Forensics Online Wargame

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Forensics Online Wargame

Notapor neofito » Lun Abr 26, 2010 1:38 pm

Hola a todos

Para entretenernos un rato:

http://real-forensic.com/

Los primeros dos niveles (0 y 1) son muy asequibles. El tercero (level2) ya se resiste un poco, al menos a mi :cry:

Saludos y suerte
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor Arakiss » Lun Abr 26, 2010 11:32 pm

Hola:

Gracias por la informacion,ya me he registrado :p a ver si consigo pasar del primer level xD

Salu2 :D
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Re: Forensics Online Wargame

Notapor neofito » Mar Abr 27, 2010 11:51 am

Estupendo!! A ver si se anima mas gente y entre todos aprendemos :D

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor NewLog » Mar Abr 27, 2010 1:09 pm

Bueno, de momento tu aprenderás poco que ya te veo casi casi ON-TOP :embudito:
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: Forensics Online Wargame

Notapor neofito » Mar Abr 27, 2010 2:44 pm

Que mas quisiera yo :?

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor vlan7 » Mié Abr 28, 2010 8:35 am

Bueno, yo me acabo de registrar, a ver si paso del nivel 0...

Saludos y mucha suerte!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor Arakiss » Vie Abr 30, 2010 1:47 am

Hola:

Veo que por lo menos dos de nuestros compañeros están en nivel 2 ,mientras que otros no conseguimos pasar del primer nivel xD ....tampoco es que me haya comido mucho el coco se me olvido pasarme por el wargame.

Solo era para deciros enhorabuena TuXeD y neofito,como siempre no esperaba menos de vosotros soys unos cracks.

Salu2
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Re: Forensics Online Wargame

Notapor vlan7 » Jue May 06, 2010 6:33 am

Pues yo ni con los asequibles :?

En el primer nivel llego a identificar los tipos de los archivos y a extraer 3 imagenes dd. Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).

A ver si los mas avanzados nos podeis echar un cable...

Un saludo
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor neofito » Jue May 06, 2010 2:14 pm

Solo tienes que "excarvar" las imagenes a ver que encuentras ;)

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor Newhack » Jue May 06, 2010 6:13 pm

Vlan7 escribió:Yo imagino que debo "juntar" la de datos con alguna de las hechas con mkdosfs (creo que se hizo asi).
:? No se si estoy correctamente "sintonizado" o si voy mear fuera de tiesto, pero el mkdosfs que yo conozco es un programa para formatear un soporte de datos (media)
creando un sitema de ficheros acorde a ms-dos y windows. No veo como se pueden "procesar" datos existentes con el.
¿No te habrás equivocado de nombre?.

Neofito escribió:Solo tienes que "excarvar" las imagenes a ver que encuentras ;)
¿Te refieres a imágenes que no son realmente imágenes?,
¿ o a esto otro ? http://estegano.neobits.org/estegano/category/ads/
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Forensics Online Wargame

Notapor vlan7 » Jue May 06, 2010 7:54 pm

Como no se me ocurrio antes... muy buena pista neofito!

Por cierto, el segundo nivel me parecio mas facil, aunque nunca se me dieron bien las matematicas ;)

Saludos y suerte

<EDIT>
Nos juntamos los mensajes Newhack jeje
Bueno, yo me empecinaba en que tenia que montar los archivos porque eso entendi del level, que decia algo como "can you mount this files?".
Y con respecto a lo otro no se trata de esteganografia, se trata de... "excarvar" ;)
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor neofito » Jue May 06, 2010 8:37 pm

Pues a ver si entre todos sacamos el level2 porque voy mas perdido que el dia de la madre, ya me he quedado sin opciones :?

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor vlan7 » Lun May 10, 2010 12:24 am

Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.

Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.

En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.

Siento no poder aportar nada en claro sobre el level 2 :( , a ver si alguien mas se anima...

Saludos.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Forensics Online Wargame

Notapor neofito » Lun May 10, 2010 8:58 am

vlan7 escribió:Pues en el level 2 yo me he vuelto loco analizando el log .pcap, lo primero con foremost, y creo que scalpel tambien. Y pude acceder a un win y descubri un programa llamado "Network Miner", muy majo para analizar capturas de trafico .pcap aunque el trafico era mayormente SSH, segun vi con wireshark.


Networkminner fue lo primero que utilice, y wireshark tambien. Yo extraigo unas pautas para una conexion entre un "zombi" o maquina infectada y un servidor pero poco mas.

vlan7 escribió:Y el PE32 no me parece instalar ningun servicio al ejecutarlo en un windows, que es lo que deduje al ver ciertas cadenas en el primer binario con mi editor hexa favorito.


Pruebalo nuevamente porque si que instala un servicio correctamente. Yo lo que he probado (aparte de abrirlo con IDA sin tener mucha idea) ha sido a emular la conexion entre el zombi y el C&C, pero por ahi no he sacado nada en claro. Me temo que el quid esta en el desensamblado, el cual no es ni de lejos mi fuerte.

vlan7 escribió:En un principio pense en esteganografia. Lei que es posible ocultar info en los PE32, en las cabeceras, pero cantaria un poco al examinarlo con un editor hexadecimal.


Tengo la sensacion de que por ahi no van los tiros, pero en este momento solo me quedan sesnsaciones.

vlan7 escribió:Siento no poder aportar nada en claro sobre el level 2 :( , a ver si alguien mas se anima...


Nada hombre, aqui estamos para aprender, que al final es de lo que se trata.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Forensics Online Wargame

Notapor vlan7 » Lun May 10, 2010 9:45 am

Buenas,

Vaya por delante que como esto es un wargame, todo son elucubraciones.

Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?

Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.

Y estoy contigo en que de los dos primeros niveles al tercero la dificultad se aprecia.

Saludos,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Siguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

cron