Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Re: Forensics Online Wargame

Lun May 10, 2010 1:59 pm

vlan7 escribió:Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?


La conexion ssh yo creo que es del creador de la prueba conectandose a la maquina virtual linux para lanzar el servidor o C&C, el cual, este ultimo si, responde en el puerto 7979.

A mi modo de ver, y siguiendo con las elucubraciones, el quid estaria en encontrar el comando adecuado que, una vez lanzado al cliente, permita obtener el flag necesario para poder acceder al siguiente nivel, que no te dire donde se almacena para dejar que te diviertas un rato buscandolo ;)

vlan7 escribió:Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.


Si no te importa podrias pegarme el evento generado por el intento de instalacion del servicio, o lo que sea que obtengas, por contrastar con mis propias pistas.

Saludos

Re: Forensics Online Wargame

Lun May 10, 2010 6:14 pm

Claro neo, ahi va lo que me salta en el eventvwr.

Es un XP en ingles que uso como conejillo de indias en pruebas de malware. Esto es lo que me sale como Error en Application con "BITS" como Source.

StartServiceCtrlDispatcher failed with 0

Saludos,

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo ;)

Re: Forensics Online Wargame

Lun May 10, 2010 9:58 pm

Hola:

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo


Te lo agradecería mucho,y porsupuesto que aun sigo interesado en el wargame ...seguramente haya mas gente que este interesada pero por no saber por donde empezar no habrán dicho nada je je je :p

PD: Sino me equivoco en el blog de neo,se ha hablado de ello...pero le he echado un vistazo rápido y es posible que me haya equivocado.

Salu2 y gracias!

Re: Forensics Online Wargame

Lun May 10, 2010 10:52 pm

http://neosysforensics.blogspot.com/200 ... rving.html

:embudito: :embudito:

Saludos

Re: Forensics Online Wargame

Dom May 23, 2010 3:36 am

saludos...

no espero mas de ustedes son los maximo...
y me siento tan bien pertenecer a este foro la verdad es que los felicito a cada uno de ustede..!! d verad q son lo maximo
mientras yo espero a leer un poco mas para entrar a este reto :D felicidades...

bueno saludo y suerto a todos

Re: Forensics Online Wargame

Mar Jun 29, 2010 8:04 pm

Hola,

no sé si seguís jugando a esto, pero casi lo tenéis... en la captura tenéis una conexión real del troyano, pero cifrada. Buscando en el ejecutable podréis hacer un ataque de texto plano (por llamarlo con un nombre rimbombante) sin necesidad de saber mucho de reversing.

Supongo que sabiendo reversing será aún más fácil, pero no es mi caso.

Ánimo!

Re: Forensics Online Wargame

Mar Jun 29, 2010 11:14 pm

La verdad es que lo tenia bastante abandonado, sera cuestion de sacar un poco de tiempo ... maldito tiempo :evil:

Saludos

PD: por cierto, ¡enhorabuena!

Re: Forensics Online Wargame

Vie Jul 02, 2010 10:49 pm

Gracias por la pista. A ver si el calor nos permite continuar.

Y enhorabuena ramandi.

Re: Forensics Online Wargame

Vie Jul 09, 2010 4:00 pm

Para los que esteis atascados en el primer nivel, aparte de la entrada de neo, solo comentar que foremost tiene una opcion para "ir a saco" con todos los formatos de archivo... consultad el man ;)

Suerte,

Re: Forensics Online Wargame

Mar Sep 21, 2010 3:01 am

Buu veo que esto anda medio muerto desde hace unos meses y no se logro superar el nivel.

Yo tambien me quiero como unir :D Ya pase el level0 y level1 sigo atascado igualmente en el level2 esto de troyanos como que no es lo mio y menos reversing. Hasta ahora eh analizado con wireshark la captura y al ejecutable le hice un strings y me salen cosas muy interesantes como:
Service installed successfully
192.168.*1.1**
Get my flag
flag.txt
RSDS
\2010 real-forensic\02\backdoor\Release\backdoor.pdb


Me supongo que el ejecutable tiene la flag y la instala.

No se de Forense pero quiero aprender :D por eso ando por aca.

Saludos ;)

Re: Forensics Online Wargame

Jue Oct 21, 2010 2:25 pm

Hola Hecky, bienvenido.

Yo he utilizado alguna que otra herramienta libre como tcpxtract, o pasar la captura a un snort para analizar el archivo pcap. Y sobre el otro archivo mire lo que tu comentas tambien, y me da pereza mirarme la estructura de los PE, que es el formato del ejecutablesegun file porque mi acceso a un win es nulo.

Por cierto, el parametro ese del que hablaba antes de foremost es redundante, es la opcion por defecto.

Un saludo.
Publicar una respuesta