Feb 29 2008
Hackit! Nivel 4: ingeniería inversa
Al igual que en el nivel 3, un pequeño formulario con login y password ocupa la pantalla. A diferencia del nivel 3, donde tuvimos que romper un applet Java, en esta ocasión se nos plantea romper un componente Flash. Es decir, podemos asumir que la lógica que valida un login y un password está en el propio componente Flash, y que por tanto, se intenta garantizar la seguridad por ocultación… lo cual no suele funcionar (como acabamos de comprobar). Bien, hay que averiguar cuál es el algoritmo de validación que oculta el fichero binario .swf (Flash). El procedimiento: igual que en 3, obtener un buen descompilador de Flash, estudiar el código que genere y averiguar el camino a seguir, es decir, un poquito de ingeniería inversa sobre .swf. Esta prueba no fue tan fácil como la anterior; a pesar de ello, la clave cayó bastante rápido gracias a que uno de los miembros del equipo se llevó la artillería preparada en una máquina Windows… Desvelaré el secreto más adelante, dejo el fin de semana para que os divirtáis y cojáis fuerza para el nivel 5, que se nos atragantó a unos cuantos grupos… pero eso… es otra historia que contaré la semana que viene ;-)
Supongo que no, pero por si acaso…
¿Se puede seguir el hackit de la euskal del 2008 sin estar en la euskal?
Aupa Iker: seguro que txipi lee este comentario y nos ilumina porque yo no tengo ni idea. Oh! Oráculo del HackIt! danos una respuesta :-) (se nota que es viernes, ¿no?)
Creo que el servidor que nos prestan para el hackit no es visible desde fuera, aunque quizá lo único que no funcione desde fuera sea la resolución DNS (hackit.ekparty.org) y teniendo la IP se pueda jugar… habrá que verlo in situ ;-)