El blog de García Larragan y Cía

En este post  comparto la solución a uno de los desafíos correspondientes a la categoría 'Web Exploitation'  de la plataforma  picoCTF 2019 . El reto en concreto, bajo el título  " JaWT Scratchpad " , en mi opinión, presenta un  nivel de dificultad medio ( ★ ★ ★ ☆☆ ) . -  JaWT Scratchpad  - Points: 400. Su  enunciado  dice lo siguiente:  ' Check the admin scratchpad!  https://2019shell1.picoctf.com/problem/37903/  or http://2019shell1.picoctf.com:37903 ' . Y en la pestaña  'Hints'  dan las siguientes pistas:  ' What is that cookie? '  y  ' Have you heard of JWT? ' . Solución:   se proporciona  un  'link'   a un sitio web : Y me dicen que para iniciar sesión  puedo usar cualquier nombre de usuario menos "admin" , porque éste tiene un bloc de notas especial (que, además, según el enunciado es el que tengo que revisar para obtener la flag). No sé a vosotros, pero a ...

Comienzo con este post a incluir algunas de las soluciones a desafíos de la categoría 'Reversing'   de UTC-CTF 2019 , competición tipo  'Capture The Flag'  (CTF), en formato  ' Jeopardy' , modalidad  'On-line'  y por equipos. Este primer reto,  e n mi opinión, tiene un  nivel de dificultad bajo ( ★ ★ ☆☆☆ ) . El título del reto es "Jump! (baby)"  y en su enunciado, que pongo a continuación, se hace referencia a otro reto "Strings (baby)", de la misma categoría y nivel de dificultad muy bajo, en el que la flag se obtiene sin más que buscarla directamente en el archivo que se proporciona (por ejemplo mostrando todas aquellas cadenas de texto que comiencen por "utc{"), y se nos da a entender que en este caso ese método no nos dará la solución al desafío. S u enunciado es el siguiente : Descargo el archivo que se propo rciona (jump), un ejecutable de Linux (ELF). No obstante lo dicho anteriormente, utilizo el softw...

En esta ocasión pongo la  solución a otro reto de UTC-CTF 2019 , competición tipo  'Capture The Flag'  (CTF), en formato  ' Jeopardy' , modalidad  'On-line'  y por equipos. Al igual que en el desafío cuya solución puse en el post anterior , se trata de un reto de la categoría  'Miscellaneous'  (Misc) , pero que yo catalogo en este blog, también al igual que en el citado post, como de programación, y que  e n mi opinión tiene un  nivel de dificultad bajo ( ★ ★ ☆☆☆ ) . El título del reto es "Really Good Bicture"  y su enunciado es el siguiente: El enunciado parece indicar que la solución a este desafío se encuentra en la información visual de la imagen que contiene el archivo asociado al reto (flag.png), ya que dice que es una foto de la flag. Descargo dicho archivo y lo abro : En la imagen se ven 10 franjas verticales de diferentes colores, y la "B" sobre fondo rojo  del título , que sustituye a una "P", me sugi...

En este post la solución a otro reto de UTC-CTF 2019 , competición tipo 'Capture The Flag' (CTF), en formato  ' Jeopardy' , modalidad  'On-line'  y por equipos. En esta ocasión se trata de un desafío de la categoría 'Miscellaneous' (Misc) , pero que yo catalogo en este blog como de programación, y que e n mi opinión tiene un  nivel de dificultad bajo ( ★ ★ ☆☆☆ ) . El título del reto es "Optics 2"  y para resolverlo es importante saber que en el desafío titulado "Optics 1 (baby)" de esta misma plataforma, a mi juicio de dificultad muy baja, se ve involucrado un código QR , por lo que es muy probable que este tipo de código esté también presente en este reto. Su enunciado es el siguiente : Descargo el archivo asociado al reto (challenge_2.zip) y veo que contiene 441 archivos de imagen (png). Los extraigo: Tal y como he dicho antes, sospecho que los códigos QR están involucrados en este reto y, a simple vista, los arc...

