Snifer@L4b's

Lastimosamente nadie gano la entrada, respecto al reto que lanzamos el mes de Agosto para el evento de la 8.8 que se realizara este Viernes 14 y 15 de Septiembre a continuación detallo cual era el proceso para resolver el reto.

Muchas gracias a todos los que participarón y estuvierón de pie en el cañon espero que cuando se tengan retos que no vengan con premio igual anden, asi que sin mas vueltas con la Solución. Lo primero que teniamos como referencia es el siguiente contenido.

Además de como nunca faltan en las entradas alguna frase, en este caso tenía mucho sentido con el reto para afrontarlo y dar con la solución. Una vez descargamos el fichero, con la información obtenida procedemos a extraer y nos brinda dos ficheros "Whiterose.txt" y "white.exe".

Al abrir el fichero "Whiterose.txt" tenemos la siguiente frase y codigo binario.

"Si te vas, te conviertes en un cero. Si te quedas, si quieres cambiar el mundo. Te conviertes en un uno."

01100001 01001000 01010010 00110000 01100011 01001000 01001101 00110110 01001100 01111001 00111001 00110101 01100010 00110011 01010110 00110000 01100100 01010011 00110101 01101001 01011010 01010011 00111001 01000110 01010011 01101100 01001010 01111010 01011010 00110010 01010010 01011001 01100001 00110000 01010001 01111001 01010110 01010001 01101111 00111101

Entonces procedemos a convertirlo y obtenemos el texto en base64.

aHR0cHM6Ly95b3V0dS5iZS9FSlJzZ2RYa0QyVQo=

Al proceder a descifrarlo nos brinda un enlace a Youtube , en el cual es una escena de Mr Robot cuando Eliot comenta sobre el Hackeo al FBI. Enlace a Youtube: https://youtu.be/EJRsgdXkD2U

Si vemos en la descripción esta el texto cifrado por lo tanto, toca obtenerlo en claro en este punto varios estuvieron peleando con obtener la URL correcta ya que no se realizaba el desplazamiento de los numeros, en la web Cryptii si ingresamos el texto no da la URL correcta que es la siguiente:

WhiteRose tienes los datos, cuando los descargues avisa para borrar y no dejar información suelta. /file/u0w9m62elbusc25/EmpireAttack.zip Atte;mediafire

Una vez realizamos el proceso correctamente tenemos para descargar el fichero EmpireAttack.zip.

Al descomprimir nos quedan ahora 2 ficheros por analizar el audio "EmpireAttack.wav" el cual lo obtenemos del deepsound y el "White.exe"

El fichero ejecutable "white.exe" tenia como unico objetivo marear y que se pierda el tiempo en un análisis ya que podría tener algun BoF, pero lo único que nos interesa es ver los datos que estan en el mismo podemos hacerlo con un editor hexadecimal y tenemos lo siguiente.

El código binario que se tiene es el siguiente el cual al obtenerlo en texto tenemos base64_esta_la_llave con esto podemos realizar una busqueda de referencia en base64.

Mas abajo del codigo binario tenemos texto que se debe de tratar para tenerlo correctamente y descifrar en base64.

Obtenemos la llave: EmpireFramework (que por cierto viene en relación a la charla que daré en el evento.)

Ahora el audio es un chiptune por decirlo de Star Wars, en este punto podriamos analizar y ver si lleva algo de esteganografia en el mismo embebiendo algun fichero.

Como sabran Elliot hace uso de una herramienta DeepSound para guardar su información en archivos de audio, y como la temática de este reto era la misma ya venia derecho el uso de la misma les hablo de deepsound. (Quizas no sea legal o igualitario para los que no vierón la serie.)

Al abrir el fichero nos pide contraseña, evidentemente podria ser "EmpireFramework", algunos se que generaron un diccionario pero la pista para resolver se encontraba en el mismo video si lo llegan a ver con detalle en diversos fotogramas daba una pista, dejo en una imagen los datos que se brindaba así tambien los segundos donde se muestra el texto.

