domingo, agosto 01, 2021

Solución al Reto Hacker para estudiantes del curso pasado

Sí, a finales de noviembre del año pasado, publiqué el enunciado de un Reto Hacking para estudiantes, algo que realmente me gusta proponer a mis alumnos y a cualquiera que esté interesado, tenga ganas de aprender y de ponerse a prueba, y además pueda ir creando un portafolio que pueda presentar en las entrevistas de trabajo.

Figura 1: Solución al Reto Hacker para estudiantes del 30 de noviembre de 2020.

Andes de comenzar, me gustaría pediros disculpas por la demora de la publicación de este artículo con vuestras soluciones. Ha sido mucho el tiempo, ilusión y ganas que habéis invertido para veros sin la recompensa merecida durante todos estos meses, salvo el sentimiento de esperanza de que algún día igual podría salir publicado en este “Maligno Blog”. Para mí, este curso ha sido muy exigente en lo profesional, pero sobre todo en lo personal: por desgracia la COVID19 se ha cobrado un buen número de objetivos. 

Motivación del reto hacker

Como os he contado algunas veces, me gusta proponer este tipo de retos o problema por diversos motivos:

• El aprendizaje se acentúa más cuando es algo novedoso, compartido entre iguales y, por qué no, a veces resulta transgresor al salirse del programa estipulado. El aprendizaje basado en retos o problemas hace que el alumno se involucre en la búsqueda de soluciones a retos globales o reales. Incluye el aprendizaje cooperativo, la visión de problemas en entornos reales, la integración de conocimiento de varias disciplinas (aprendizaje multidisciplinar) y además, hace que el alumno aprenda en períodos extra-académicos.

• El alumno debe investigar problemas con diversas soluciones, debe identificar las cuestiones esenciales a nivel conceptual, debe investigar el conocimiento que pueda utilizar. 
 
• El profesor debe cumplir diversos roles: “experto” en la materia, colaborador de aprendizaje, facilitador de información. Se propicia la participación de otras personas con perfiles adecuados, en colaboración con el profesorado.

• Se trabaja de manera transversal la comunicación escrita en el momento de la generación del informe que justifiquen todas las etapas y los resultados obtenidos en cada una de ellas, Personalmente, considero que, en todas las etapas de aprendizaje, al igual que los idiomas, debiera de haber asignaturas obligatorias relacionadas con la comunicación, oral y escrita. Presentar tu trabajo es un arte, como explica Gonzalo Álvarez Marañón en su libro "El arte de presentar".

• Los alumnos pueden ir forjando un portafolio para presentar en una entrevista de trabajo o para unas prácticas. A parte de la titulación académica, pueden presentar algo más que quizás el resto de los candidatos no puedan. Como decía Chema Alonso en su artículo "Ponte a trabajar desde ya si no tienes trabajo, y quieres trabajar en seguridad informática".

• Y, sobre todo, del algo fundamentan en el sentimiento y Comunidad Hacker: generar y compartir de manera gratuita el conocimiento para que otros puedan avanzar.

Características del reto hacker

Este reto hacker estaba preparado para descubrir y explotar vulnerabilidades en un ecosistema web, aplicando técnicas y herramientas descritas en el libro “Hacking Web Technologies”.

Figura 3: Libro de Hacking Web Technologies 2ª Edición en 0xWord de
Chema Alonso, Enrique Rando, Amador Aparicio, Pablo González y Ricardo Martín

Las pruebas que se han realizado y los resultados obtenidos para la resolución de este reto hacker están perfectamente descritas y explicadas en los informes de cada uno de los ganadores y en el vídeo que se ha subido a Youtube por cortesía del gran Gerard Fuguet, que tenéis en la Figura 5.


A nivel metodológico, este reto hacker presentaba las siguientes características o problemas con los que el alumno se tenía que enfrentar:
  • Descubrimiento del activo a auditar y comprobación de la comunicación con el target a nivel de red.
  • Análisis de los puertos a nivel de trasporte.
  • Análisis de los servicios presentes en los puertos con estado “open”.
  • Explotación de las siguientes vulnerabilidades a nivel de aplicación
  • Persistencia dentro del sistema.
Ganadores de este Reto Hacker

Sin más dilación paso a publicar, en orden estricto de recepción, las tres primeras soluciones recibidas. Cada una de ellas aportan algo diferente, por la metodología utilizada, pero también por las herramientas y forma de explotar las vulnerabilidades presentes.
  1. Samuel Castillo (@pr3ventor) [Solución].
  2. Marta González Arnaiz (@maaartaa_g) [Solución].
  3. Héctor Alonso del Bosque (@hector6598) [Solución].
Y como os he dicho, os dejo la presentación del gran Gerard Fuguet, que ha tenido la gentileza de grabar un vídeo donde explica todos los pasos realizados hasta obtener las ansiadas gominolas.

  
Figura 5: Solución de Gerard Fuguet al Reto Haking 

Saludos y, ¡gracias a todos por participar!

1 comentario:

Juan Portilla dijo...

No me quedó claro en la solución de Marta como extrajo el contenido del archivo "etc/shadow", además su informe está un poco confuso y desorganizado.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares