Pwnedcr2024

Carlos — Mon, 11 Nov 2024 02:36:42 +0000

Este reto pertenece a la categoría de web, por lo que en primera instancia debemos ir pensando en analizar código fuente de la página. Para el mismo se nos proporcionaba una url.

Ingresando al sitio

Una vez en el sitio web, podemos abrir las herramientas de desarrollador (F12) y tras inspeccionar el código fuente de la primera página que nos mostraba podíamos observar lo siguiente casi al final del documento html

Se estaba creando una cookie con un valor

Analizando la cookie

Las herramientas de desarrollador tienen varias pestañas y una de ellas es la de Application. En la cual podemos ver las cookies y justo acá se encontraba la que vimos en el código anterior. Además, podíamos acceder a su valor, un valor que termina con "=" por lo que ya me apuntaba a un texto codificado en base64.

Decodificando la cookie

Para esta tarea emplee un decodificador online. Tras copiar y pegar el texto podemos descubrir la flag

Flag: PWND{Bu3n_tr4baj0_p3ro_f4cil}

Anomaly - Stego Writeup CTF - Pwnedcr2024

Carlos — Mon, 11 Nov 2024 02:16:54 +0000

Para este reto se nos brinda un archivo de audio en formato wav. De manera que lo primero que se me vino a la mente fue escuchar el audio y después analizar el espectro del mismo con alguna herramienta como audacity o bien a través de algún sitio web como dcode.fr, el cual cuenta con algunas otras herramientas útiles.

Escuchando el audio y traduciendo de MORSE a texto

Al escuchar el audio se escucha una serie de pitidos, los cuales parece que son código morse. Por consiguiente, intenté decodificar el audio con algún traductor de morse a texto

Sin embargo, como se puede ver tras hacer esto obtenemos el siguiente mensaje "CERCA, PERO ESTE NO ES EL FLAG". En este punto tenía un indicio de analizar algo más, ya que si se escucha con atención el audio presenta una anomalía del segundo 30 al 34. Así que opté por analizar el espectro.

Analizando el espectro del audio

Como mencioné al inicio se puede utilizar audacity, pero lo hice con esta otra herramienta que se encuentra disponible en línea dcode.fr.

Una vez cargado el archivo podemos ver el flag justo en esa interferencia que mencioné previamente.

Flag: PWNED{n0t_m0R53_th1S_t1me}