Forensics Online Wargame

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Re: Forensics Online Wargame

Notapor neofito » Lun May 10, 2010 1:59 pm

vlan7 escribió:Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?


La conexion ssh yo creo que es del creador de la prueba conectandose a la maquina virtual linux para lanzar el servidor o C&C, el cual, este ultimo si, responde en el puerto 7979.

A mi modo de ver, y siguiendo con las elucubraciones, el quid estaria en encontrar el comando adecuado que, una vez lanzado al cliente, permita obtener el flag necesario para poder acceder al siguiente nivel, que no te dire donde se almacena para dejar que te diviertas un rato buscandolo ;)

vlan7 escribió:Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.


Si no te importa podrias pegarme el evento generado por el intento de instalacion del servicio, o lo que sea que obtengas, por contrastar con mis propias pistas.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor vlan7 » Lun May 10, 2010 6:14 pm

Claro neo, ahi va lo que me salta en el eventvwr.

Es un XP en ingles que uso como conejillo de indias en pruebas de malware. Esto es lo que me sale como Error en Application con "BITS" como Source.

StartServiceCtrlDispatcher failed with 0

Saludos,

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo ;)
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor Arakiss » Lun May 10, 2010 9:58 pm

Hola:

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo


Te lo agradecería mucho,y porsupuesto que aun sigo interesado en el wargame ...seguramente haya mas gente que este interesada pero por no saber por donde empezar no habrán dicho nada je je je :p

PD: Sino me equivoco en el blog de neo,se ha hablado de ello...pero le he echado un vistazo rápido y es posible que me haya equivocado.

Salu2 y gracias!
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Re: Forensics Online Wargame

Notapor neofito » Lun May 10, 2010 10:52 pm

La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor -genius- » Dom May 23, 2010 3:36 am

saludos...

no espero mas de ustedes son los maximo...
y me siento tan bien pertenecer a este foro la verdad es que los felicito a cada uno de ustede..!! d verad q son lo maximo
mientras yo espero a leer un poco mas para entrar a este reto :D felicidades...

bueno saludo y suerto a todos
-genius-
:-)
:-)
 
Mensajes: 18
Registrado: Sab Ene 30, 2010 3:50 am

Re: Forensics Online Wargame

Notapor ramandi » Mar Jun 29, 2010 8:04 pm

Hola,

no sé si seguís jugando a esto, pero casi lo tenéis... en la captura tenéis una conexión real del troyano, pero cifrada. Buscando en el ejecutable podréis hacer un ataque de texto plano (por llamarlo con un nombre rimbombante) sin necesidad de saber mucho de reversing.

Supongo que sabiendo reversing será aún más fácil, pero no es mi caso.

Ánimo!
ramandi
:-D
:-D
 
Mensajes: 88
Registrado: Jue Abr 20, 2006 10:00 pm

Re: Forensics Online Wargame

Notapor neofito » Mar Jun 29, 2010 11:14 pm

La verdad es que lo tenia bastante abandonado, sera cuestion de sacar un poco de tiempo ... maldito tiempo :evil:

Saludos

PD: por cierto, ¡enhorabuena!
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor vlan7 » Vie Jul 02, 2010 10:49 pm

Gracias por la pista. A ver si el calor nos permite continuar.

Y enhorabuena ramandi.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor vlan7 » Vie Jul 09, 2010 4:00 pm

Para los que esteis atascados en el primer nivel, aparte de la entrada de neo, solo comentar que foremost tiene una opcion para "ir a saco" con todos los formatos de archivo... consultad el man ;)

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor hecky » Mar Sep 21, 2010 3:01 am

Buu veo que esto anda medio muerto desde hace unos meses y no se logro superar el nivel.

Yo tambien me quiero como unir :D Ya pase el level0 y level1 sigo atascado igualmente en el level2 esto de troyanos como que no es lo mio y menos reversing. Hasta ahora eh analizado con wireshark la captura y al ejecutable le hice un strings y me salen cosas muy interesantes como:
Service installed successfully
192.168.*1.1**
Get my flag
flag.txt
RSDS
\2010 real-forensic\02\backdoor\Release\backdoor.pdb


Me supongo que el ejecutable tiene la flag y la instala.

No se de Forense pero quiero aprender :D por eso ando por aca.

Saludos ;)
Imagen
Avatar de Usuario
hecky
:-)
:-)
 
Mensajes: 1
Registrado: Dom Sep 19, 2010 6:37 am
Ubicación: Mexico D.F

Re: Forensics Online Wargame

Notapor vlan7 » Jue Oct 21, 2010 2:25 pm

Hola Hecky, bienvenido.

Yo he utilizado alguna que otra herramienta libre como tcpxtract, o pasar la captura a un snort para analizar el archivo pcap. Y sobre el otro archivo mire lo que tu comentas tambien, y me da pereza mirarme la estructura de los PE, que es el formato del ejecutablesegun file porque mi acceso a un win es nulo.

Por cierto, el parametro ese del que hablaba antes de foremost es redundante, es la opcion por defecto.

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Anterior

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado