22 jul. 2009

Resultado Hackit Summer Camp Garrotxa 2009

Aquí tenéis la resolución y las respuestas de las pruebas del hackit. Espero que hagáis aprendido mucho ;)

El hackit consistia en 3 grupos de pruebas, divididos entre metálicos (sistemas operativos y redes), no-metálicos (reversing y cracking) y gaseosos (criptografía y lógica). El hackit consistía en resolver el máximo numero de pruebas, algunas mas fáciles, otras mas difíciles y todas podían ser resueltas.

Los mensajes de las pruebas y las pistas a veces servían para despistar, otras veces te metían la solución en las narices.

Metálicos
Hierro (Fe):
- Hay metales que residen suspendidos en el aire, algunos de estos son visibles, otros ocultos, debes indicar sus nombres y descifrar su propiedad (introducir por orden alfabético).
- La prueba consistía en petar la clave wep de los 3 AP wifi que había esparcidos por el campamento, cada AP tenía un elemento en su nombre SCG09_C, SCG09_H y SCG09_O. Lo que los metales residen suspendidos en el aire hacía referencia a que la prueba estaba en el aire, en las redes inalámbricas, y los elementos eran cada uno de los SSID de las redes inalámbricas.
En este post explica como crackear una red wifi, la dificultad se hallaba en que no todos los chipset pueden inyectar tráfico y a veces es necesario el uso de un parche específico para poder hacer esta tarea y hacer subir el numero de iv necesarios para poder descifrar la clave WEP de 64bits hexadecimal.

Cobre (Cu):
- Será necesario encontrar una mina para poder explotar este metal, un mangífico conductor que nos servirá para costruir herramientas para conducir la electricidad.
Halla el código que se encuentra oculto en la red de los elementos (para ello antes será necesario encontrar por dónde entrar en las montañas superando la prueba de Hierro).
- Esta prueba consiste en entrar en una de las 3 redes wifi que se han petado en hierro, una de las formas recomendadas es usando un programa de escaneo de redes y puertos, como el nmap:
# nmap -sS 192.168.23.0

en la red nos encontrábamos con una o varias maquinas (la de los otros participantes que hubiesen llegado entrar) y mirar los puertos que tenía abiertos, había una que tenía el 2323 y llevaba a un servidor virtual de apache el cual sólo se podía ver desde la red wifi SCG09_C.

El código a hallar era este:
efe(lia)db(de)ɐac

Plata (Pt):
- En plata no había ninguna prueba, se reservaron 3 espacios para si había algún empate o algún participante proponía alguna prueba.

Oro (Au):
- oro, precioso y valioso metal, cabe destacar que es un buen conductor de la electricidad. Así que a ver si sabes conducir bien tus herramientas y encuentras la clave de esta prueba...
- En esta prueba había un pequeño error de código, que puse un sin ningún texto, el link al fichero a descargar se podía ver mirando el código. Este link invisible te llevaba a un fichero de texto plano que no tenía ningún sentido.
Este fichero plano en realidad era un fichero shadow, ubicado en los unix en /etc. En este fichero se tenía que sacar el password de root usando alguna herramienta como el mítico john the ripper, el password era bastante fácil, así que con una maquina mas bien potente de tardaba unos pocos minutos. Oro hacía referencia a lo bonito que es linux ;)
- brick

Plomo (Pb):
- el plomo, con un peso atómico de 207,19 umas, es uno de los metales mas pesados.
por otra parte el plomo es tóxico, su consumo excesivo puede causar crisis nerviosas, así que esperamos que no cogáis ninguna intentando resolver esta prueba ;)
- Como oro es bonito-linux, mercurio es pesado-windows. La prueba trataba en descargarse un fichero comprimido en .tar.gz (para despistar), y dentro contenía un par de ficheros con nombres absurdos, que era el system y el sam.
Una buena herramienta a usar era el ophcrack con su librería fast, 400megas de fichero :P La prueba consistía en encontrar el password del administrador del sistema. La pista era la prueba Oro.
- flowers



NO-METALES
Todas estas pruebas fueron resueltas en la charla del sábado por la noche en la charla de Radare. Pancake nos explicó paso a paso como hallar la información y saltarnos los condicionales para llegar a dónde queríamos, modificando el programa o simplemente destripándolo. Esta resolución fue grabada en vídeo (a linkar).
Doy las gracias a Pancake para preparar esta sección del hackit, realmente didáctica :)



GASES
Hidrógeno (H)
- El hidrógeno es un magnifico elemento de ignición para motores, además su combustión sólo genera vapor de agua.
En esta prueba debes descifrar la clave de la prueba de Cobre que requiere la superación de la prueba de Hierro.
- Pues el último párrafo ya te cuenta lo que tienes que hacer, super claro, tienes que descifrar este texto:
efe(lia)db(de)ɐac

Este texto también lo puse el año pasado pero nadie llegó a la prueba final :P así que dejo que intentéis resolver esta prueba, los que lo descubráis mandadme un mail ;) publicaré la respuesta dentro de un par de meses :P

Helio (He)
- El helio es un gas muy ligero, mas que el aire, por esto se usa en globos aeroestáticos.
Al igual que el helio, esta prueba es ligerita :D
¿qué nos revela este código?
- El elemento ya nos indicaba de que esta prueba no era de mucha dificultad, simplemente teníamos que saber que la imágen era un código qr (anterior al 2009, ya que uno de los participantes me comentó que había un nuevo modelo de qr).
En internet, o algunos dispositivos incluyen un programa que permite leer códigos qr.
- Lo que ponía ahí era "all your base are belong to us", exactamente el mismo texto que estaba en todas las camisetas y que hace referencia a un mítico juego que se hizo famoso por su mala traducción ;)

Neón (Ne):
- Esta prueba trataba mas o menos de lo mismo que la Helio, pero con la leve dificultad de que el numero se hallaba en binario en lugar de decimal.
- El resultado era 2009

Argón (Ar)
- El argón o argon es un elemento químico de número atómico 18 y símbolo Ar. Es el tercero de los gases nobles, incoloro e inerte como ellos, constituye en torno al 1% del aire. Del griego Argos que significa perezoso (debido a que no reacciona).
Así que no seas perezos@ y resuelve esta prueba.
- El texto no tiene ningún sentido, era totalmente para despistar, pero debajo nos encontrábamos con esta ristra de código hexadecimal:
656E20656C206D756E646F20686179203130207469706F7320646520706572736F6E61732C206C61732071 756520736162656E2062696E6172696F2079206C617320717565206E6F2E0A
Esta ristra de numeros hexadecimales corresponden a un texto en llano, así que teníamos que ir metiendo los numeros hexadecimales en un fichero con hexedit o usar un conversor de hexadecimal a ascii.
- Resultado: en el mundo hay 10 tipos de personas, las que saben binario y las que no.

Criptón (Kr)
- La criptonita abolía los superpoderes de superman, pero si vas a caballo y encuentras el camino correcto puedes ser igual de veloz.
- En esta prueba nos encontrábamos con una tabla con todo de letras y _, cada celda tenía 2 letras. El texto nos daba ya la respuesta de lo que teníamos que hacer, así que teníamos que hallar una frase oculta en la tabla usando el salto de caballo.
Para resolver esta prueba había dos formas, un poco cutre (ir buscando las distintas posibilidades) o otra un poco mas elegante, mediante un pequeño código que mostrase las posibles combinaciones y usar un programa para hallar frases de diccionario. Los _ tenían que convertirse en espacios.
- Resultado: el problema esta entre la silla y el teclado


Pues esto es todo :)

0 comentaris:

Publica un comentari a l'entrada