FE leder efter blackhats til hackingakademi
|
26-03-2017, 21:59
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi | |||
26-03-2017, 23:56
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
Jeg har ikke fundet ud af om det er en kendt krypteringsalgoritme, der anvendes eller en custom til lejligheden... kan godt være det er derfor jeg sidder fast, hvis dette er vigtigt for løsningen.
|
|||
27-03-2017, 07:17
(Denne besked var sidst ændret: 03-11-2024, 14:31 af BlimBlamBlar.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
slettet slettet slettet slettet
|
|||
27-03-2017, 18:05
(Denne besked var sidst ændret: 27-03-2017, 22:53 af z80.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
(27-03-2017, 07:17)BlimBlamBlar Skrev: Kaldet der starter der er bestemt ikke ligegyldigt. Jeg kommer frem til at funktionen der kaldes fra adresse 0x334 blot er et vente-loop der brænder CPU-cycles ved at tælle ned 3 gange fra 100,000 og printer et punktum -- det er derfor jeg syntes den ved 0x334 er lidt ligegyldig. Kode: 00000334 MOVI r39, 8 Den efterfølgende ved 0x344 er sjovere ... og helt enig -- den er på ingen måde ligegyldig :) Kode: 00000344 MOVI r03, B4C ; Address of initialized cipher data (indices and S-table) (27-03-2017, 07:17)BlimBlamBlar Skrev: Og det er en kendt krypto algoritme, der er brugt. Okie .. tak for tip -- tror godt jeg ved hvilken algoritme der er tale om nu -- den er ihvertfald meget tæt beslægtet når jeg kigger på pseudo-koden på Wikipedia. Kan godt mærke jeg er lidt en krypterings-newbie ;) EDIT: Ahhhhhhhhhhh.... nu fattede jeg hvad jeg skulle :) Solved :) |
|||
28-03-2017, 02:04
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi | |||
28-03-2017, 08:11
(Denne besked var sidst ændret: 03-11-2024, 14:31 af BlimBlamBlar.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
slettet slettet slettet slettet
|
|||
28-03-2017, 22:48
(Denne besked var sidst ændret: 28-03-2017, 23:01 af z80.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
(28-03-2017, 08:11)BlimBlamBlar Skrev: Writeup: http://blog.the-playground.dk/2017/03/da...rvice.html Fedt writeup. Din C-kode er pæn! Jeg lavede min emulator i NASM for at slippe for konvertering til C eller andet. Jeg linkede den så som en ekstern funktion til et C-program da jeg skulle kaste en wordlist efter den og kunne så bruge emulatorens output direkte til at tjekke om jeg havde det rigtige password uden at skulle skrive og teste en ny RC4. Jeg lavede så et hack af bytekoden så den ikke talte til 100,000 hver gang og sørgede for DISK og MEM var statiske for at slippe for overhead ved genstart af emulatoren for hvert password. Det var så ret ligemeget i sidste ende da jeg, lige som dig, hurtigt ramte passwordet da jeg brugte rockyou-listen. Din er så nok meget hurtigere til at tjekke passwords og mere elegant, da det ikke er en emuleret VM-decrypt som min. Min klarer 100,000 passwords på ca. 5 sekunder på min i7 4GHz. Jeg brugte meget mere tid end jeg burde på at undersøge krypteringsmetoden og forsøge at tænke mig frem til en svaghed i den. Da jeg opdagede det var RC4 fandt jeg ret hurtigt ud af at der ikke var noget effektivt known-plaintext-attack som virkede ud over de 56 bytes og gik så tilbage til wordlists som jeg også havde forsøgt lidt i starten uden held hvor jeg forsøgte med ord fra hackers manifesto i mange forskellige kombinationer. Her er min disassembly: http://z80.000webhostapp.com/disk.dasm.txt Lagde mærke til der var et index over filer i http-servicen på adresse 0x12BC så jeg lavede et lille extract program til at pille dem ud: http://z80.000webhostapp.com/extract.cpp |
|||
29-03-2017, 07:58
(Denne besked var sidst ændret: 03-11-2024, 14:31 af BlimBlamBlar.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
slettet slettet slettet slettet
|
|||
29-03-2017, 22:53
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
(29-03-2017, 07:58)BlimBlamBlar Skrev: Opgaven er dog ikke færdig. Der hintes, at der er lidt mere at komme efter, sikkert steganografi, men mit første hurtige tjek på de øvrige filer i web imaget gav intet. Steganografi og gætværk falder ikke i min smag. Ja, jeg hæftede mig også ved deres PS. Der ligger jo et par referencer f.eks. hedder web-serveren Navajo 1.3.37, hvilket givetvis henviser til Apache 1.3.37, som jo har en alenlang CVE-liste. Måske er der noget gemt her? Ikke at jeg har fundet noget endnu Så er der de to Phrack Magazine filer (p51-01.lmza og p07-03.lmza / 7-zip), der slutter med "I get to see ~3U$p;JS*X?:8< MRc<1 ,,,)/zWWWWWWWWWWW [...]" og "I know everyone here... even iqovoomeoe". ~3U$p;JS*X?:8< MRc<1 ,,,)/zWWWWWWWWWWW [...] er en reference til ICFP 2006 and The Cult of the Bound Variable og den defekte hack.bas i mailen fra Admin. Om der ligger mere i det, ved jeg ikke. iqovoomeoe har jeg endnu ikke luret. Endelig er der den lille detalje med stien fra /robots.txt -> /secret/ -> /secret/tshirt.html, men det er selvfølgelig på den primære sti. |
|||
29-03-2017, 22:53
(Denne besked var sidst ændret: 29-03-2017, 23:12 af z80.)
|
|||
|
|||
RE: FE leder efter blackhats til hackingakademi
Ja, der er noget data tilbage i http-servicen jeg ikke umiddelbart kan forklare.
0x0000-0x0C77 ligner maskinekode instruktioner -- jeg ved ikke hvilken CPU -- det ligner ikke x86. Syntes heller ikke filen starter med et executeable magic number jeg kan få til at passe med noget. Det må være implementeringen af http-servicen. 0x1062-0x12BB og 0x5AC8-0x74FF indeholder noget meget uniform data der kunne være mere krypteret data. Ingen ide om hvad det er. Resten er enten http-servicens forskellige klar-tekst-beskeder, teksten "Hacker" eller de filer der linket ind i servicen samt indekset over filernes adresser og størrelser og navne og mime-types på 0x12BC-0x1484. Disse fil-data kan hives ud med det cpp-program jeg linkede til tidligere. Der er basically en record pr. fil med adresse på filnavn, adresse på mime-type, filens længde og adresse på data samt en slut record der identificeres med at filnavnsadressen er 0. |
|||
|
User(s) browsing this thread: 1 Gæst(er)