Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Eduardosanchezrafaelsojo Slides 180312234826

    Enviado por

    parrese
    64 visualizações45 páginas
    Este documento presenta un taller de iniciación para preparar un equipo de Capture The Flag (CTF). El taller es impartido por Eduardo Sánchez y Rafael Sojo, quienes son expertos en seguridad informática y han participado en competiciones de CTF. El documento describe los conceptos y herramientas necesarios para entrenar un equipo de CTF, incluyendo diferentes tipos de retos como criptografía, web, esteganografía, redes, reversing, forense, exploiting y OSINT. Además, proporciona ejemplos de plataformas para

    Descrição original:

    Eduardosanchezrafaelsojo Slides 180312234826

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Este documento presenta un taller de iniciación para preparar un equipo de Capture The Flag (CTF). El taller es impartido por Eduardo Sánchez y Rafael Sojo, quienes son expertos en seguridad informática y han participado en competiciones de CTF. El documento describe los conceptos y herramientas necesarios para entrenar un equipo de CTF, incluyendo diferentes tipos de retos como criptografía, web, esteganografía, redes, reversing, forense, exploiting y OSINT. Además, proporciona ejemplos de plataformas para

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    64 visualizações45 páginas

    Eduardosanchezrafaelsojo Slides 180312234826

    Enviado por

    parrese
    Este documento presenta un taller de iniciación para preparar un equipo de Capture The Flag (CTF). El taller es impartido por Eduardo Sánchez y Rafael Sojo, quienes son expertos en seguridad informática y han participado en competiciones de CTF. El documento describe los conceptos y herramientas necesarios para entrenar un equipo de CTF, incluyendo diferentes tipos de retos como criptografía, web, esteganografía, redes, reversing, forense, exploiting y OSINT. Además, proporciona ejemplos de plataformas para

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 45

    Preparando a un Equipo de CTF

    Taller de Iniciación
    Eduardo Sánchez y Rafael Sojo
    Preparando a un Equipo de CTF – Taller de Iniciación 2
    “La información que se comparte
    se multiplica”
    “Divide y vencerás”

    Eduardo Sánchez Rafael Sojo


    edusatoe RaSr98/rafasojo
    Ingeniero Técnico Informático UCO / Ingeniero Superior Informática UGR
    Técnico en Sistemas Microinformáticos y Redes
    Profesor de Formación Profesional para la Junta de Andalucía
    Prácticas de Técnico de Ciberseguridad en INCIBE
    Profesor de Universidad Castilla la Mancha y Universidad de Extremadura
    Profesor de Postgrado de Ciberseguridad Inesdi Barcelona Colaborador en AllPentesting y onBRANDING
    CSO en onBRANDING / CEO & Founder AllPentesting Staff Qurtuba y Security High School
    Doble Máster en Seguridad TIC UOC (Sistemas y Redes; Servicios y Aplicaciones) Capitán Equipo Subcampeón de CyberOlympics 2016
    Perito Judicial por la AIF Miembro Selección Española campeona en el European Cyber Security
    Colaborador del blog de Hacking Ético Challenge 2017
    CoFounder del blog C43S4RS Ponente en Hack&Beers y HoneyCon 2017
    CoFounder Hack&Beers, Hacking Solidario & Qurtuba Security Congress Actualmente estudiante del Ciclo Superior de Desarrollo de Aplicaciones Web
    Founder Security High School.
    Vicepresidente de la Asociación Nacional de Profesionales del Hacking Ético

    Preparando a un Equipo de CTF – Taller de Iniciación 3


    Motivación
    ¿Cómo prepararías un Equipo de CTF desde 0?

    Preparando a un Equipo de CTF – Taller de Iniciación 4


    Otro talleres CTF

    Preparando a un Equipo de CTF – Taller de Iniciación 5


    Preparando a un Equipo de CTF – Taller de Iniciación 6
    Necesidades
    • Nombre friki para el equipo.
    • Indumentaria apropiada.
    • Dotar al equipo de diferentes skills.
    • Muchas horas de entrenamiento.
    • Motivación. Th3 h4cK3rS
    R4nG3Rs

    Preparando a un Equipo de CTF – Taller de Iniciación 7


    Preparando a un Equipo de CTF – Taller de Iniciación 8
    Índice
    • Tipos de Capture The Flags
    • Plataformas de entrenamiento
    • Plataformas para crear tu propio CTF
    • Tipos de Retos:
    • Criptografía
    • Web
    • Esteganografía
    • Redes
    • Reversing
    • Forense
    • Exploiting
    • Osint

    Preparando a un Equipo de CTF – Taller de Iniciación 9


    Tipos de Capture The Flags
    • Jeopardy  Una serie de retos de diferentes tipos (Crypto, Web, @RaSr98
    Forense, etc) que dan puntos cuando los resuelves según nivel de
    dificultad. Para ello hay que encontrar la FLAG (bandera). La resolución
    de unos retos libera otros. Gana el que más puntos tenga cuando se
    termine el tiempo de juego.

    • Attack-Defense  Cada equipo tiene un servidor/red de equipos con


    vulnerabilidades que deben proteger. Tienes puntos de ataque y de
    defensa. Hay que conseguir acceso del equipo contrario.

    • Mixted  Wargame, Hardware y otros

    Preparando a un Equipo de CTF – Taller de Iniciación 10


    Plataformas de entrenamiento

    • CTF Time https://ctftime.org/ @RaSr98

    Se van anunciando diferentes eventos donde hay CTF y Write Ups.

    • Root Me https://www.root-me.org/
    Sitio de entrenamiento con muchos retos de diferentes tipos y niveles.

    • Hack Me https://hack.me/
    Sitio donde cada uno puede colgar sus Apps Web vulnerables para
    fines educativos o de investigación.

    Preparando a un Equipo de CTF – Taller de Iniciación 11


    Plataformas de para crear tu propio CTF

    • Facebook CTF https://github.com/facebook/fbctf @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 12


    Plataformas de para crear tu propio CTF

    • Mellivora CTF https://github.com/Nakiami/mellivora @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 13


    @RaSr98
    Mellivora

    Preparando a un Equipo de CTF – Taller de Iniciación 14


    @edusatoe
    Criptografía

    Preparando a un Equipo de CTF – Taller de Iniciación 15


    Criptografía
    Definición @edusatoe
    Ciencia que se dedica a ocultar mensajes secretos.
    Cryptos  Oculto + Logía  Ciencia

    Criptografía: construcción de procedimientos criptográficos para cifrar


    información, de tal forma que lo escrito solamente sea legible para quien sepa
    descifrarlo.

    Criptoanálisis: ¿cómo obtener el mensaje original a partir de un criptograma?

    Hay que diferenciar en CIFRAR y CODIFICAR.

    Preparando a un Equipo de CTF – Taller de Iniciación 16


    Criptografía
    Conceptos Básicos @edusatoe

    CODIFICAR
    No necesitamos una clave, es una manera diferente de representación.

    CIFRADO
    Necesitamos hacer un criptoanálisis para descifrar el mensaje.

    HASH
    Resultado de un algoritmo matemático, el cual no es reversible.
    AlgoritmoMatemático(clave) = HASH

    x
    Preparando a un Equipo de CTF – Taller de Iniciación 17
    Ejemplos Codificación
    ASCII, Binario, Hexadecimal, Base64, Morse… @edusatoe

    ВТТВИФИЯФБЦЦЯ Cirílico

    FollowTheWhiteRabbit Rm9sbG93VGhlV2hpdGVSYWJiaXQ= Base64

    01000110011011110110110001101
    10001101111011101110101010001
    10100001100101010101110110100 Binario
    00110100101110100011001010101
    00100110000101100010011000100
    110100101110100

    Preparando a un Equipo de CTF – Taller de Iniciación 18


    Ejemplos Cifrado
    https://www.dcode.fr/liste-outils#cryptography
    @edusatoe

    JcWprztgCdThJcExgpip César
    ROT: 15

    UnHackerNoEsUnPirata MnAogcekBsWsNbTarthe Vigenere


    Clave: SATOE

    19afd804107dff36c254b2913b81e4da MD5

    Preparando a un Equipo de CTF – Taller de Iniciación 19


    @edusatoe
    Criptografía

    Preparando a un Equipo de CTF – Taller de Iniciación 20


    Criptografía con imágenes

    @edusatoe

    Preparando a un Equipo de CTF – Taller de Iniciación 21


    @RaSr98
    Web

    Preparando a un Equipo de CTF – Taller de Iniciación 22


    Tecnologías Web

    Interfaz de usuario  Ejecución de @RaSr98

    código en el lado del cliente HTML, CSS


    y JS

    Procesamiento  Ejecución del código del


    programa y configuración del server.