00:00 La
00:04 Password
00:08 es
00:15 el
00:21 canal

Se que algunos llegarón a este punto y se estancaron, pusieron el canal del blog en Telegram, el canal de Youtube asi que era el canal de IRC donde se ve en el segundo 00:15 #th3g3ntl3man

Al ingresar la password en deepsound nos extrae el fichero de texto Information.txt

El mismo contiene el siguiente texto:

Ahora si llegamos a visualizar con detalle se tiene algunas letras mayúsculas, ESASLPB evidentemente algunas son forzosas asi que extrayendo nos queda ESA ordenando nos da AES, el cifrado usado del texto y la llave como ya la tenemos es la primera que obtuvimos EmpireFramework al descifrar obtenemos el medio de contacto por Telegram y el infiltrado.

Espero les agrade y pasaron un buen momento tratando de resolverlo, por mi parte nos vemos en el evento, en el cual estare dando la charla de Post & Explotación con Empire donde veremos parte del framework y además el potencial que esta llegando a tener PowerShell para la realización de diferentes ataques bajo windows.

Pero aquí no termina, me gustaria que alguien gane la entrada por lo tanto pondremos algunas reglas básicas para este sorteo.

~~1.- Si eres estudiante de la universidad o Colegio puedes participar (se validara con el ganador).~~

~~2.- Si estas fuera de La Paz, es decir en cualquier otro departamento pero te gustaria venir, y tener esa ayuda con el ticket de ingreso puedes participar.~~

3.- Realizar un tweet con el Hashtag #8dot8BoliviaRetoSniferL4bs solo una vez, hasta el dia de mañana jueves a medio día, y entre los que lo realicen me contacto con la persona que salga ganadora eso si debe de cumplir con los requisitos.

Una lastima que nadie se animó a lanzar el tweet, hubiese sido el único ganador, gracias a todos por participar. Dos personas resolvieron el reto ambos dando pistas, uno mas que el otro eso si fuera de Bolivia cuando recuerde los nicks o me digan los agregamos.

Nadie tiene más amor que el que da su vida por los que ama - (Paul Claudel)

Regards,
Snifer

Leer Mas

El mundo del reversing en android es muy interesante aunque la verdad no hay tanta información como en el reversing de software, en esta serie de entradas que estare realizando tiene como objetivo que lleguemos a conocer y aprender juntos desde lo básico e ir avanzando.

Requisitos básicos para comenzar en el reversing android:

Conocimientos básicos sobre java.
Creatividad y muchas ganas de aprender.

Antes de empezar yo tengo experiencia en la ingeniería inversa de binarios, pero una vez aprendido el reversing no es complicado a adaptarse a esto. Al final de cuentas reversing es reversing y no importa si es de binarios o apk, ya que para todo tenemos que investigar y practicar mucho. Digo todo esto pues he investigado sobre el tema pero sin embargo si sufro algún error indica cual es en los comentarios para editar este tutorial y tener una mejor referencia.

Preparando el entorno Windows

Primero necesitamos las herramientas para tener nuestro entorno listo y preparado:

Java JDK : Herramientas de desarrollo para java.
SDK Tool : Herramientas de desarrollo para android.
ApkTool : nos servirá para descompilar y recompilar nuestro apk.
Dex2Jar : nos permitira convertir un archivo DEX a JAR.
JD-GUI : nos permitirá ver el código fuente de un archivo JAR.
Uber Apk Signer : nos permitirá firmar nuestra apk.

Instalando Java JDK

Procedemos a descargar de su web oficial, para instalar solo es dar siguiente siguiente.

Instalando SDK Tool

Descargamos desde su web click aqui

En este proceso despues de instalar el sdk, tendremos que instalar los siguientes paquetes.

Instalando Apktool

En la pagina oficial click aqui explica el proceso de instalación, considerando que deseamos aprender se da los pasos a continuación.

Una vez que descargamos el script debemos renombrarlo como apktool.bat
Descargamos apktool desde el siguiente enlace
Renombramos el archivo descargado a apktool.jar
Copiaremos los ficheros apktool.bat y apktool.jar a una carpeta "apktool y lo guardaremos en C:
Vamos a inicio de windows -> click derecho en equipo y con click derecho vamos a propiedades.

Ahora procedemos a configurar las variables de entorno, ingresando a configuración avanzada del sistema, variables de entorno -> elegimos PATH -> Editar -> agremos el valor de variable con punto y coma y la dirección de la carpeta apktoo, en la captura se muestra el proceso.

