Arquivos CTFs - Hacking na Web

Ataques, Ataques Web, CTFs, Elevação de Privilégios, Programação

Pegando as senhas do WordPress em texto claro por Backdoor

Tempo de leitura: 4 minutos

Livros e artigos que tratam de pentest no WordPress sempre falam de upload de webshell e obtenção dos usuários que estão na tabela wp_users. Algumas ferramentas usadas na exploração deste CMS como Metasploit e WPScan realizam ambos quase automaticamente. Porém as senhas dos usuários que estão nessa tabela são criptografas com hash e salt. Dependendo da complexidade da senha, é impossível quebrá-la. Então o que fazer?

Ataques, CTFs, Desafios de Reversing, Mobile

Alterando aplicativos Android para permitir interceptação de conexões HTTPS

Tempo de leitura: 2 minutos

TL;DR – Para interceptar as conexões HTTPS:

Instale o certificado do Web Proxy (Burp, Fiddler, Charles, etc) no Android
“Decompile” o aplicativo com o apktool
Edite o ManifestAndroid.xml e adicione (ou edite) a configuração de segurança de rede para permitir certificados instalados pelo usuário
Recrie o aplicativo com os arquivos criados (ou editados) usando o apktool
Assine o aplicativo e instale no sistema alvo

Ataques, Ataques Web, CTFs, Linux

Upgrade no shell reverso

Tempo de leitura: < 1 minuto

Quando conseguimos um shell reverso, geralmente faltam várias coisas que dificultam bastante a interação. Pela falta de um tty, não conseguimos verificar as permissões com “sudo -l”, não conseguimos usar o “vi” e várias outras dificuldades. Então a primeira coisa que costumamos fazer é obter (spawnar) um tty. Porém mesmo após este passo, ainda faltam algumas coisas:

Criptografia, CTFs

Crivo de Eratóstenes – Como encontrar números primos

Tempo de leitura: 3 minutos

Os números primos são fundamentais para a criptografia moderna. Algoritmos assimétricos dependem inteiramente de encontrar dois números primos gigantes (maiores de 200 casas decimais) que multiplicados resulte em um número ainda maior! Por exemplo, o último número “N” fatorado da RSA foi o RSA-250 que continha 250 casas. O número era 2140324650240744961264423072839333563008614715144755017797754920881418023447140136643345519095804679610992851872470914587687396261921557363047454770520805119056493106687691590019759405693457452230589325976697471681738069364894699871578494975937497937. Este número era o resultado da multiplicação de dois números:

CTFs, Programação

Como finalizei o desafio “Malvertising” do Google CTF 2019

Tempo de leitura: 11 minutos

Na área de engenharia reversa do Google CTF de 2019 tinha um desafio chamado “Malvertising”. Neste desafio, o competidor deveria fazer o reverse de códigos de anúncios para conseguir revelar a flag. Então vamos lá.