SlideShare une entreprise Scribd logo

Ronda de Hacking - Gambrinus challenge Sh3llcon

QuantiKa14
QuantiKa14

Intervención por parte del ponente Jorge Coronado en la primera edición de Ronda de Hacking en Triana. Habla sobre su experiencia ayudando en una de las pruebas del CTF (gymhackna) de la quinta edición de la Sh3llcon en Santander.

Logiciels
1  sur  33
Télécharger pour lire hors ligne
31/01/2019 www.quantika14.com 1
Quién soy yo • Fundador y CEO de QuantiKa14 • Colaborador de Canal Sur Radio desde 2015 • Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla • Colaborador del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” • Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos • Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación • Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) • Dinamizador del Hack&Beers Sevilla • Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 31/01/2019 www.quantika14.com 2
¿Qué es Hacking Sevilla? • Un grupo de personas apasionadas por la seguridad informática y peritaje informático que realizan charlas y talleres. • Anteriores meetups/eventos: • Hack&Beers II • Charla uso seguro y responsable de las TIC • ¿Qué es la insolvencia? ¿Cómo investigar a personas insolventes usando OSINT? • Curso para proteger WordPress • Geoconciencia: localizados y localizables • Presentación de Killo.io • Generar un centro de testeo web con Docker • Guasap Forensic (Forense a WhatsApp) • Workshops… 31/01/2019 www.quantika14.com 3
GAMBRINUS SE HA PERDIDO EN SANTANDER JORGE CORONADO QUANTIKA14 31/01/2019 www.quantika14.com 4
Disclaimer 1. Soy un paquete en CTF 2. Es más, no tengo ni idea sobre CTF 3. Es mi primera vez que hago algo así 4. Mi objetivo es ayudar, aprender y compartir mi experiencia 31/01/2019 www.quantika14.com 5
ANTES DE HECHOS 31/01/2019 www.quantika14.com 6
¿Te gustaría ayudar en la Gymhackna? 31/01/2019 www.quantika14.com 7
¿Qué es una GymHACKna? https://twitter.com/C4T_13/status/1074687085536313344 31/01/2019 www.quantika14.com 8
¿Qué es una GymHACKna? • Es un CTF • Pruebas secuenciales (también paralelas) y varias fases • Al aire libre 31/01/2019 www.quantika14.com 9
Es muy difícil pensar en una prueba para un CTF… y más para una GymHACKna 31/01/2019 www.quantika14.com 10
Solo se me ocurrían ideas con Gambrinus 31/01/2019 www.quantika14.com 11
Cruzcampo en er norte chungo 31/01/2019 www.quantika14.com 12
¿EN QUÉ CONSISTE LA PRUEBA DE GAMBRINUS? 31/01/2019 www.quantika14.com 13
EMPIEZA LA PRUEBA • Delivered-To: sh3llcon@gmail.com Received: by 2002:a8a:70c:0:0:0:0:0 with SMTP id g12csp1779930ocq; Thu, 10 Jan 2019 04:25:22 -0800 (PST) X-Google-Smtp-Source: ALg8bN74fJ78WEYQHSWlluHjrMwDoRHCENxoZhXdv++YvAeE46QWIt0TwK3c0+Ggz u9gRoLbc2mb X-Received: by 2002:a1c:2884:: with SMTP id o126mr10124630wmo.17.1547123122547; Thu, 10 Jan 2019 04:25:22 -0800 (PST) Return-Path: <juankers@juankers.com> Received: from 1.tor.net (1.tor.net. [1.160.0.160]) by mx.google.com with ESMTPS id o8si43755348wrv.48.2019.01.10.04.25.22 for <sh3llcon@gmail.com> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Thu, 10 Jan 2019 04:25:22 -0800 (PST) Received-SPF: pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) client-ip=1.160.0.160; Authentication-Results: mx.google.com; spf=pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) smtp.mailfrom=juankers@juankers.com From: gambrinuselpastor <gambrinuselpastor@gmail.com> Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable Mime-Version: 1.0 (Mac OS X Mail 5.0 (1313.705.2)) Subject: Liberadme!!! Message-Id: <A01AEE45-1F75-4D52-8BDD-9E4C0FF9F374@gmail.com> Date: Thu, 10 Jan 2019 13:25:17 +0100 To: "Sh3llCON" <sh3llcon@gmail.com> X-VR-SPAMSTATE: OK X-VR-SPAMSCORE: -100 X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedtledrfeefgdegtdcutefuodetggdotefrodftvfcurfhro hhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtddtnecusecvtfgv tghiphhivghnthhsucdlqddutddtmd • Saludos fieles del camino del Pastor Gambrinus! Siento comunicaros que ten=C3=ADa intenci=C3=B3n de ir a Sh3llCON.