Así gané un desafío Capture the Flag resolviendo los retos desde mi móvil

9 de febrero de 2023

Como parte de nuestra participación en el evento Barcelona Security Congress 2023, organizamos en el área Hacking Village actividades dirigidas a la audiencia técnica. Una de las actividades consistió en un desafío Capture the Flag para el que se registraron 74 hackers, entre participantes presenciales y online.

David Soto, nuestro autor invitado en el blog, fue el primer participante en resolver tres retos, con lo que ganó el desafío y se llevó a casa el premio. En este post nos cuenta cómo lo consiguió usando solo el móvil, y cuáles son las claves para ir por delante en el ámbito de la Ciberseguridad.

* * *

POR DAVID SOTO
ESPECIALISTA EN CIBERSEGURIDAD

Soy David Soto y tengo la suerte de trabajar de consultor IT en ERNI Consulting España, como especialista en Ciberseguridad y desarrollo seguro. Un campo que me apasiona desde que era niño.

En las competiciones de tipo Capture the Flag (CTF) me conocen con el alias de JDarkness y tengo el honor de haber ganado competiciones como IntelCon, MundoHacker o PwnVerse, entre otras. Y más recientemente, hace apenas unos días, el organizado por Telefónica Tech junto a campus 42 durante la celebración de Barcelona Cybersecurity Congress.

Capture The Flag son juegos de competición gratuitos que ponen a prueba tus conocimientos y habilidades como hacker.

En estas competiciones CTF los participantes se encuentran con diferentes modalidades de retos con el objetivo es conseguir una “bandera” (flag), un código que demuestra que han resuelto el reto.

En esta ocasión, al ganar el desafío de una manera un tanto "diferente", usando solo mi teléfono móvil, me han invitado a escribir este post contando cómo fue la competición y mi experiencia. Así que aquí va mi historia:

Hace un par de semanas, al mirar la agenda del Barcelona Cybersecurity Congress, me di cuenta de que este año habían preparado un desafío Capture the Flag híbrido, con modalidad online y presencial. Como tenía previsto ir al congreso, me apunté con intención de ver qué retos se planteaban, sentarme un rato con mi portátil y ver hasta dónde podía llegar.

Humbert en el espacio Hacking Village de Barcelona Cybersecurity Congress

Una vez recibí las entradas empecé a preparar la agenda: Tour con la DCA, visitas a los expositores de interés… Reservé 30 minutos para sentarme en la Hacking Village y ver los retos sin mucha intención de ganar.

Al acabar el DCA Tour, me dirigí a la Hacking Village para conectarme con el portátil y afrontar los retos. Pero justo en ese momento había comenzado una ponencia y no quedaba ni un sitio libre. Como necesitaba conectar el portátil, pensé: "Bueno, de perdidos al río, como solo quiero ver de qué van los retos lo miro desde el móvil". Y me fui a visitar stands.

Tengo que decir que en mi teléfono llevo un termux con una pequeña distribución Kali Linux. Algo que, aunque incómodo, me permite realizar pequeñas pruebas y tareas en caso de necesidad.

Introducción al análisis de malware: tipos que existen, síntomas y cómo identificarlos
CYBER SECURITY
Introducción al análisis de malware: tipos que existen, síntomas y cómo identificarlos
6 de octubre de 2022

Cómo fue el desafío Capture the Flag, reto a reto

En este CTF, coorganizado por Fundación Telefónica con el campus de programación 42, se retó a los participantes a tres desafíos de ciberseguridad más uno extra para poner a prueba sus habilidades en el análisis de memoria, uso de cookies, crack de contraseñas… Para ganar había que resolver al menos tres de los cuatro retos de calentamiento, esteganografía, forense y web.

1. Reto de calentamiento

El reto de calentamiento consistía en encontrar una cadena de texto dentro de la página principal. Fácil, pasé al siguiente.

2. Reto de esteganografía

Es un tipo de reto que se basa en ocultar información dentro de archivos o imágenes que no lo aparentan. Los participantes deben descubrir dónde está oculta la información, y extraerla.

Tras el de calentamiento, el de esteganografía era el primero reto “de verdad”. Consistía en una pantalla de ‘login’ con un bonito logo de Telefónica Tech...

3. Reto forense

Un reto forense implica analizar archivos y sistemas con el fin de recuperar información (como datos encriptados o borrados), identificar intrusos, atacantes o a los autores delitos informáticos.

En este caso se trataba de un par de ficheros supuestamente volcados de memoria o imágenes de disco… Sin un teclado ni las aplicaciones adecuadas ni me planteé resolver el reto en ese momento, pero siempre podía volver más tarde si era necesario.

Martina Matarí, responsable de servicios de seguridad ofensiva de Telefónica Tech, durante su ponencia.

4. Reto web

Visto lo anterior decidí ir a por el último, el reto web. Suelen incluir la identificación y explotación de vulnerabilidades en sitios web, la recuperación de información sensible o el análisis de paquetes de red. Quizá el más accesible sin herramientas.

El reto web se iniciaba también con una pantalla de ‘login’ que pedía usuario y contraseña. Apliqué un SQL injection que hizo su magia y me devolvió un listado de usuarios y contraseñas que hubo que descifrar.

En el enunciado del reto se mencionaba un panel de control. Lo busqué, pero tenía protección contra SQLi, por lo que no puedo aplicar un SQL injection. Pero como tengo las credenciales anteriores accedo sin problema. Ahora sí, y el ejercicio queda completado.

Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso
Cyber Security
Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso
29 de junio de 2022

Las claves: conocimiento, metodologías y herramientas

En este punto tres retos ya tenían una solución, por lo que me fui a comer con los compañeros y me olvidé de la competición.

¡Cual fue mi sorpresa al recibir un correo invitándome a recoger el premio por haber puntuado más alto de forma presencial!

Me acerqué a recoger el premio y la historia de cómo había ganado usando el teléfono causó mucho impacto.

El hecho de haber resuelto esos desafíos desde el teléfono es gracias a tener las metodologías claras.

En este sentido tuve el placer de aprender del gran Francisco Martín, que siempre nos insistió en dos cosas:

  1. Las herramientas de botón gordo solo se usan cuando tienes claro lo que hacen y eres capaz de hacerlo sin ellas.
  2. Fuzzear es tu amigo: fuzzealo todo.

Bromas aparte, entender qué hacemos, cómo lo hacemos y por qué lo hacemos es fundamental para los que nos dedicamos a IT.

Así que aprovecho para animar a los futuros profesionales a aprender, a investigar y a no quedarse en la superficie de lo que nos enseñan. Porque, quien sabe, quizá eso os permita lograr cosas que nadie se espera.