En este post, te mostraré cómo extraje una bandera ( flag ) de un reto CTF a partir de una imagen PNG usando herramientas de análisis forense como ExifTool y técnicas de conversión entre formatos de codificación como Hexadecimal y Base64 . 💻 Inspeccionando la imagen con ExifTool Para empezar, tenía un archivo PNG sospechoso llamado ctf-2024.png . Lo primero que hice fue analizar sus metadatos con ExifTool para ver si había información oculta. Descargar archivo ctf Ejecuté el siguiente comando en la terminal: exiftool ctf-2024.png Obtuve la siguiente salida relevante: Observación : Encontramos un comentario dentro de los metadatos de la imagen que contiene una larga cadena en hexadecimal . ¡Aquí podría estar la clave! Decodificando el comentario hexadecimal El comentario que encontramos parecía ser una cadena codificada en hexadecimal , así que escribí un script en Python para convertirlo a texto legible. Script en Python para decodificar hexadecimal: bytes_data = bytes . fromhex...

Introducción Recientemente, mientras analizaba un reto tipo CTF (Capture The Flag) relacionado con AGETIC , me encontré con un archivo que, a primera vista, parecía ser una clave privada en formato OpenSSH. Sin embargo, al intentar usarlo, algo no cuadraba... 🤔 Este artículo es un paso a paso de cómo detecté que la supuesta "clave privada" en realidad era una imagen codificada en Base64 y cómo puedes aplicar este método en tus propios análisis.  Revisar el archivo sospechoso El archivo miLlave contenía lo siguiente: Descagar archivo CTF ---- -BEGIN OPENSSH PRIVATE KEY ---- - / 9 j / 4AAQSkZJRgABAQAAAQABAAD / 2wBDAAoHBwgHBgoICAgLCgoLDhgQDg0NDh0VFhEYIx ... ---- -END OPENSSH PRIVATE KEY ---- - A primera vista, parece una clave privada SSH , pero algo llamó mi atención: la línea que empieza con /9j/ . ⚠️ Comprobar el formato del archivo Antes de intentar usar la clave, ejecuté el siguiente comando: En un archivo de clave privada SSH válido, debería aparecer algo como: miLlav...

¿Qué es el SQL injection? Una inyección de SQL, a veces abreviada como SQLi, es un tipo de vulnerabilidad en la que un atacante usa un trozo de código SQL (lenguaje de consulta estructurado) para manipular una base de datos y acceder a información potencialmente valiosa. Secuencias de comandos entre sitios (XSS) Cross Site Scripting o XSS es una vulnerabilidad en la que el usuario de una aplicación puede enviar JavaScript que ejecuta el navegador de otro usuario de la misma aplicación. Esta es una vulnerabilidad porque JavaScript tiene un alto grado de control sobre el navegador web de un usuario. Por ejemplo, JavaScript tiene la capacidad de: Modificar la página (llamada DOM) Enviar más solicitudes HTTP Acceder a las cookies Al combinar todas estas capacidades, XSS puede usar JavaScript de forma malintencionada para extraer las cookies del usuario y enviarlas a un servidor controlado por un atacante. XSS también puede modificar el DOM para suplantar las contraseñas de los usuarios. ...

Hola 😈💣 Nuevamente en mundo de los ctf ahora vamos a ver que hackear 👀,  En este reto stego nos proporcionan un archivo el archivo 21.10.20 10.14.wav gracias al evento que fue realizado por enHacke  al momento de reproducir el archivo tiene el sonido código morse. Al momento que escuche el sonido dije es código morse aun que también ya me había spolilers he decidido usar la herramienta Spek para ver lo que escondía el audio y así de simple tenia la flag  También les dejare referencias de paginas web para que puedan resolver el reto y el archivo wav por si desean practicar :)  NHK{N3t_M4sck_Challengg3} Descargar: 21.10.20 10.14.wav Spek 🐖 es un software gratuito y de código abierto con licencia GPLv3. El proyecto está escrito en C++ Características Admite todos los formatos populares de archivos de audio con pérdida y sin pérdida gracias a las bibliotecas FFmpeg . Procesamiento de señal ultrarrápido, utiliza múltiples subprocesos para acelerar aún más el análisis....

.... --- .-.. .- / . ... .--. . .-. --- / --.- ..- . / - --- -.. --- / . ... - . / . -. / --- .-. -.. . -. / ---... ...- / .... . / . ... - .- -.. --- / --- -.-. ..- .--. .- -.. --- / -.-. --- -. / . -..- .--.- -- . -. . ... / .--. --- .-. / . -. -.. . / -. --- / .... . / .--. --- -.. .. -.. --- / . ... -.-. .-. .. -... .. .-. / -- .- ... / .- .-. - .. -.-. ..- .-.. --- / . -. / -- .. / -... .-.. --- --. pero aquí les traigo un reto de ctf , resolviéndolo con código morse . En muchos de los ctf captura flag  nos toparemos con el tema de la esteganografia existe muchas forma de esconder un objeto , mensaje dentro de algún archivo o imagen para ello vamos a comenzar con el reto . Pero antes una pequeña biografía y teoría.. ☆・。。・゜゜・。。・゜★  Samuel Morse El inventor un nuevo código de comunicación El 2 de abril de 1872, moría Samuel Finley Breese Morse, el creador del mundialmente famoso sistema telegráfico basado en puntos y rayas, poco antes de cumplir los 81 años. Este invento, e...

En una mas de mis aventuras jugando CTF , pero ahora junto a mis compañeros de la universidad nuestro equipo sceris hemos recolectado muchas flag :3 pero no ha sido lo sufriente :v  Pero aquí les dejo un mini tutorial de uno de los retos :)  1. ANALIZANDO DOCUMENTO Primero observamos el contenido del documento, en esta ocasión es un Word con el nombre y extensión Doc.docx En el documento encontramos una pista, dice que la clave está en foto. La pregunta es quien está en foto? Observamos que es HOMERO SIMPSON  ¿Qué más podemos notar?  Esta obeso aunque siempre lo estuvo :`v sigamos con nuestro análisis. 2. EXIFTOOL Ahora usaremos herramientas para analizar los metadatos de un documento podríamos usar foca, exiftool online, en esta ocasión usaremos exiftool portable.  ExifTool es un programa de software gratuito y de código abierto para leer, escribir y manipular metadatos de imagen, audio, video y PDF. Es independiente de la plataforma, disponible como una bi...

El objetivo de los CTF es lograr resolver la mayor cantidad de retos posibles, obteniendo una flag (Solución a un reto), entre los cuáles, se suelen encontrar retos de criptografía, ingeniería inversa, explotación web, forense, entre otros... Me aparecido muy interesante los ctf que notpinkcon lanzo ,estaba destinado mas para principiantes, en mi primer ctf en otra evento/comunidad/organización no he podido lograr ninguna bandera , resulta que no llegaba a entender que tenia hacer en ese momento , pero me hubiera gustado haber tenido un pre-entrenamiento como lo desarrollaron en notpinkcon y aparte dieron buena charlas que no sabias a cual ir a ver ya que existían dos en vivo bueno ahora ...He aquí algunas soluciones del ctf :)  ahaha y antes de ver las respuesta si tienen algún grupo de flag seria una agradable que me permitieran unirme a su manada. SOLUCIONES ⏳ Reto #1 Hexadecimal 6f 75 72 20 64 65 6d 6f 63 72 61 63 79 20 68 61 73 20 62 65 65 6e 20 68 61 63 6b 65 64 💣  Resp...

Rockstar es un lenguaje de programación de computadoras diseñado para crear programas que también son baladas de power metal. Los programas Rockstar son archivos UTF-8 con la .rock extensión de archivo. (Dado que para todo lo incluido en la especificación actual de Rockstar, UTF-8 no se puede distinguir de ASCII de 7 bits, esa es una forma elegante de decir que son archivos de texto sin formato). En unas de mis participaciones me  toco este tipo de problema, no tenia idea que existía un lenguaje para rock de interpretación de música y menos metal . El problema del ctf Mi pana "El Esoterico" compuso esta cancion para su pelada pero lo dejaron al dia siguiente. Tal vez no entendió el mensaje detrás de la letra. Al comienzo pensé que era una metáfora luego , de investigar en google un poco mas sobre rock informático si suena algo tonto pero los buscadores me devolvieron los resultados que esperaba. La extencion del archivo esta en .rock   love_7f484579f371d4f6...