=20 Sin embargo, tras aterrizar me encontr=C3=A9 que en el aeropuerto no hab=C3= =ADa una casa de se=C3=B1or cervecero y me puse muy nervioso=E2=80=A6 Por s= i era poco, al llegar a la ciudad, empeor=C3=B3 todo=E2=80=A6 =C2=BFC=C3=B3= mo podr=C3=ADan beber esas cervezucas los santanderinos? Me entretuve entre= las plazas de la noble ciudad comparando sabores por si la Cervezuca, la I= bre, la Smach u otras pod=C3=ADan ser mejores que la Cruzcampo pero me entr= etuve demasiado en los pubs y se me acercaron unos nobles se=C3=B1ores rubi= os con ojos azules y gabardinas negras hasta los pies y me dijeron que podr= =C3=ADamos hacer algo con la cervezucas de ellos, haci=C3=A9ndoles una mezc= la entre Cruzcampo y Vodka que ser=C3=ADa explosiva. Por supuesto, no me negu=C3=A9 a ello, pero resulta que he sido retenido po= r ellos contra mi voluntad y por eso os pido ayuda para que me encontr=C3= =A9is!!!=20 Estoy aprovechando en escribir el email mientras buscaba la f=C3=B3rmula m= =C3=A1gica de la Cruzcampo en un rato que me han dejado con Internet... Menos mal que me he enterado que ten=C3=A9is a un buen grupo de juankers qu= e lo flip=C3=A1is=E2=80=A6 por eso, como s=C3=B3lo ten=C3=A9is este correo,= pero me han dicho que pod=C3=A9is hacer cosas maravillosas con ellos, os i= nvoco para que hag=C3=A1is magia y me liber=C3=A9is de estos malvados bebed= ores de Vodka. gambrinuselpastor@gmail.com PD: Que el Pastor Gambrinus os proteja! 31/01/2019 www.quantika14.com 14
¿Qué no tenemos que hacer? • Investigar el EML • Investigar la IP de TOR • Pensar que hay algún hash 31/01/2019 www.quantika14.com 15
Paso I Hacer un OSINT al email “gambrinuselpastor@Gmail.com” 1/31/2019 www.quantika14.com 16
PISTAS: 1. Básicamente céntrate en el email 2. Puedes usar esta aplicación: https://github.com/Quantika14/email- osint-ripper 31/01/2019 www.quantika14.com 17
EMAIL OSINT RIPPER (EO- RIPPER.PY) 1/31/2019 www.quantika14.com 18
Paso II 1/31/2019 www.quantika14.com 19
Paso III 1/31/2019 www.quantika14.com 20
¿Qué nos encontramos? 31/01/2019 www.quantika14.com 21
Virus total 1/31/2019 www.quantika14.com 22
¿Qué tiene el archivo? • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 1/31/2019 www.quantika14.com 23
¿Qué paso? • No “funka” • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 31/01/2019 www.quantika14.com 24
¿Qué no debíamos hacer? 1. Descompilar CX_FREEZER con https://sourceforge.net/projec ts/easypythondecompiler/ 2. Descompilar de muchas formas https://reverseengineering.sta ckexchange.com/questions/58 60/reverse-engineering- program-written-in-python- compiled-with-freeze/5861 31/01/2019 www.quantika14.com 25
Problemas hardcodeados 1/31/2019 www.quantika14.com 26
Base64 inversa en un bosque cruzcampero 1/31/2019 www.quantika14.com 27
Para confundir… 1/31/2019 www.quantika14.com 28
¿Qué tenían que hacer? 1. Pensar en un forense informático 2. ¿Qué hará la aplicación? 3. Dice que la flag siempre la he tenido yo 4. ¿Será posible que cree en algún sitio un archivo con la flag? 5. Si es así que archivo del sistema de Windows me puede dar esa información… (http://blog.quantika14.com/el- mapa-forense-en-windows/) 31/01/2019 www.quantika14.com 29
ANALIZAMOS EL MFT MFT - Sección Informática. Archivo de sistema NTFS en volúmenes con formato NTFS , que contiene información acerca de cada archivo y carpeta del volumen. La tabla maestra de archivos es el primer archivo de un volumen NTFS . Lo parseamos a CSV y con Excel o nos hacemos un script…
Obtenemos la flag 31/01/2019 www.quantika14.com 31
Muchísimas gracias a la organización de la Sh3llcon por esta maravillosa experiencia 1/31/2019 www.quantika14.com 32
Muchas gracias por escuchar esta bonita experiencia que he tenido

