Republic of Pwning

He estado usando durante varios años un router ZTE del modelo ZXHN ya que es el router que brinda el ISP IPlan en Argentina y como por lo general en el tiempo libre me gusta analizar las cosas que uso y romperlas -literalmente -. Este ISP brinda para los hogares al menos las siguientes versiones de este modelo F670, F680 y F6600, de las cuales las dos últimas las he usado para desarrollar esta investigación. De todas maneras, esto método probablemente funcione para muchas más versiones del modelo ZTE ZXHN, o incluso otros dispositivos que cumplan las condiciones que serán desarrolladas en este post.

De todas maneras, hay muchas maneras de poder obtener el firmware. En este post voy a documentar dos métodos que yo no leído - aunque seguramente habrá información al respecto - , para la extracción firmware en caliente a través de una debilidad en la configuración del servicio SAMBA, y a través de UART, pero con un toque tinto distinto.

Después de un largo retiro del reversing y pwning, estoy volviendo al ruedo, mi mente va poco a poco acostumbrándose al tragín y le está gustando. Recuerdo con buenas épocas mi época en que jugaba todo los fines de semana CTF con el equipo amn3s1a aunque cuando inicié no resolvía casi ningún reto, lo disfrutaba y aprendí que mi mente se volvía “cada vez más rápida”, cada fin de semana que volvía a jugar. Muchas cosas han cambiado desde aquel 2013 jugando con mi equipo, sobre todo porque profesionalmente estuve haciendo durante años exploiting de Windows kernel, sumado a que ahora estoy intentando cambiar de target para linux/*os. Así que intentaré aprender las técnicas que se están usando hoy en día aunque llevan décadas de conocidas, y esta es una de ellas.

¿Se puede escribir más sobre SQL Injection? No hace mucho tuve que explotar un SQLi donde el parámetro vulnerable se usaba también para crear un archivo como parte del nombre. Puesto que el servidor era Windows, incluir los caracteres > y < en la inyección provocaba un error que impedía la explotación. Sepa que estos caracteres (y otros) no se permiten para nombrar archivos. Dicho sea de paso, se trataba de un Blind SQLi donde el uso de los mencionados operadores de comparación es necesario para implementar el algoritmo de búsqueda binaria ¿O quizá no?

En el Main CTF de la Ekoparty, desde hace algunos años, se incluye la categoría Sponsors. Esta categoría agrupa retos propuestos por los auspiciadores de la Ekoparty. En ella se pueden encontrar retos variados y muy originales desde descifrar radioseñales, controlar robots, car hacking, impresión 3D, etc. Particularmente me gustan los retos que propone Onapsis porque son bastante didácticos. Este año el reto de Onapsis se trataba del cifrado AES. En este post quiero explicar como lo resolví y lo aprendido en el proceso. Espero lo disfruten.

Este año jugamos el PreCTF de la Ekoparty junto a un grupo de amigos. Logramos resolver todos los retos y quedar en primer puesto ¿Nombre del equipo? Sexy-allPacks. Como es tradición, escribimos las soluciones de los retos y queremos compartirlas en este post.