    Almacenamiento de Datos  Sistema Gestor de


    Bases de Datos.

    Preparando a un Equipo de CTF – Taller de Iniciación 23


    @RaSr98
    Web – Uso de consola

    Preparando a un Equipo de CTF – Taller de Iniciación 24


    @RaSr98
    Web – User Agent

    Preparando a un Equipo de CTF – Taller de Iniciación 25


    @edusatoe
    Esteganografía

    Preparando a un Equipo de CTF – Taller de Iniciación 26


    Esteganografía
    Definición
    Steganos  Dios Griego “cubierto” + Graphos  Escritura
    @edusatoe

    Esteganografía: técnicas que ocultan mensajes u objetos dentro de otros, llamados portadores.
    Pretenden crear una COMUNICACIÓN ENCUBIERTA.

    Watermarking: técnica de ocultación de información (marcas de agua digitales) para identificación


    unívoca.

    Herramientas:
    file  Identifica el tipo de fichero.
    exiftool  Identifica el tipo de fichero.
    strings  Obtiene cadenas en ficheros.
    ghex  Editor hexadecimal para buscar información.
    binwalk  Análisis de binarios, usar con –e para extracción de datos.
    Openstego , DeepSound, StegExpose, Steghide  Herramientas de estegoanálisis.

    Preparando a un Equipo de CTF – Taller de Iniciación 27


    Esteganografía – Hack Wars

    @edusatoe

    Preparando a un Equipo de CTF – Taller de Iniciación 28


    @RaSr98
    Redes

    Preparando a un Equipo de CTF – Taller de Iniciación 29


    Análisis de Tráfico
    @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 30


    Redes – Basic Authentication
    @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 31


    Redes – Basic Authentication

    @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 32


    Redes - Networkminer

    @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 33


    @edusatoe
    Reversing

    Preparando a un Equipo de CTF – Taller de Iniciación 34


    Reversing Android Apps
    @edusatoe
    Conceptos Básicos

    APK  ZIP cifrado


    Usamos APKTOOL

    MVD  MVJ
    Usamos Dex2Jar

    Código Java –>Jar


    Usamos Java Decompiler

    Preparando a un Equipo de CTF – Taller de Iniciación 35


    @edusatoe
    Android Bypass

    Preparando a un Equipo de CTF – Taller de Iniciación 36


    @RaSr98
    Forense

    Preparando a un Equipo de CTF – Taller de Iniciación 37


    Forense – Imagen en una RAM

    @RaSr98

    Preparando a un Equipo de CTF – Taller de Iniciación 38


    UN RETO @edusatoe

    EXPLOITING + OSINT

    Preparando a un Equipo de CTF – Taller de Iniciación 39


    RETO EXPLOITING + OSINT
    @edusatoe

    Preparando a un Equipo de CTF – Taller de Iniciación 40


    @edusatoe

    ¿PARA QUÉ SIRVEN LOS CTFs?

    PARA CAPTAR TALENTO PARA LA


    CIBERRESERVA

    Preparando a un Equipo de CTF – Taller de Iniciación 41


    @edusatoe

    Preparando a un Equipo de CTF – Taller de Iniciación 42


    @edusatoe

    Preparando a un Equipo de CTF – Taller de Iniciación 43


    V=(C+H)*A
    V: valor de una persona
    C: conocimientos
    H: habilidad (experiencia)
    A: actitud o manera de ser

    Preparando a un Equipo de CTF – Taller de Iniciación 44


    edusatoe

    RaSr98

    Você também pode gostar