Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Forensics Online Wargame

Lun Abr 26, 2010 1:38 pm

Hola a todos

Para entretenernos un rato:

http://real-forensic.com/

Los primeros dos niveles (0 y 1) son muy asequibles. El tercero (level2) ya se resiste un poco, al menos a mi :cry:

Saludos y suerte

Re: Forensics Online Wargame

Lun Abr 26, 2010 11:32 pm

Hola:

Gracias por la informacion,ya me he registrado :p a ver si consigo pasar del primer level xD

Salu2 :D

Re: Forensics Online Wargame

Mar Abr 27, 2010 11:51 am

Estupendo!! A ver si se anima mas gente y entre todos aprendemos :D

Saludos

Re: Forensics Online Wargame

Mar Abr 27, 2010 1:09 pm

Bueno, de momento tu aprenderás poco que ya te veo casi casi ON-TOP :embudito:

Re: Forensics Online Wargame

Mar Abr 27, 2010 2:44 pm

Que mas quisiera yo :?

Saludos

Re: Forensics Online Wargame

Mié Abr 28, 2010 8:35 am

Bueno, yo me acabo de registrar, a ver si paso del nivel 0...

Saludos y mucha suerte!

Re: Forensics Online Wargame

Vie Abr 30, 2010 1:47 am

Hola:

Veo que por lo menos dos de nuestros compañeros están en nivel 2 ,mientras que otros no conseguimos pasar del primer nivel xD ....tampoco es que me haya comido mucho el coco se me olvido pasarme por el wargame.

Solo era para deciros enhorabuena TuXeD y neofito,como siempre no esperaba menos de vosotros soys unos cracks.

Salu2

Re: Forensics Online Wargame

Jue May 06, 2010 6:33 am

Pues yo ni con los asequibles :?

En el primer nivel llego a identificar los tipos de los archivos y a extraer 3 imagenes dd. Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).

A ver si los mas avanzados nos podeis echar un cable...

Un saludo

Re: Forensics Online Wargame

Jue May 06, 2010 2:14 pm

Solo tienes que "excarvar" las imagenes a ver que encuentras ;)

Saludos

Re: Forensics Online Wargame

Jue May 06, 2010 6:13 pm

Vlan7 escribió:Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).
:? No se si estoy correctamente "sintonizado" o si voy mear fuera de tiesto, pero el mkdosfs que yo conozco es un programa para formatear un soporte de datos (media)
creando un sitema de ficheros acorde a ms-dos y windows. No veo como se pueden "procesar" datos existentes con el.
¿No te habrás equivocado de nombre?.

Neofito escribió:Solo tienes que "excarvar" las imagenes a ver que encuentras ;)
¿Te refieres a imágenes que no son realmente imágenes?,
¿ o a esto otro ? http://estegano.neobits.org/estegano/category/ads/

Re: Forensics Online Wargame

Jue May 06, 2010 7:54 pm

Como no se me ocurrio antes... muy buena pista neofito!

Por cierto, el segundo nivel me parecio mas facil, aunque nunca se me dieron bien las matematicas ;)

Saludos y suerte

<EDIT>
Nos juntamos los mensajes Newhack jeje
Bueno, yo me empecinaba en que tenia que montar los archivos porque eso entendi del level, que decia algo como "can you mount this files?".
Y con respecto a lo otro no se trata de esteganografia, se trata de... "excarvar" ;)

Re: Forensics Online Wargame

Jue May 06, 2010 8:37 pm

Pues a ver si entre todos sacamos el level2 porque voy mas perdido que el dia de la madre, ya me he quedado sin opciones :?

Saludos

Re: Forensics Online Wargame

Lun May 10, 2010 12:24 am

Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.

Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.

En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.

Siento no poder aportar nada en claro sobre el level 2 :( , a ver si alguien mas se anima...

Saludos.

Re: Forensics Online Wargame

Lun May 10, 2010 8:58 am

vlan7 escribió:Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.


Networkminner fue lo primero que utilice, y wireshark tambien. Yo extraigo unas pautas para una conexion entre un "zombi" o maquina infectada y un servidor pero poco mas.

vlan7 escribió:Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.


Pruebalo nuevamente porque si que instala un servicio correctamente. Yo lo que he probado (aparte de abrirlo con IDA sin tener mucha idea) ha sido a emular la conexion entre el zombi y el C&C, pero por ahi no he sacado nada en claro. Me temo que el quid esta en el desensamblado, el cual no es ni de lejos mi fuerte.

vlan7 escribió:En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.


Tengo la sensacion de que por ahi no van los tiros, pero en este momento solo me quedan sesnsaciones.

vlan7 escribió:Siento no poder aportar nada en claro sobre el level 2 :( , a ver si alguien mas se anima...


Nada hombre, aqui estamos para aprender, que al final es de lo que se trata.

Saludos

Re: Forensics Online Wargame

Lun May 10, 2010 9:45 am

Buenas,

Vaya por delante que como esto es un wargame, todo son elucubraciones.

Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?

Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.

Y estoy contigo en que de los dos primeros niveles al tercero la dificultad se aprecia.

Saludos,
Publicar una respuesta