Hacker101 CTF — Trivial — A little something to get you started — (Español)

Que tal humanos?

He decidido iniciar una serie de writeups donde les estaré demostrando los pasos que seguí con el fin de ir encontrando los famosos FLAGS en la plataforma Hacker101 CTF (Capture the flag) que HackerOne nos ofrece. Cabe destacar que es muy posible que hayan otras maneras (diferentes a la mía) de conseguir los mismos flags así que por favor no limiten su creatividad a solo pensar en lo que yo les estaré mostrando a continuación.

Primero lo primero, que es un CTF o Capture the flag?

“Un CTF (Capture The Flag) en Español, «Captura la bandera». Son competiciones gratuitas que nos permiten poner a prueba nuestras habilidades sobre hacking por medio de retos de diferentes modalidades que tendremos que resolver para conseguir el premio, la famosa «flag».

La «flag» es un código (Ej. flag{W3lc0m3_t0_CTF} que permite confirmar a la plataforma de la competición que hemos sido capaces de resolver el reto y normalmente, va acompañada de una compensación con puntos. La cantidad de puntos irá relacionada con la complejidad del reto y/o tiempo/personas en resolverlo.”

Una vez dicho lo anterior, y luego de haber iniciado sesión en la pagina Hacker101 CTF, comenzaremos con el primer nivel de la lista, el cual es el mas fácil y lleva por nombre ‘A little something to get you started’, dificultad Trivial y solo posee un flag.

Damos click al botón “Go”, esperamos que cargue y lo primero que vamos a ver es esto:

En caso de necesitar pistas para encontrar el primer flag, podemos volver a la pestaña de Hacker101 CTF que tendremos abierta y dar click en el botón “Hints” al lado de “Go”. De esta forma podremos acceder a las pistas de cada flag correspondiente al nivel seleccionado:

FLAG0

Volviendo a la pagina del flag, honestamente no hay mucho que hacer o revisar en ella, no hay botones, no hay cuadros de texto, menús desplegables etc… entonces, lo único que se me ocurre es seguir las pistas y revisar el source code de la pagina, en el cual básicamente todo lo que vemos es lo mismo que esta en la pagina, el mensaje “Welcome to level 0. Enjoy your stay.” como body, pero si observamos bien el head del codigo nos encontraremos con esto:

Vemos un style tag con una informacion interesante, para ser sincero no soy experto en HTML pero supongo que no es necesario serlo para saber que esto puede ser una pista para llegar al flag.

Asi que tras ver url(“background.png”) he decidido agregar /background.png a mi url, la cual quedaba algo asi: http://ipaddress/xxxxxx/background.png.

Presiono enter y BOOM! he conseguido mi primer flag.

Podemos copiarla de la pagina o del source code, una vez ingresado el flag habremos ganado 1 punto!

Actualmente he encontrado alrededor de 30+ flags y estare subiendolos aqui nivel por nivel.

Hasta luego humanos.