CTF-H4K - ABIN X ISIS - WEB30 [Write-Up]

Fala pessoal bem vindos á mais um Write-up, e dessa vez trazendo aqui um desafio WEB.

site: Sucuri CTF
evento: ABIN X ISIS
software: Cookie Manager, PYTHON
script:  web30


DESC:

Ao acessar o site tínhamos:

Ao olhar o código fonte não tinha nada de mais:

Tinhamos então ai uma imagem "vs.png" redirecionando para um arquivo "win.php".




Ao acessar a imagem, fomos redirecionado para o "win.php", onde tinha a mensagem: "ABIN WIN"

E como na descrição o objetivo era fazer o ISIS vencer,  tínhamos que achar algum jeito de mudar isto, então depois fui ver os cookies e tinha um com o nome muito suspeito: "estadoislamico"

E em seu valor tinha um BASE64, cujo traduzindo: "false".

então estava na cara que para vencer teríamos que alterar isto, mudando para "true" e depois encodando em BASE64.

Apos isto foi só altera o valor do cookie "estadoislamico", e salvar.

Após ter salvo o cookie, era só acessar o "win.php", ou clicar na imagem.

E eles nos retorna a mensagem "TERRORISTA WIN", mas ai você se pergunta, cadê a flag ??

Era só dar uma olhada no código fonte:

E ae está a FLAG, agora para quem não tem ai o Cookie Manager instalado no seu Navegador, eu escrevi um script em Python que faz todo esse processo apenas executando ele.

FLAG:SHC{Br4s1l_D0wn_0limpi4d4s}

Write-Up: Bloco-de-notas [WEB500] - ShellterLabs-SucuriHC

Iae pessoal, Jonatas FIL[ Ninj4 ] na área, e dessa vez vou mostrar o Write-Up de um Evento que joguei recentemente.

SucuriHC - ShellterLabs

Bloco-de-notas - WEB500
---------------------------------------------------------------------
Descrição:

Bloco de Notas
-------------
[PT-BR] |
-------------
Achei essas senhas no bloco de notas e o link para adm do site! 

Usuário: ѷз 
Senha:Ü‹©ƒÖ¾ÅŽÓœÕ½È°»¹ÝšÔ 

https://ctf.sucurihc.org/flags/web50 
---------
[EN] |
---------
Found this passwords in a notepad file and the link to site administration! 

Username: ѷз 
Password:Ü‹©ƒÖ¾ÅŽÓœÕ½È°»¹ÝšÔ 

https://ctf.sucurihc.org/flags/web50 (100 points)
-------------------------------------------------------------------

Pra quem quiser brincar:

https://shellterlabs.com/pt-br/ctf-master/sucuri-hc-ctf-master/i-am-ctf-bitch
-------------------------------------------------------------------------------
Ok, vamos lá.

O desafio tratava-se de uma breve descrição com Login e Senha e a URL do Painel Administrativo.
Como podemos ver os dados de login são meio esquisitos, podemos dizer que podem ser dados encriptados.

Ao abrir o site ele aparecia a seguinte tela:

ao tentar logar com os dados ele mostrava uma frase de um trecho de uma música do MC Hackudao.

Então por ser um desafio WEB pensei em olhar a source do site, e então me deparei com uma função estranha, cujo tinha algumas palavras suspeitas.

Eu revirei o código inteiro e não achei nada de tão importante, então eu resolvi voltar naquela função e tentar entender como funcionava.

Até que percebi que aquilo poderia/era uma Criptografia, então pesquisei na Internet algo relacionado com Criptografia com Javascript, até que me deparei com algo muito parecido com a função.

Tratava-se de um Encriptador/Descriptador em Javascipt cujo funcionava a partir de uma KEY.

Então copiei o código e em "ch = ", eu coloquei a Chave que achei na função Tadezoera, "ToHaCkIaNdOtOdOmUnDo!"

Após isto eu salvei o Script como HTML e abri ele no meu navegador.

Depois disto fui no campo criptografia e colei o Usuário criptografado e dei um enter, e ele me trouxe o seguinte usuário: "boot"

Depois fiz o mesmo com a Senha, e ele me trouxe a seguinte hash: "mCH@kud@oMandaNdoVe".

Após isto, só fui logar no Painel com os dados obtidos e ele nos voltou com o alert com a FLAG.

FLAG: SHC{F@laMalM@isContinuajogandoCTFCuzao}

By Ninj4

Script: http://pastebin.com/nFEEgDgH

DEMO - Reflected XSS Attack

                       DEMO - Reflected XSS Attack

Veja um vídeo demonstrando o ataque: "Reflected XSS"

IEE 802.11 - Decrypt Traffic

                     IEE 802.11 - Decrypt Traffic

                   

Vídeo:

----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

Comandos:

$ aircrack-ng flag.pcap -w /usr/share/john/password.lst

$ airdecap-ng -p starbuck flag.pcap -e X

Downloads:

https://www.wireshark.org/download.html

http://www.openwall.com/wordlists/

http://www.aircrack-ng.org/downloads.html

http://www.aircrack-ng.org/doku.php?id=airdecap-ng

PasteJacking: Introdução e Prática [PT-BR]

Olá pessoal, bem vindos !!!

Desta vez vou estar demonstrando uma falha que está ficando popular.

                                   "PASTEJACKING".

Pelo nome já dá pra saber que tem algo haver com copiar/colar.

Este ataque acontece quando o Hacker usa a TAG <spam> para adicionar comandos externos.