Recommandé

Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomware
QuantiKa14
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁS
QuantiKa14
 
Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las tics
QuantiKa14
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
QuantiKa14
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móviles
QuantiKa14
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
QuantiKa14
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal version
QuantiKa14
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos reales
QuantiKa14
 

Recommandé

Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomware
QuantiKa14
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁS
QuantiKa14
 
Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las tics
QuantiKa14
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
QuantiKa14
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móviles
QuantiKa14
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
QuantiKa14
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal version
QuantiKa14
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos reales
QuantiKa14
 
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
QuantiKa14
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madres
QuantiKa14
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge Coronado
QuantiKa14
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
QuantiKa14
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutos
QuantiKa14
 
Violencia Sexual en las redes sociales
Violencia Sexual en las redes socialesViolencia Sexual en las redes sociales
Violencia Sexual en las redes sociales
QuantiKa14
 
Monitorización de Twitter total con Twiana
Monitorización de Twitter total con TwianaMonitorización de Twitter total con Twiana
Monitorización de Twitter total con Twiana
QuantiKa14
 
Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género I
QuantiKa14
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la información
QuantiKa14
 
La ciberdelincuencia de género
La ciberdelincuencia de géneroLa ciberdelincuencia de género
La ciberdelincuencia de género
QuantiKa14
 
Auditoría informática de seguridad de caja negra en el sur
Auditoría informática de seguridad de caja negra en el surAuditoría informática de seguridad de caja negra en el sur
Auditoría informática de seguridad de caja negra en el sur
QuantiKa14
 
Ciberacoso
CiberacosoCiberacoso
Ciberacoso
QuantiKa14
 
Diario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticosDiario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticos
QuantiKa14
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informático
QuantiKa14
 
Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gates
QuantiKa14
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020
QuantiKa14
 
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
QuantiKa14
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Área de Innovación Universidad Internacional de Andalucía
 
Tor web sin censura
Tor web sin censuraTor web sin censura
Tor web sin censura
cAb2Matias
 
Seguridad WordPress en Sevilla
Seguridad WordPress en SevillaSeguridad WordPress en Sevilla
Seguridad WordPress en Sevilla
QuantiKa14
 
Trabajo Final de TIC
Trabajo Final de TICTrabajo Final de TIC
Trabajo Final de TIC
romimet
 
¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?
Marta Torre
 

Contenu connexe

Tendances

Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Área de Innovación Universidad Internacional de Andalucía
 

Tendances (20)

Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madres
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge Coronado
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutos
 
Violencia Sexual en las redes sociales
Violencia Sexual en las redes socialesViolencia Sexual en las redes sociales
Violencia Sexual en las redes sociales
 
Monitorización de Twitter total con Twiana
Monitorización de Twitter total con TwianaMonitorización de Twitter total con Twiana
Monitorización de Twitter total con Twiana
 
Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género I
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la información
 
La ciberdelincuencia de género
La ciberdelincuencia de géneroLa ciberdelincuencia de género
La ciberdelincuencia de género
 
Auditoría informática de seguridad de caja negra en el sur
Auditoría informática de seguridad de caja negra en el surAuditoría informática de seguridad de caja negra en el sur
Auditoría informática de seguridad de caja negra en el sur
 
Ciberacoso
CiberacosoCiberacoso
Ciberacoso
 
Diario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticosDiario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticos
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informático
 
Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gates
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020
 
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
 
Tor web sin censura
Tor web sin censuraTor web sin censura
Tor web sin censura
 
Seguridad WordPress en Sevilla
Seguridad WordPress en SevillaSeguridad WordPress en Sevilla
Seguridad WordPress en Sevilla
 

Similaire à Ronda de Hacking - Gambrinus challenge Sh3llcon

Trabajo Final de TIC
Trabajo Final de TICTrabajo Final de TIC
Trabajo Final de TIC
romimet
 
¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?
Marta Torre
 
Experto Redes Sociales. Una introducción 'desenfocada'
Experto Redes Sociales. Una introducción 'desenfocada'Experto Redes Sociales. Una introducción 'desenfocada'
Experto Redes Sociales. Una introducción 'desenfocada'
Fernando Tricas García
 
091123 Intro + Habilidades Barcelona
091123 Intro + Habilidades Barcelona091123 Intro + Habilidades Barcelona
091123 Intro + Habilidades Barcelona
Roca Salvatella
 
Web 2.0 y redes sociales para estudiantes de informática
Web 2.0 y redes sociales para estudiantes de informáticaWeb 2.0 y redes sociales para estudiantes de informática
Web 2.0 y redes sociales para estudiantes de informática
Fernando Tricas García
 
Padres y maestros juntos x una navegación segura
Padres y maestros juntos x una navegación seguraPadres y maestros juntos x una navegación segura
Padres y maestros juntos x una navegación segura
Ana Mendina
 
El futuro del profesional de la Información y la Documentación ante los nuevo...
El futuro del profesional de la Información y la Documentación ante los nuevo...El futuro del profesional de la Información y la Documentación ante los nuevo...
El futuro del profesional de la Información y la Documentación ante los nuevo...
Julián Marquina
 
Trabajo de herramientas
Trabajo de herramientasTrabajo de herramientas
Trabajo de herramientas
OjithozVerdez
 

Similaire à Ronda de Hacking - Gambrinus challenge Sh3llcon (20)

Trabajo Final de TIC
Trabajo Final de TICTrabajo Final de TIC
Trabajo Final de TIC
 
¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?¿Por qué tengo que luchar por la diversidad en WordPress?
¿Por qué tengo que luchar por la diversidad en WordPress?
 
Retos de la participación
Retos de la participaciónRetos de la participación
Retos de la participación
 
Primer Rails Girls Cali - Abril 2016
Primer Rails Girls Cali - Abril 2016Primer Rails Girls Cali - Abril 2016
Primer Rails Girls Cali - Abril 2016
 
Scoopit
ScoopitScoopit
Scoopit
 
Experto Redes Sociales. Una introducción 'desenfocada'
Experto Redes Sociales. Una introducción 'desenfocada'Experto Redes Sociales. Una introducción 'desenfocada'
Experto Redes Sociales. Una introducción 'desenfocada'
 
charla taller web 2.0 y redes sociales
charla taller web 2.0 y redes socialescharla taller web 2.0 y redes sociales
charla taller web 2.0 y redes sociales
 
practicas de las tics
practicas de las ticspracticas de las tics
practicas de las tics
 
091123 Intro + Habilidades Barcelona
091123 Intro + Habilidades Barcelona091123 Intro + Habilidades Barcelona
091123 Intro + Habilidades Barcelona
 
Web 2.0 y redes sociales para estudiantes de informática
Web 2.0 y redes sociales para estudiantes de informáticaWeb 2.0 y redes sociales para estudiantes de informática
Web 2.0 y redes sociales para estudiantes de informática
 
Barcamp
BarcampBarcamp
Barcamp
 
Lanzamiento Jornada Cibersorprende 2015
Lanzamiento Jornada Cibersorprende 2015Lanzamiento Jornada Cibersorprende 2015
Lanzamiento Jornada Cibersorprende 2015
 
Encuentro Ciber en torno a la ciencia, la tecnología y la innovación
Encuentro Ciber en torno a la ciencia, la tecnología y la innovaciónEncuentro Ciber en torno a la ciencia, la tecnología y la innovación
Encuentro Ciber en torno a la ciencia, la tecnología y la innovación
 
Boletin Moksha octubre 2014 Edición 10
Boletin Moksha octubre 2014 Edición 10Boletin Moksha octubre 2014 Edición 10
Boletin Moksha octubre 2014 Edición 10
 
Padres y maestros juntos x una navegación segura
Padres y maestros juntos x una navegación seguraPadres y maestros juntos x una navegación segura
Padres y maestros juntos x una navegación segura
 
Mesa sobre Nuevas tecnologías en las II Jornadas de Periodismo Local
Mesa sobre Nuevas tecnologías en las II Jornadas de Periodismo LocalMesa sobre Nuevas tecnologías en las II Jornadas de Periodismo Local
Mesa sobre Nuevas tecnologías en las II Jornadas de Periodismo Local
 
El futuro del profesional de la Información y la Documentación ante los nuevo...
El futuro del profesional de la Información y la Documentación ante los nuevo...El futuro del profesional de la Información y la Documentación ante los nuevo...
El futuro del profesional de la Información y la Documentación ante los nuevo...
 
Trabajo de herramientas
Trabajo de herramientasTrabajo de herramientas
Trabajo de herramientas
 
Organizando una Hackparty
Organizando una HackpartyOrganizando una Hackparty
Organizando una Hackparty
 
Prevención del Ciberacoso en alumnado con TEA
Prevención del Ciberacoso en alumnado con TEAPrevención del Ciberacoso en alumnado con TEA
Prevención del Ciberacoso en alumnado con TEA
 

Plus de QuantiKa14

Plus de QuantiKa14 (11)

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMA
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINT
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open source
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Trabajar en la seguridad informática
Trabajar en la seguridad informáticaTrabajar en la seguridad informática
Trabajar en la seguridad informática
 
Gestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareGestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser software
 
La guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasLa guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresas
 
¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?
 
Cómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con PythonCómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con Python
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWP
 

