En esta nueva edición del Desafío ESET queremos proponerles un capture the flag a partir del análisis de un archivo comprimido.

La idea principal es que todo el que quiera hacer su versión de este exploit y comprender en profundidad el fallo, vaya comentando aquí sus avances, dudas, problemas y demás. Hay tanto exploits como detalles del mismo, pero la cuestión es que cada uno que lo intente y se atasque venga aquí a explicar sus problemas y pueda continuar. Ni es un concurso, ni hay fecha de entrega. El único objetivo es que todo el que crea que no sabría hacerlo, pero quiera, utilice este post para conseguirlo. A ver si al final de este hilo entre todo lo comentado se pueden montar uno o varios tutes conjuntos.

El desafío se trata de acceder y tomar el control de un Drone que va a estar presente en el congreso Hackron en Santa Cruz de Tenerife.

Esta prueba simplemente pide encontrar el password en 41.231.53.44:8282/tasks/re300.zip para ello lo primero que hace SkUaTeR es identificar el archivo abriendolo en un editor hexadecimal. Es un fichero ELF que parece usar la libreria glib64...

SkUaTeR del equipo Amnesia presenta su solucion a la prueba ROT presentada en la Pwnium 2014. Esta prueba empieza con "Rot 90, Rot -90, Rot 90, Rot -90... nc 41.231.53.40 9090". SkUaTeR lo primero que hace es conectarse con netcat a la direccion comentada y se encuentra con un gran bloque de texto y un prompt esperando una respuesta...

There are some problems with CTF write-ups in general:

- They’re scattered across the interwebs.
- They don’t usually include the original files needed to solve the challenge.
- Some of them are incomplete or skip ‘obvious’ parts of the explanation, and are therefore not as helpful for newcomers often they disappear when the owner forgets to renew their domain or shuts down their blog.

This repository aims to solve those problems.

It’s a collection of CTF source files and write-ups that anyone can contribute to. Did you just publish a CTF write-up? Let us know, and we’ll add a link to your post — or just add the link yourself and submit a pull request. Spot an issue with a solution? Correct it, and send a pull request.

La final organizada por Legitimate Business Syndicate tendra lugar el 8 de Agosto en el Hotel-Casino Rio en Las Vegas.

Geohot, también conocido en los CTFs como tomcr00se, ha decidido hacer streaming en vivo de él mismo jugando al wargame vortex alojado en overthewire.org. Según geohot, las razones por las que decidió grabarse en directo, es para atraer a más empresas y corporaciones, y así intentar hacer de este tipo de competiciones un “e-sport”.

Fuente: www.cyberhades.com/2014/07/25/ctf-en-vivo-protagonista-principal-tomcr

XSS game es una web creada por Google en la que nos invitan a jugar. Según Google, las vulnerabilidades XSS o Cross Site Scripting son las más comunes y peligrosas en aplicaciones web.

Google nos ofrece esta plataforma de aprendizaje de forma totalmente gratuita. En estos momentos dispones de 6 niveles. XSS game está orientado más a los desarrolladores que al profesional de la seguridad, sobre todo para concienciar a estos del peligro de este tipo de errores.

Google advierte que aunque se puede hacer trampa en el juego, la idea es entender y aprender sobre este tipo de errores. Todo lo que necesitas es un navegador moderno e imaginación, y tiempo.

Fuente: www.cyberhades.com/2014/05/29/xss-game-google-nos-invita-a-jugar/

Los CTFs o Capture The Flags, en el contexto de la seguridad informática, son pruebas o retos que ponen a prueba los conocimientos técnicos y no tan técnicos de sus concursantes. Los retos pueden ir desde preguntas de trivial o recolección de información, hasta la explotación de software y/o hardware.

Las pruebas son tan variopintas, que normalmente se juega en equipo, donde cada uno o varios de sus componentes se especializan en categorías concretas, dejando de lado a Geohot, también conocido como tomcr00se, éste juega sólo y si no gana el reto, acaba muy cerca.

Para…

The DARPA Cyber Grand Challenge is a competition that seeks to create automatic defensive systems capable of reasoning about flaws, formulating patches and deploying them on a network in real time.

La idea de este nuevo proyecto es sustituir a los CTF que veníamos realizando durante el ultima año por un nuevo concepto. En este caso lo que haremos sera virtualizar al principio pequeñas aplicaciones y redes de sistemas para que la gente pueda vulnerarlos, pero no con la idea de un concurso a ver donde es el mejor tipo CTF, sino con un entorno donde quien tenga cualquier duda pueda preguntárnosla, tanto a nosotros como en el foro, de tal forma que podamos aprender mucho unos de otros.

Después de algún tiempo sin proponer ningún reto en el blog, volvemos a la carga con un nuevo caso donde tocará poner en práctica algunas técnicas que pueden ser utilizadas para obtener información oculta que pueda existir dentro de ficheros aparentemente “normales”.