Otra de las competiciones tipo CTF de formato  ' Jeopardy' , en modalidad  'On-line'  y por equipos con la que me he entretenido durante estos fines de semana es UTC-CTF . Comienzo en este post a poner algunas de las soluciones de los retos que he resuelto en esta competición. Empiezo por uno de criptografía , pero también tendrán cabida desafíos catalogados en otras categorías. Al igual que en el último post correspondiente a un desafío de otra plataforma de este tipo que he puesto en este blog, se trata de un reto  en el que se ve involucrada la criptografía moderna  y en concreto el criptosistema más utilizado actualmente,  RSA . En mi opinión este reto presenta un  nivel de dificultad bajo ( ★ ★ ☆☆☆ ) . El título del reto es "RSAcue" y su enunciado es el siguiente :  Como siempre lo primero que hago es descargar los archivos asociado al reto : el primero de ellos (challenge_baby.py) es un script de python en el que se ve la...

Continúo con las soluciones a los retos correspondientes a la categoría de criptografía de TUCTF 2019 , competición tipo CTF de formato  ' Jeopardy' , en modalidad  'On-line'  y por equipos. En este post es el turno de uno de los retos en el que se ve involucrada la criptografía moderna y en concreto el criptosistema más utilizado actualmente, RSA . En mi opinión este reto presenta un  nivel de dificultad medio ( ★ ★ ★ ☆☆ ) . El título del reto es "Something in Common" y su enunciado es el siguiente : Lo primero que hago es bajarme el archivo que se proporciona como recurso asociado al reto (rsa_details.txt), y veo que contiene lo siguiente : Es decir, el módulo (n), dos exponentes (e1 y e2) correspondientes a sendas claves públicas y dos criptogramas (c1 y c2) obtenidos respectivamente con el mismo módulo (n) y su correspondiente exponente público (c1 = m1 ^ e1 mod n; c2 = m2 ^ e2 mod n). A la vista del contenido del fichero proporcionado y...

En este post la  solución a otro de los retos correspondientes a la categoría de criptografía  de TUCTF 2019, competición tipo CTF de formato  ' Jeopardy' , en modalidad  'On-line'  y por equipos. En este reto, al igual que en aquel al que se hace referencia en el post anterior que sobre dicho evento he puesto en este blog, se ve involucrada la criptografía clásica ; en este caso cinco criptosistemas, en concreto: cifrado Afín , Bacon , César , Atbash y Vigenère , los cuatro primeros de sustitución simple monoalfabética y el último de sustitución simple polialfabética. En mi opinión este reto presenta un  nivel de dificultad muy bajo ( ★ ☆☆ ☆☆ ) . El título del reto es "Warren" y su enunciado es el siguiente : Me conecto , se me da la bienvenida y se me informa de que debo resolver todos los criptogramas para que se me proporcione la flag . El tiempo límite para ello es de 90 segundos : En el Menú que se muestra (ver figura siguiente) h...

Este fin de s emana me he entretenido participando en un evento CTF de formato ' Jeopardy'  en modalidad 'On-line'   a través de la plataforma  CTFTime . El evento en concreto es TUCTF y se trata de una competición por equipos para desarrollar capacidades en las típicas categorías incluidas en este tipo de eventos: Criptografía, Forense, Web, Reversing, etc. Tal y como vengo diciendo en este humilde blog, una de las categorías que más me gustan de los retos en este tipo de competiciones es la de criptografía, por lo que en este post comienzo con la solución a uno de los retos correspondientes a dicha categoría en la citada competición . El título del reto es "Sonic" y su enunciado es el siguiente : Y en mi opinión presenta un  nivel de dificultad bajo ( ★ ★ ☆ ☆☆ ) . Me conecto y se me muestra un criptograma que se me pide que descifre . El tiempo que se me da para ello es muy corto y como no soy capaz de hacerlo tan rápido como se requiere ense...