Ronda de Hacking - Gambrinus challenge Sh3llcon

  • 2. Quién soy yo • Fundador y CEO de QuantiKa14 • Colaborador de Canal Sur Radio desde 2015 • Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla • Colaborador del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” • Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos • Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación • Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) • Dinamizador del Hack&Beers Sevilla • Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 31/01/2019 www.quantika14.com 2
  • 3. ¿Qué es Hacking Sevilla? • Un grupo de personas apasionadas por la seguridad informática y peritaje informático que realizan charlas y talleres. • Anteriores meetups/eventos: • Hack&Beers II • Charla uso seguro y responsable de las TIC • ¿Qué es la insolvencia? ¿Cómo investigar a personas insolventes usando OSINT? • Curso para proteger WordPress • Geoconciencia: localizados y localizables • Presentación de Killo.io • Generar un centro de testeo web con Docker • Guasap Forensic (Forense a WhatsApp) • Workshops… 31/01/2019 www.quantika14.com 3
  • 4. GAMBRINUS SE HA PERDIDO EN SANTANDER JORGE CORONADO QUANTIKA14 31/01/2019 www.quantika14.com 4
  • 5. Disclaimer 1. Soy un paquete en CTF 2. Es más, no tengo ni idea sobre CTF 3. Es mi primera vez que hago algo así 4. Mi objetivo es ayudar, aprender y compartir mi experiencia 31/01/2019 www.quantika14.com 5
  • 7. ¿Te gustaría ayudar en la Gymhackna? 31/01/2019 www.quantika14.com 7
  • 8. ¿Qué es una GymHACKna? https://twitter.com/C4T_13/status/1074687085536313344 31/01/2019 www.quantika14.com 8
  • 9. ¿Qué es una GymHACKna? • Es un CTF • Pruebas secuenciales (también paralelas) y varias fases • Al aire libre 31/01/2019 www.quantika14.com 9
  • 10. Es muy difícil pensar en una prueba para un CTF… y más para una GymHACKna 31/01/2019 www.quantika14.com 10
  • 11. Solo se me ocurrían ideas con Gambrinus 31/01/2019 www.quantika14.com 11
  • 12. Cruzcampo en er norte chungo 31/01/2019 www.quantika14.com 12
  • 13. ¿EN QUÉ CONSISTE LA PRUEBA DE GAMBRINUS? 31/01/2019 www.quantika14.com 13
  • 14. EMPIEZA LA PRUEBA • Delivered-To: sh3llcon@gmail.com Received: by 2002:a8a:70c:0:0:0:0:0 with SMTP id g12csp1779930ocq; Thu, 10 Jan 2019 04:25:22 -0800 (PST) X-Google-Smtp-Source: ALg8bN74fJ78WEYQHSWlluHjrMwDoRHCENxoZhXdv++YvAeE46QWIt0TwK3c0+Ggz u9gRoLbc2mb X-Received: by 2002:a1c:2884:: with SMTP id o126mr10124630wmo.17.1547123122547; Thu, 10 Jan 2019 04:25:22 -0800 (PST) Return-Path: <juankers@juankers.com> Received: from 1.tor.net (1.tor.net. [1.160.0.160]) by mx.google.com with ESMTPS id o8si43755348wrv.48.2019.01.10.04.25.22 for <sh3llcon@gmail.com> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Thu, 10 Jan 2019 04:25:22 -0800 (PST) Received-SPF: pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) client-ip=1.160.0.160; Authentication-Results: mx.google.com; spf=pass (google.com: domain of juankers@juankers.com designates 1.160.0.160 as permitted sender) smtp.mailfrom=juankers@juankers.com From: gambrinuselpastor <gambrinuselpastor@gmail.com> Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable Mime-Version: 1.0 (Mac OS X Mail 5.0 (1313.705.2)) Subject: Liberadme!!! Message-Id: <A01AEE45-1F75-4D52-8BDD-9E4C0FF9F374@gmail.com> Date: Thu, 10 Jan 2019 13:25:17 +0100 To: "Sh3llCON" <sh3llcon@gmail.com> X-VR-SPAMSTATE: OK X-VR-SPAMSCORE: -100 X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedtledrfeefgdegtdcutefuodetggdotefrodftvfcurfhro hhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtddtnecusecvtfgv tghiphhivghnthhsucdlqddutddtmd • Saludos fieles del camino del Pastor Gambrinus! Siento comunicaros que ten=C3=ADa intenci=C3=B3n de ir a Sh3llCON.