jueves, 15 de enero de 2015

{CrackSLatinoS} Realización de Exploits colaborativos.

Hace un par de meses comencé con una iniciativa de publicación de exploitmes de diferentes niveles en la lista de CrackSLatinoS. Esta iniciativa viene siendo una extensión de lo que venía haciendo Ricardo Narvaja con los concursos, dónde entre los crackmes, proponía algún exploitme, o realización de exploit a partir de un advisory.

Sin embargo nunca llovía a gusto de todos, algunos eran demasiado sencillos, otros demasiado complicados, otras echaban en falta los exploitme en los concursos tras haberse publicado varios sin resolver... Así que tras una encuesta que hice en la lista para ver la aceptación sobre el tema, decidí llevar a cabo esta iniciativa.

Por cada reto propuesto, se fomenta que la gente vaya enviando sus dudas, comentarios, soluciones concretas sobre cada uno de los problemas que se encuentre en el proceso, hasta llegar a una solución completa en la que si quiere publica un tute, o simplemente ahí quedan las respuestas que luego recopilo y publico en la web en forma de PDF. De tal forma que todo el mundo pueda participar del proceso de elaboración y el que no tiene tiempo para hacer un tute, pueda responder a la gente o resolver cuestiones concretas con el poco tiempo que pueda emplear.

Tanto los enunciados como las soluciones las voy publicando en el WEB STORAGE de Ricardo Narvaja:

Os animo a todos a registraros en la lista y participar de los hilos generados con vuestros comentarios. Hay retos para todos los niveles:
- Nivel Básico: Exploitmes a medida con cuestiones concretas para guiar el aprendizaje de los nuevos en el tema y con los que aprender aspectos básicos.
- Nivel Medio: Realización de exploit de un software concreto. Cada uno tendrá sus peculiaridades, y peticiones concretas.
- Nivel Avanzado: Aquí se pretende intercambiar, descubrir, definir métodos o formas de llevar a cabo temas complejos de exploiting: Fuzzing, Bug Hunting, Vulnerability Analysis. Uso de herramientas/técnicas avanzadas como ejecución simbólica, análisis estático en código fuente o binario, uso de scripts y/o plugins para la detección de fallos....

Como se puede ver la idea es que todo el mundo pueda participar para desarrollar y aprender los aspectos que mas le interesen.

Aquí os dejo los enlaces a los hilos:
Nivel Básico

Nivel Medio
[EXPLOIT] Nivel Medio - #2 CVE-2010-3275 - VLC

Nivel Avanzado

ANIMO ESPERO VUESTROS COMENTARIOS Y PARTICIPACIÓN!!!!