This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Mortal_Poison

Pages: [1] 2 3 ... 11
1
Hacking / ¿Sirven los CTFs para el Hacking?
« on: April 15, 2022, 06:45:47 pm »
You are not allowed to view links. Register or Login

Probablemente, esto es uno de los posts que más quise hacer en su época pero nunca me tomé el tiempo de hacerlo. Y es que, si bien, de manera personal y profesional he avanzado de manera progresiva como pentester, me desmotivó mucho que mi canal solo recibiera strikes, strikes y más strikes. Pero qué se va a hacer. La vida es así y ahora quiero volver a retomar el canal que por un tiempo olvidé. Un canal que me dejó conocer más a profundidad este foro. Los que quieran volverse a sumar al barco, son bienvenidos, y los que se fueron, gracias por haber estado. Sin más, comencemos con lo que nos atañe, con ¿Realmente sirven los CTFs o Capture The Flags para el Hacking?.

En primera instancia, debemos definir qué es un CTF. Un CTF no es más que encontrar la respuesta a un reto diseñado por una persona y/o grupo con el fin de obtener puntos y posicionarte en el tablero que usualmente existen en este tipo de eventos. No obstante, existen 3 tipos comúnes de CTFs que describiré a continuación:

  • Jeopardy
En esta categoría, existen diversas categorías adentro de este tipo de CTFs, como por ejemplo, criptografía, web, reversing, OSINT, entre otras. Usualmente mencionan la complejidad del reto y con esto, también los puntos que ganarías si lo resuelves. Por ejemplo, los retos más 'complicados', dan más puntos y como estarás imaginando, los retos más sencillos, te darán menos puntos.
  • Ataque & Defensa
Debes proteger tus propios servicios para obtener puntos de defensa y hackear a tus oponentes para obtener puntos de ataque.
  • King of the Hill
Existen múltiples servidores vulnerables listos para ser explotados que no pertenecen a ningún grupo. Además, los equipos no tienen sus propios servidores que defender como en los escenarios de Ataque - Defensa. Por ejemplo, capturas un servidor y tienes que intentar defenderlo el máximo de tiempo posible para obtener más puntos.


Y bueno, aunque lo anterior es una descripción muy breve de los tipos de CTFs, se puede llegar a entender cuál es la idea de los mismos. Ahora bien, viene mi punto de vista. Los CTFs están pensados para 'entretener'. Sin embargo, muchas empresas o servicios militares cada año realizan este tipo de prácticas para 'medir el nivel' que pueden llegar a tener las personas que se inscriban.



LA HABILIDAD

Y es que, nadie habla de realmente qué tan hábil requieres ser para resolver este tipo de retos. Retos los cuales tienes que adivinar y tener una bola de cristal para saber cómo llegar a la respuesta, retos los cuales encuentras cosas tan absurdas que nunca pasarán en la vida real, retos los cuales como bien lo mencioné anteriormente, están pensados para entretener. La diferencia entre los CTFs y el mundo real, está en que ya tú sabes que el reto tiene una vulnerabilidad y que tienes que intentar encontrarla, en el mundo real, esto no pasa, es decir, nadie te deja una vulnerabilidad adrede (a menos que sea un insider, ahí hasta de pronto). Mi opinión es con base en lo que he podido experimentar a lo largo de mi travesía en este maravilloso mundo. He visto pocos CTFs que los acercan al mundo real, claro, no voy a generalizar, pero es que esto es una realidad.

Ahora bien, gracias a haber estado en varias empresas y compartido con diversos pentesters, he visto muchos que para CTFs son unas máquinas, pero cuando se trata de ambientes reales, se quedan pegados. Siempre me hice la misma pregunta. ¿A qué se debe? ¿por qué?. Y claro, tuve la oportunidad de participar en algunos CTFs y, lo que en principio parecía 'divertido', se convirtió en un tormento y frustración en el que no encontraba respuesta a varios retos. ¿Quizá no sé mucho? ¿quizá como lo pintan las organizaciones y organizadores, me falta aprender más? y bueno, claro que sí, todos los días aprendo. No obstante, estaba haciéndome las preguntas en un lugar equivocado.