No caso vou demonstrar utilizando o HTML:

Script: http://pastebin.com/q7M5v3KS

Como vocês podem ver existe toda uma função para este ataque, no caso <pre> é o texto que será exibido, e <spam> será os
Comandos que vão ser executados via bash no Linux/SO


No caso o código que criei, ele vai executar comandos como "echo", "sleep", "clear".

Este ataque é perigoso pois dependendo do hacker ele pode estar ae adcionando um WGET pra você baixar a backdoor dele,

E depois estar executando sem que você perceba.

No caso eu Coloquei um comando "git clone" aleatorio só pra demonstrar.

Vamos lá ver então.

Agora vou estar demonstrando á vitima:

A vitima inocente vai baixar alguma coisa por linha de comando e sem querer acaba caindo em PasteJacking.

Como você puderam ver eu executei comandos externos apenas utilizando um <spam>, como  se fosse um comentário.

"LEMBREM SE PESSOAL, MUITO CUIDADO AO COPIAR COISAS QUE NÃOS SEJAM DE SITES CONFIAVEIS".

FLW <3

[Venom.sh] - Criação de ShellCode

 =============================================================

Iae galera, hoje irei mostrar a ferramenta Venom.SH, que foi criada em shell script pelo PedroUbuntu.

                 

      (Por Jonatas Fil)                         

Name: VENOM - shellcode generator 1.0.8
Link: http://sourceforge.net/p/crisp-shellcode-generator/wiki/Home/
Author: peterubuntu10@sourceforge.net [ r00t-3xp10it ]
HomePage: http://sourceforge.net/u/peterubuntu10/profile/
Suspicious-Shell-Activity (SSA) RedTeam develop @2016
================================================================================

[COMO FUNCIONA O VENOM.SH]

O script usará o msfvenom (metasploit) para gerar shellcode
em formatos diferentes (c | python | ruby | dll | msi | hta-PSH)
Introduzindo o shellcode gerado em uma função (exemplo: python)
"a função do órgão python irá executar o shellcode na RAM" e uso de
compiladores como: gcc (compilador gnu) ou mingw32 ou pyinstaller
para construir o arquivo executável, também inicia um multi-manipulador para receber
a conexão remota (shell inversa ou sessão meterpreter).
.
O gerador de shellcode "A ferramenta reproduz algumas das técnicas utilizadas
por ferramentas como Veil-Evasion, unicorn.py, powersploit, etc, etc, etc ..
=================================================================================
                             
Vídeo:

        

Hijacking: Explicações [Vídeo+Artigo]

Fala ae galera hoje venho aqui trazer um vídeo+artigo, sobre o termo Hijacking.

Porquê eu escolhi esse termo ?

Eu achei bem interessante está tecnica, e achei que  muitos não conhecem, entãor esolvi trazer um vídeo explicando, usei fontes boas e seguras, desculpem este foi um dos meus primeiros vídeos narrando.

Veja agora dicas de comos e proteger, como remover, como funciona:

 

 

 

                                           ARTIGO:

Oque é hijacking ?

é um sequestro de sessão.

Existem muitos Malwares. spywares e outros, um destes terríveis invasores se chama hijack.
O hijacking vem da palavra "hijacker" vem de "sequestro,sequestradores", o sentido real
do termo hijack é isso mesmo

Como funciona ?

Estes programas entram em seu computador sem você perceber,
utilizando controles ActiveX e brechas na segurança.
Assim, modificam o registro do Windows
 “seqüestrando” o seu navegador e modificando a página inicial dele.
Depois aparecem novas barras e botões, e páginas abrem sem parar na tela,
contra a sua vontade.

Por quê ?

Todas estas coisas que são alteradas em seu navegador normalmente linkam
 para publicidade e,na maioria das vezes, têm inclusive pornografia envolvida.
E quem sai ganhando com esta invasão em seu PC é o desenvolvedor deste Hijack,
já que ele é pago por cada vez que estas páginas com publicidade são abertas.

Removendo e evitando: 

E é claro que eles são “grudentos”,
pois dificilmente você consegue remover alguns deles.
Como evitar ou acabar com eles?

Uma dica muito boa para evitar, é entrar em sites seguros, habilitar o pop-ups.

 1º) Sugestão da própria Microsoft, é a utilização da Ferramenta de Remoção de Software Mal-intencionado, que pode ajudar a detectar alguns tipos de software de sequestro, mas não todos;

2º) Os programas mais recomendados são o Malwarebytes Anti-Malware e o ADW Cleaner (download também possível aqui), que são programas grátis.
Após fazer o download e instalar o software em sua máquina, execute os programas e faça uma limpeza completa na máquina, lembrando-se de fechar os navegadores em execução.

Para evitar irei deixar um link do tecmundo com dicas para ver se o site é confiavél,
e tutoriais para remover.

Fonte:

http://www.tecmundo.com.br/spyware/212-o-que-e-hijack-.htm
http://www.tecmundo.com.br/seguranca/1194-10-dicas-para-descobrir-se-um-site-e-confiavel.htm?utm_source=SaibaMais&utm_medium=TecMundo
http://www.emersonwendt.com.br/2014/03/o-que-sao-como-se-prevenir-e-como.html
https://en.wikipedia.org/wiki/Hijacking
https://securitcrs.wordpress.com/hacking/10-session-hijacking/
http://andeons.com/paginas-falsas-de-banco-cuidado-voce-esta-sendo-vitima-de-golpe/
https://www.owasp.org/index.php/Session_hijacking_attack