Intervención por parte del ponente Jorge Coronado en la primera edición de Ronda de Hacking en Triana. Habla sobre su experiencia ayudando en una de las pruebas del CTF (gymhackna) de la quinta edición de la Sh3llcon en Santander.
2. Quién soy yo
• Fundador y CEO de QuantiKa14
• Colaborador de Canal Sur Radio desde 2015
• Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla
• Colaborador del primer “Protocolo institucional en España ante la violencia de
género en las redes sociales”
• Formación a cuerpos de seguridad en investigación a través de Internet desde
la ESPA y otros cursos
• Creador del protocolo de actuación para la búsqueda de personas
desaparecidas a través de las tecnologías de la información y comunicación
• Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN)
• Dinamizador del Hack&Beers Sevilla
• Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante
Gates, Killo.io, etc
31/01/2019 www.quantika14.com 2
3. ¿Qué es Hacking Sevilla?
• Un grupo de personas apasionadas por la
seguridad informática y peritaje
informático que realizan charlas y talleres.
• Anteriores meetups/eventos:
• Hack&Beers II
• Charla uso seguro y responsable de las TIC
• ¿Qué es la insolvencia? ¿Cómo investigar a
personas insolventes usando OSINT?
• Curso para proteger WordPress
• Geoconciencia: localizados y localizables
• Presentación de Killo.io
• Generar un centro de testeo web con
Docker
• Guasap Forensic (Forense a WhatsApp)
• Workshops…
31/01/2019 www.quantika14.com 3
5. Disclaimer
1. Soy un paquete en CTF
2. Es más, no tengo ni idea sobre CTF
3. Es mi primera vez que hago algo así
4. Mi objetivo es ayudar, aprender y compartir mi experiencia
31/01/2019 www.quantika14.com 5
8. ¿Qué es una GymHACKna?
https://twitter.com/C4T_13/status/1074687085536313344
31/01/2019 www.quantika14.com 8
9. ¿Qué es una
GymHACKna?
• Es un CTF
• Pruebas secuenciales (también
paralelas) y varias fases
• Al aire libre
31/01/2019 www.quantika14.com 9
10. Es muy difícil pensar en
una prueba para un
CTF… y más para una
GymHACKna
31/01/2019 www.quantika14.com 10
11. Solo se me ocurrían ideas con
Gambrinus
31/01/2019 www.quantika14.com 11
12. Cruzcampo en er norte chungo
31/01/2019 www.quantika14.com 12
13. ¿EN QUÉ CONSISTE LA
PRUEBA DE
GAMBRINUS?
31/01/2019 www.quantika14.com 13
14. EMPIEZA LA PRUEBA
• Delivered-To: sh3llcon@gmail.com
Received: by 2002:a8a:70c:0:0:0:0:0 with SMTP id g12csp1779930ocq;
Thu, 10 Jan 2019 04:25:22 -0800 (PST)
X-Google-Smtp-Source:
ALg8bN74fJ78WEYQHSWlluHjrMwDoRHCENxoZhXdv++YvAeE46QWIt0TwK3c0+Ggz
u9gRoLbc2mb
X-Received: by 2002:a1c:2884:: with SMTP id
o126mr10124630wmo.17.1547123122547;
Thu, 10 Jan 2019 04:25:22 -0800 (PST)
Return-Path: <juankers@juankers.com>
Received: from 1.tor.net (1.tor.net. [1.160.0.160])
by mx.google.com with ESMTPS id o8si43755348wrv.48.2019.01.10.04.25.22
for <sh3llcon@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Thu, 10 Jan 2019 04:25:22 -0800 (PST)
Received-SPF: pass (google.com: domain of juankers@juankers.com designates
1.160.0.160 as permitted sender) client-ip=1.160.0.160;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as
permitted sender) smtp.mailfrom=juankers@juankers.com
From: gambrinuselpastor <gambrinuselpastor@gmail.com>
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Mime-Version: 1.0 (Mac OS X Mail 5.0 (1313.705.2))
Subject: Liberadme!!!
Message-Id: <A01AEE45-1F75-4D52-8BDD-9E4C0FF9F374@gmail.com>
Date: Thu, 10 Jan 2019 13:25:17 +0100
To: "Sh3llCON" <sh3llcon@gmail.com>
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: -100
X-VR-SPAMCAUSE:
gggruggvucftvghtrhhoucdtuddrgedtledrfeefgdegtdcutefuodetggdotefrodftvfcurfhro
hhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtddtnecusecvtfgv
tghiphhivghnthhsucdlqddutddtmd
• Saludos fieles del camino del Pastor Gambrinus!