EL ENTORNO

Casualmente, me pasaban varios activos en ambientes reales y los rompía, los desbarataba. Cosa que compañeros que eran muy buenos en CTF no lo hacían. Recuerdo en aquella época, que me decían algunos conocidos: "los CTFs sí te ayudan para explotar ambientes reales". Finalmente, tuve la oportunidad de participar como en 2 o 3 CTFs en ese entonces, y claro, valí gaver. Pero el punto no es ese, el punto es que, al estar prediseñados esos escenarios, siempre intentan poner retos que están salidos de lo que en un ambiente real sucede; e insisto, no está mal. Para gustos, colores. Pero por favor, no se debe hacer hincapié en que este tipo de retos miden tu habilidad, porque para mí, no es así.

Realmente, me preocupa que en la actualidad se esté comenzando a medir los niveles por este tipo de cosas. Es preocupante. Les aseguro, que si me hubiesen puesto algo de CTFs en las empresas que he estado, me hubiera aburrido y quizá no hubiera completado el proceso de selección. A mí me gusta frustrarme con escenarios reales, con escenarios donde el desarrollador que está detrás, está pensando en sanitizar una entrada, en donde está pensando cómo prevenir que se hagan fraudes, en donde existe un conglomerado de personas para evitar cualquier ingreso a un servidor, en donde las personas encargadas de redes están pensando en cómo vlanear correctamente.

EL HYPE

Y claro, no significa que no me gustan porque soy malo en ellos. De hecho, como lo mencioné, pueden llegar a ser interesantes y geniales si te gustan. Te hacen pensar en cuál puede ser la solución que puso la persona que diseñó el reto. Y para mí está bien. Pero mi opinión va más encaminada al por qué estos no son escenarios reales y por qué no deberían ser considerados en medir tu habilidad. Para mí, las personas que siempre quedan en los primeros puestos, es porque han jugado muchos CTFs y porque me he dado cuenta que muchos de los retos tienen patrones de CTFs pasados o de otras competencias en otros eventos.

Quiero creer que esto mejore en los próximos años y que sean más aterrizados a la realidad.

Y como conclusión, creo que los CTFs también te pueden ayudar para conocer herramientas, conocer quizá alguna que otra técnica pero no te ayudarán en lo que se basa el Hacking Real. A mi modo de ver, prefiero invertir lo que dura un CTF que pueden ser 3 días por ejemplo, en realizar Bug Bounty o realizar Research que divagar porque no puedo encontrar una solución que alguien que puso un valor súper ofuscado en una imagen que redirige a un dominio para descargar un .pcap y analizar dónde puede estar un archivo incrustado que puede ser un comprimido para conocer la Flag por fuerza bruta.

Y tú, ¿qué opinas?...

Les dejo el vídeo en el canal:


2
Buenas You are not allowed to view links. Register or Login,

Si bien la herramienta que te mencionó @Hw0Bipo te puede llegar a servir, este tipo de herramientas sirven mucho cuando no existen registros SPF en los DNS. Ahora bien, creo que tu pregunta no está encaminada a ello. Por tanto, te podría recomendar que hicieras un mailer y lo conectas con alguna cuenta de un servicio como Gmail, Outlook, entre otros. No obstante, yo siempre prefiero hacer las cosas de forma manual y es por eso que te hago esta recomendación, ya que hay herramientas que no son muy flexibles y me he dado cuenta de esto a la hora de realizar varias campañas de ingeniería social para ataques de simulación de adversarios.

Si no cuentas con mucho tiempo, entonces intenta echarle una ojeada a GoPhish: You are not allowed to view links. Register or Login pero como te mencioné antes, este tipo de herramientas cuenta con muchas limitaciones y por eso es mejor crear tu mailer que se ajuste a lo que requieres.

Un saludo.

3
Dudas y pedidos generales / Re:Problemas WiFi Kali Linux
« on: July 04, 2020, 04:45:48 pm »
Hola You are not allowed to view links. Register or Login

Nos mencionas que te toca reiniciar el PC. Lo que me da a pensar, es que los servicios al reestablecerse, te permiten conectarte a las otras redes. Por favor, intenta hacer un /etc/init.d/network-manager restart y a ver qué te aparece. De todas formas, eso no debería pasar y podrías intentar con las soluciones que te dio @You are not allowed to view links. Register or Login.

Un saludo.

4
Hola You are not allowed to view links. Register or Login

Es extraño. Quizá no está viajando la petición. Por favor, revisa si al hacer el submit del formulario de la página sí se está envíando la petición. ¿Probaste en hacerlo local para descartar la configuración con el ngrok?.

Nos cuentas.

Un saludo.

5
Debates, Reviews y Opiniones / Re:Debate: los ciber-enemigos
« on: July 03, 2020, 02:38:17 pm »
Hola a todos,

Estos debates se hacen muy interesantes y más aún, cuando se tratan de reflexionar. Yo creo que en nuestro mundo actual, cada vez que avanzamos en este camino sin final, dejamos una estela la cual siempre traerá consigo enemigos y buenos amigos. Es de ahí. Como todo en la vida. Sin embargo, estoy muy de acuerdo que tener a ese tipo de personas en tu vida(me refiero a los "ciber-enemigos"), te puede ayudar a brincar, a dar un salto, a ser mejor. O quizá solo estoy hablando desde la perspectiva propia. No obstante, también se puede aprender mucho de ellos. Creo que la persona con la que no te la llevas, te puede enseñar muchísimo, y eso me parece interesante y a la vez arriesgado. Es como cuando un niño juega con fuego, sabe que se va a quemar pero no sabe cuánto le puede llegar a doler. Claro está, me refiero a las personas que sabes que saben xD, no a los vende humos que de esos sí hay un montón y siguen vendiendo su 'conocimiento' o sus cosas como la panacea.

Al final, creo que eso te enseña a ser más precavido, a pensar antes de actuar y a ser más táctico y estratégico con cualquier cosa.

Creo que de esto podemos sacar muchísimas opiniones pero ninguna conclusión.

Un saludo.

6
Hola You are not allowed to view links. Register or Login


Ese tipo de arquitectura, funciona como un 2FA y no está mal. De hecho, no sé quién te mencionó que era inseguro. A menos que tengas problemas de takeover en el código al implementar la funcionalidad, no pensaría que existan problemas. En estos últimos tiempos, se ha implementado en varios sitios e incluso en aplicaciones como Rappi ese tipo de mecanismos para la autenticación, ya que el usuario no se complica tanto y a la vez, existe una seguridad de por medio. Por otra parte, el iniciar sesión con redes sociales como lo mencionas, es llamado OAuth.

Existen diversos proyectos, libres o no, que puedes implementar en tu proyecto, pero esto sin duda, dependerá de lo que quieras hacer y quieras brindar al usuario. A muchas personas les gusta autenticarse vía Facebook, a otros con el móvil, a otros hacer un registro directo, entre otras.

Un saludo.

7
Dudas y pedidos generales / Re:Cómo generar tráfico hacia una Web
« on: June 27, 2020, 09:54:39 pm »
Entonces no entiendo mucho la pregunta. Si el bot ya funciona, ¿cuál es el propósito de la pregunta? no lo tomes a mal, solo lo pregunto porque si ya tienes un bot funcionando, pues no debería haber problemas. ¿O al bot te hace falta añadirle algunas funciones? creo que @You are not allowed to view links. Register or Login y @You are not allowed to view links. Register or Login te han dado buenas respuestas con respecto al código. Solo requieres ajustar un poco ese código.

Un saludo.

8
Dudas y pedidos generales / Re:Cómo generar tráfico hacia una Web
« on: June 27, 2020, 04:40:49 pm »
Hola You are not allowed to view links. Register or Login

Mira, no sé cuál sea tu propósito de hacer visitas de esa forma, pero existen muchas páginas que permiten hacerlo. Obviamente, plataformas de Streaming en vivo o plataforma como Youtube, no lo permiten. Hace algunos años, recuerdo que habían bots para los tan famosos acortadores de URLs como adf.ly, el cual te generaba visitas. ¿Con qué fin? pues, en ese entonces, recuerdo que adf.ly pagaba 1 dólar por 1.000 visitas. Sin embargo, esto fue parchado rápidamente. Youtube, tiene un algoritmo muy fuerte y de hecho, antes congelaba las visitas en 301, fueran legítimas o no, y el algoritmo se tardaba en procesar un tiempo para verificar de que fueran personas reales. Supongo que lo verifican de muchas maneras, el cálculo no solo debe ser por dirección ip y los user-agents(que a la final, creándose un bot uno puede mandarlo random). Yo creo que también evalúan las analíticas del canal, comparan con vídeos anteriores, muchos factores la verdad.

