[neofito]

Hola a todos

Para entretenernos un rato:

http://real-forensic.com/

Los primeros dos niveles (0 y 1) son muy asequibles. El tercero (level2) ya se resiste un poco, al menos a mi

Saludos y suerte

[Arakiss]

Hola:

Gracias por la informacion,ya me he registrado a ver si consigo pasar del primer level xD

Salu2

[neofito]

Estupendo!! A ver si se anima mas gente y entre todos aprendemos

Saludos

[NewLog]

Bueno, de momento tu aprenderás poco que ya te veo casi casi ON-TOP

[neofito]

Que mas quisiera yo

Saludos

[vlan7]

Bueno, yo me acabo de registrar, a ver si paso del nivel 0...

Saludos y mucha suerte!

[Arakiss]

Hola:

Veo que por lo menos dos de nuestros compañeros están en nivel 2 ,mientras que otros no conseguimos pasar del primer nivel xD ....tampoco es que me haya comido mucho el coco se me olvido pasarme por el wargame.

Solo era para deciros enhorabuena TuXeD y neofito,como siempre no esperaba menos de vosotros soys unos cracks.

Salu2

[vlan7]

Pues yo ni con los asequibles

En el primer nivel llego a identificar los tipos de los archivos y a extraer 3 imagenes dd. Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).

A ver si los mas avanzados nos podeis echar un cable...

Un saludo

[neofito]

Solo tienes que "excarvar" las imagenes a ver que encuentras

Saludos

[Newhack]

Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).

No se si estoy correctamente "sintonizado" o si voy mear fuera de tiesto, pero el mkdosfs que yo conozco es un programa para formatear un soporte de datos (media)
creando un sitema de ficheros acorde a ms-dos y windows. No veo como se pueden "procesar" datos existentes con el.
¿No te habrás equivocado de nombre?.

Solo tienes que "excarvar" las imagenes a ver que encuentras

¿Te refieres a imágenes que no son realmente imágenes?,
¿ o a esto otro ? http://estegano.neobits.org/estegano/category/ads/

[vlan7]

Como no se me ocurrio antes... muy buena pista neofito!

Por cierto, el segundo nivel me parecio mas facil, aunque nunca se me dieron bien las matematicas

Saludos y suerte

<EDIT>
Nos juntamos los mensajes Newhack jeje
Bueno, yo me empecinaba en que tenia que montar los archivos porque eso entendi del level, que decia algo como "can you mount this files?".
Y con respecto a lo otro no se trata de esteganografia, se trata de... "excarvar"

[neofito]

Pues a ver si entre todos sacamos el level2 porque voy mas perdido que el dia de la madre, ya me he quedado sin opciones

Saludos

[vlan7]

Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.

Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.

En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.

Siento no poder aportar nada en claro sobre el level 2 , a ver si alguien mas se anima...

Saludos.

[neofito]

Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.

Networkminner fue lo primero que utilice, y wireshark tambien. Yo extraigo unas pautas para una conexion entre un "zombi" o maquina infectada y un servidor pero poco mas.

Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.

Pruebalo nuevamente porque si que instala un servicio correctamente. Yo lo que he probado (aparte de abrirlo con IDA sin tener mucha idea) ha sido a emular la conexion entre el zombi y el C&C, pero por ahi no he sacado nada en claro. Me temo que el quid esta en el desensamblado, el cual no es ni de lejos mi fuerte.

En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.

Tengo la sensacion de que por ahi no van los tiros, pero en este momento solo me quedan sesnsaciones.

Siento no poder aportar nada en claro sobre el level 2 , a ver si alguien mas se anima...

Nada hombre, aqui estamos para aprender, que al final es de lo que se trata.

Saludos

[vlan7]

Buenas,

Vaya por delante que como esto es un wargame, todo son elucubraciones.

Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?

Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.

Y estoy contigo en que de los dos primeros niveles al tercero la dificultad se aprecia.

Saludos,