Siento comunicaros que ten=C3=ADa intenci=C3=B3n de ir a Sh3llCON.=20
Sin embargo, tras aterrizar me encontr=C3=A9 que en el aeropuerto no hab=C3=
=ADa una casa de se=C3=B1or cervecero y me puse muy nervioso=E2=80=A6 Por s=
i era poco, al llegar a la ciudad, empeor=C3=B3 todo=E2=80=A6 =C2=BFC=C3=B3=
mo podr=C3=ADan beber esas cervezucas los santanderinos? Me entretuve entre=
las plazas de la noble ciudad comparando sabores por si la Cervezuca, la I=
bre, la Smach u otras pod=C3=ADan ser mejores que la Cruzcampo pero me entr=
etuve demasiado en los pubs y se me acercaron unos nobles se=C3=B1ores rubi=
os con ojos azules y gabardinas negras hasta los pies y me dijeron que podr=
=C3=ADamos hacer algo con la cervezucas de ellos, haci=C3=A9ndoles una mezc=
la entre Cruzcampo y Vodka que ser=C3=ADa explosiva.
Por supuesto, no me negu=C3=A9 a ello, pero resulta que he sido retenido po=
r ellos contra mi voluntad y por eso os pido ayuda para que me encontr=C3=
=A9is!!!=20
Estoy aprovechando en escribir el email mientras buscaba la f=C3=B3rmula m=
=C3=A1gica de la Cruzcampo en un rato que me han dejado con Internet...
Menos mal que me he enterado que ten=C3=A9is a un buen grupo de juankers qu=
e lo flip=C3=A1is=E2=80=A6 por eso, como s=C3=B3lo ten=C3=A9is este correo,=
pero me han dicho que pod=C3=A9is hacer cosas maravillosas con ellos, os i=
nvoco para que hag=C3=A1is magia y me liber=C3=A9is de estos malvados bebed=
ores de Vodka.
gambrinuselpastor@gmail.com
PD: Que el Pastor Gambrinus os proteja!
31/01/2019 www.quantika14.com 14
15. ¿Qué no tenemos que hacer?
• Investigar el EML
• Investigar la IP de TOR
• Pensar que hay algún hash
31/01/2019 www.quantika14.com 15
16. Paso I
Hacer un OSINT al email
“gambrinuselpastor@Gmail.com”
1/31/2019 www.quantika14.com 16
17. PISTAS:
1. Básicamente céntrate en el email
2. Puedes usar esta aplicación: https://github.com/Quantika14/email-
osint-ripper
31/01/2019 www.quantika14.com 17
23. ¿Qué tiene el archivo?
• Python 3
• Compilado con CX_FREEZE
• Ofuscado con Pyobfuscate
• Ofuscado con Htibctobf
• Ofuscado de Cruzcampo manera
• Comprimido pyminifier (gzip)
1/31/2019 www.quantika14.com 23
24. ¿Qué paso?
• No “funka” • Python 3
• Compilado con CX_FREEZE
• Ofuscado con Pyobfuscate
• Ofuscado con Htibctobf
• Ofuscado de Cruzcampo
manera
• Comprimido pyminifier (gzip)
31/01/2019 www.quantika14.com 24
25. ¿Qué no debíamos hacer?
1. Descompilar CX_FREEZER con
https://sourceforge.net/projec
ts/easypythondecompiler/
2. Descompilar de muchas
formas
https://reverseengineering.sta
ckexchange.com/questions/58
60/reverse-engineering-
program-written-in-python-
compiled-with-freeze/5861
31/01/2019 www.quantika14.com 25
29. ¿Qué tenían que hacer?
1. Pensar en un forense informático
2. ¿Qué hará la aplicación?
3. Dice que la flag siempre la he
tenido yo
4. ¿Será posible que cree en algún
sitio un archivo con la flag?
5. Si es así que archivo del sistema
de Windows me puede dar esa
información…
(http://blog.quantika14.com/el-
mapa-forense-en-windows/)
31/01/2019 www.quantika14.com 29
30. ANALIZAMOS
EL MFT
MFT - Sección Informática. Archivo de sistema
NTFS en volúmenes con formato NTFS , que
contiene información acerca de cada archivo y
carpeta del volumen. La tabla maestra de archivos
es el primer archivo de un volumen NTFS .
Lo parseamos a CSV y con Excel o nos hacemos un
script…