Por otra parte, como el ejemplo que te hizo Kirari, tendrías que crear un bot. Puedes hacerlo mandando las peticiones planas o creándote un bot con Selenium. No obstante, insisto, este tipo de plataformas ya se conocen este tipo de formas. Para ellos es pérdida, así sea una visita falta, puede ser dinero y ese dinero desemboca en pérdidas.

Finalmente, te invito a revisar varios posts en Underc0de para la creación de bots, existen varios.

Actualización: acabé de ver tu otra pregunta. La enlazo rápidamente a que quieres con hilos mediante proxies crear varias conexiones y mandar tráfico al vídeo o a la plataforma que tienes pensada. Como te digo, puedes intentarlo, pero ¿no crees que ellos ya lo pensaron en su modelo arquitectónico al crear la aplicación y al tener millones de usuarios?.

Un saludo.

9
Dudas y pedidos generales / Re:Wireshark - Cabeceras GET codificadas
« on: June 27, 2020, 08:18:19 am »
Hola You are not allowed to view links. Register or Login

La verdad, es un poco extraño. Nos mencionas que lo estás viendo desde WireShark y es un .pcap. ¿Existe alguna posibilidad de que vuelvas a hacer esas peticiones al sitio y lo hagas con netcat y/o Burp?.

Un saludo.

10
Dudas y pedidos generales / Re:Python - Tkinter
« on: June 26, 2020, 01:03:04 pm »
Intenta poner:

from requesthttp import RequestGET y nos comentas por favor.

11
Dudas y pedidos generales / Re:Python - Tkinter
« on: June 26, 2020, 12:38:40 pm »
Hola José,

En los enlaces aparece que hay que solicitar permiso para descargar los ficheros. Si quieres, déjalo público y se te colabora de una forma rápida.

Un saludo.

12
Buen post @You are not allowed to view links. Register or Login. Como aporte adicional, hace un par de meses atrás leí que esta opción también era muy buena: You are not allowed to view links. Register or Login

No la he probado, pero creo que lo haré en unas próximas ocasiones. Si alguien lo probó, estaría genial que también nos comentase cómo le fue.

Un saludo.

13
Hola You are not allowed to view links. Register or Login

Te comento. Como te han mencionado los otros Underc0ders, la sintaxis al parecer está correcta. Sin embargo, debuggear 'a ojo' a veces suele ser un reto bien grande. Además, también pasa eso por el tema de las funciones. Lo que te recomiendo es, que con tu IDE, logres debuggear línea por línea tu programa. XDebug es muy bueno para eso. Te lo menciono, porque hace unos años atrás, tuve un lío con un código de PHP grandísimo y es hacer eso o sino ir sentenciando línea por línea con dumps y demás funciones para que paren ahí.

Finalmente, con debugear en tiempo de ejecución, sabrás casi que al primer o segundo intento, qué está sucediendo en las líneas de inserción.

Otra cosa, es recomendable sanitizar tu código. Veo que no estás sanitizando la entrada y existen algunos XSS, como por ejemplo, en tu archivo de agregaCotizacionTemp.php. Estás recibiendo los parámetros y no los sanitizas. Es un vistazo rápido, pero sanitizando tu código y aplicándole refactoring, te evitaras muchos problemas más adelante.

Inténta lo de XDebug y nos cuentas. Puedes ahorrarte un tiempo.

Un saludo.

14
Buenas a todos/as,

Espero y se encuentren muy bien. Quería traerles este contenido en el canal, ya que, además de incentivar a más personas que se inmiscuyan en la seguridad informática, también hay que demostrar el talento que tiene Latinoamérica en el mundo del Hacking. Dos foros que han sido pilares y ejes de esto, ha sido Underc0de y Elhacker.net, sin duda alguna. Si eres una nueva persona y lees esto, quiero que sepas que puedes sumergirte en este mundo a través de estos grandiosos foros. No es endiosar, pero hay que ser realistas: la información que existe y la comunidad, es muy valiosa. Pero más que eso, también es importante retribuir lo que se aprende a la comunidad, por eso es comunidad. Creo que el ser altruista, contribuye a que se genera una mayor comunidad y un conocimiento progresivo en el tiempo.

Sin más, me gustaría que ustedes opinaran.

¿Qué piensan del Black Hacking?.

¿Qué piensan de lo de irse a otro país con respecto a nuestro campo?.

Estas dos preguntas fueron realizadas a WHK, aquí tienen la entrevista.




Espero que también opinen y generemos un debate interesante. No he visto uno en internet de esa índole y creo que podríamos crearlo ;).

Un abrazo.

15
Dudas y pedidos generales / Re:Ayuda Sobre .PDF
« on: June 09, 2020, 12:31:23 pm »
Hola You are not allowed to view links. Register or Login

No hay preguntas tontas, sino tontos que no preguntan. Por otra parte, si deseas modificar metadatos hay muchas herramientas, pero a mí me gusta usar mucho exiftool. Si deseas incrustar malware, recientemente vi un proyecto denominado "EvilPDF", el cual te permite incrustar ejecutables en los PDFs. Te dejo el enlace: You are not allowed to view links. Register or Login

Un saludo.

16
Ese warning que muestras solo es porque no se le ha puesto un atributo a las cookies. Así que no te preocupes por ese error, no tiene nada que ver con lo que se te está presentando. Por otra parte, si deseas, envíame uno de tus sitios por mensaje privado y le echo un vistazo.

Un saludo.

17
Hola,

Mira, ahora que lo pienso, deberías revisar bien la configuración del plugin. Si se te envió el mail de prueba, estoy seguro que debería funcionar en producción. Además, tampoco debería pasar el problema en diferentes hostings. Debe ser problema de configuración, quizás con tu cuenta que tienes configurada de SMTP. Intenta con otra cuenta que no sea SMTP, puede ser con los mismos que te proporciona tu proveedor de hosting.

Un saludo.

18
Dudas y pedidos generales / Re:Problema con NGROK
« on: June 08, 2020, 12:07:17 am »
Hola,

Entiendo, ¿no será problema del certificado?. Por favor, veamos las trazas: dig ngrok.com y tracerout ngrok.com

Copia y pega el resultado acá a ver.

Un saludo.

19
Dudas y pedidos generales / Re:Problema con NGROK
« on: June 07, 2020, 02:53:38 pm »
Hola You are not allowed to view links. Register or Login


¿Podrías proporcionarnos sobre qué tipo de adaptador de red estás corriendo la máquina? ¿te cargan otras páginas web? ¿Al hacer ping 8.8.8.8 qué te aparece?.
Un saludo.

20
Hola You are not allowed to view links. Register or Login

Correcto, eso puede suceder y me lo he topado en varios ocasiones xD. Lo que tú quieres decir se llaman "Condiciones de Carrera" o más conocidas como "Race Conditions", las cuales permiten a un atacante explotar una vulnerabilidad en un mismo lapso de tiempo(para ser preciso, en el tiempo exacto) de las solicitudes o requests. Este tipo de vulnerabilidades, son comunes pero no son muy conocidas.

Para no ahondar más en el tema(puedes seguir buscando más acerca de este tema), te podría mencionar que una de las soluciones que se suelen implementar son los bloqueos. Los bloqueos te garantizarán que en cualquier momento, solo un subproceso pueda modificar la base de datos. Recuerda que muchas bases de datos proporcionan esta funcionalidad para bloquear las filas cuando un hilo está accediendo a esta.

Por último, alguna vez escuché que alguien recomendaba siempre "leer tus escrituras" y no estaba en lo equivocado; deberás siempre garantizar y validar que verificarás tus registros si existe algún cambio(campo por campo).

Un saludo.

Pages: [1] 2 3 ... 11