=20 Sin embargo, tras aterrizar me encontr=C3=A9 que en el aeropuerto no hab=C3= =ADa una casa de se=C3=B1or cervecero y me puse muy nervioso=E2=80=A6 Por s= i era poco, al llegar a la ciudad, empeor=C3=B3 todo=E2=80=A6 =C2=BFC=C3=B3= mo podr=C3=ADan beber esas cervezucas los santanderinos? Me entretuve entre= las plazas de la noble ciudad comparando sabores por si la Cervezuca, la I= bre, la Smach u otras pod=C3=ADan ser mejores que la Cruzcampo pero me entr= etuve demasiado en los pubs y se me acercaron unos nobles se=C3=B1ores rubi= os con ojos azules y gabardinas negras hasta los pies y me dijeron que podr= =C3=ADamos hacer algo con la cervezucas de ellos, haci=C3=A9ndoles una mezc= la entre Cruzcampo y Vodka que ser=C3=ADa explosiva. Por supuesto, no me negu=C3=A9 a ello, pero resulta que he sido retenido po= r ellos contra mi voluntad y por eso os pido ayuda para que me encontr=C3= =A9is!!!=20 Estoy aprovechando en escribir el email mientras buscaba la f=C3=B3rmula m= =C3=A1gica de la Cruzcampo en un rato que me han dejado con Internet... Menos mal que me he enterado que ten=C3=A9is a un buen grupo de juankers qu= e lo flip=C3=A1is=E2=80=A6 por eso, como s=C3=B3lo ten=C3=A9is este correo,= pero me han dicho que pod=C3=A9is hacer cosas maravillosas con ellos, os i= nvoco para que hag=C3=A1is magia y me liber=C3=A9is de estos malvados bebed= ores de Vodka. gambrinuselpastor@gmail.com PD: Que el Pastor Gambrinus os proteja! 31/01/2019 www.quantika14.com 14
  • 15. ¿Qué no tenemos que hacer? • Investigar el EML • Investigar la IP de TOR • Pensar que hay algún hash 31/01/2019 www.quantika14.com 15
  • 16. Paso I Hacer un OSINT al email “gambrinuselpastor@Gmail.com” 1/31/2019 www.quantika14.com 16
  • 17. PISTAS: 1. Básicamente céntrate en el email 2. Puedes usar esta aplicación: https://github.com/Quantika14/email- osint-ripper 31/01/2019 www.quantika14.com 17
  • 21. ¿Qué nos encontramos? 31/01/2019 www.quantika14.com 21
  • 23. ¿Qué tiene el archivo? • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 1/31/2019 www.quantika14.com 23
  • 24. ¿Qué paso? • No “funka” • Python 3 • Compilado con CX_FREEZE • Ofuscado con Pyobfuscate • Ofuscado con Htibctobf • Ofuscado de Cruzcampo manera • Comprimido pyminifier (gzip) 31/01/2019 www.quantika14.com 24
  • 25. ¿Qué no debíamos hacer? 1. Descompilar CX_FREEZER con https://sourceforge.net/projec ts/easypythondecompiler/ 2. Descompilar de muchas formas https://reverseengineering.sta ckexchange.com/questions/58 60/reverse-engineering- program-written-in-python- compiled-with-freeze/5861 31/01/2019 www.quantika14.com 25
  • 27. Base64 inversa en un bosque cruzcampero 1/31/2019 www.quantika14.com 27
  • 29. ¿Qué tenían que hacer? 1. Pensar en un forense informático 2. ¿Qué hará la aplicación? 3. Dice que la flag siempre la he tenido yo 4. ¿Será posible que cree en algún sitio un archivo con la flag? 5. Si es así que archivo del sistema de Windows me puede dar esa información… (http://blog.quantika14.com/el- mapa-forense-en-windows/) 31/01/2019 www.quantika14.com 29
  • 30. ANALIZAMOS EL MFT MFT - Sección Informática. Archivo de sistema NTFS en volúmenes con formato NTFS , que contiene información acerca de cada archivo y carpeta del volumen. La tabla maestra de archivos es el primer archivo de un volumen NTFS . Lo parseamos a CSV y con Excel o nos hacemos un script…
  • 31. Obtenemos la flag 31/01/2019 www.quantika14.com 31
  • 32. Muchísimas gracias a la organización de la Sh3llcon por esta maravillosa experiencia 1/31/2019 www.quantika14.com 32
  • 33. Muchas gracias por escuchar esta bonita experiencia que he tenido