Como último proceso validamos que esta bien configurado la variable de entorno y ejecutamos una CMD, escribiendo apktool

Si todo fue realizado correctamente tendremos la herramienta funcionando.

Instalando Dex2jar

Descargamos desde el siguiente enlace , la versión que usaremos en las próximas entradas dex-tools-2.1-SNAPSHOT.zip que descomprimiremos en un carpeta llamada dex2jar, repetimos el mismo proceso que realizamos con apktool y si marcha todo bien nuestro resultado final al ejecutarlo en la terminal d2j-dex2jar

JD - GUI

Contamos igual con la página web oficial desde el siguiente enlace

En este caso como estamos en un entorno Windows, procedemos a descargar el ejecutable para Windows, el mismo puede ser puesto en cualquier directorio, la recomendación sería que tengamos una carpeta Tools, Herramientas para estar mas organizados.

Uber Apk Signer

La ultima herramienta que usaremos es Uber APK Signer desde el repositorio en GITHUB del siguiente enlace

Para mantener la configuración del entorno se renombra igual con el siguiente nombre uber-apk-signer.jar, del mismo modo repetimos el proceso guardando en el disco C:, y configuramos el PATH respectivo. despues abrimos nuestro editor de texto y copiamos este codigo

@echo off
if "%PATH_BASE%" == "" set PATH_BASE=%PATH%
set PATH=%CD%;%PATH_BASE%;
java -jar -Duser.language=en "%~dp0\uber-apk-signer.jar" %*

y procedemos a guardar como uber-apk-signer.bat en el mismo directorio de uber-apk-signer

Con todo esto seria suficiente para comenzar y seguir con la siguiente entrada nos vemos .

Leer Mas

Despues de mucho tiempo vuelvo a publicar el podcast en el blog, ya que solo lo realizaba directamenet en ivoox y subia a Youtube si me acordaba, pero debido a varios mensajes que recibí tratare de subir a Youtube del mismo modo, además de que ando preparando videos para la resolución de maquinas de HTB, Vulnhub, y además de algunas herramientas para que las personas que les guste dicho formato se sientan a gusto con ello.

Si estan interesados en mas información suscribanse, si quieren algun tema que se trate en el Podcast haganlo en los comentarios del blog, o de los distintos medios de comunicación que contamos en el blog.

Escuchalo en Youtube

Escuchalo por Ivoox

Divide las dificultades que examines en tantas partes como sea posible, para su mejor solución. - Rene Descartes

Regards,
Snifer

Leer Mas

Hola estimado lector del blog! esta vez te pedimos tu ayuda para obtener los datos del infiltrado en el evento 8.8 Bolivia, si obtienes el nombre del infiltrado la organización de 8.8 y Snifer@L4b's te dará una entrada con la cual puedas acceder a los dos días del evento.

Lo unico que se obtuvo fueron los siguientes datos que se encuentran en un fichero ZIP, el cual se encuentra con la siguiente contraseña www.sniferl4bs.com debido a que se obtuvieron de una memoria USB que se encontraba destrozada, y fue entregada a Snifer para restaurar los ficheros, estas dispuesto a colaborarnos y resolver quien es el infiltrado.

Ficheros recuperados

Al encontrar la flag tienes el nombre del infiltrado, como tambien por que medio mandarlo, por si quieres saber más del evento dejamos la información respectiva:

Sitio web: 8dot8.org.bo
Facebook: 8dot8Bolivia
Twitter: @8dot8bolivia
Teléfono: +591 22116838
Email: contacto@8dot8.org (acerca del evento, si es sobre el reto en los comentarios o por el mail)

NOTA:

El premio (entrada) solo cubre el acceso al evento para los dos días si estas en otro departamento te toca invertir para asistir, como tambien tu alojamiento, hago esta nota ya que no faltara el gracioso.

Si no asistiras y quieres resolverlo adelante pero no hagas spoilers.

También considera que si puedes realizar el pago de la entrada deja a otra persona para que tenga la oportunidad de acceder, con este punto me refiero a que este desafio va mas para un estudiante, o que no este en La Paz y darle una ayuda a que asista al evento.

Estaremos retornando con el Blog y el Podcast, y si ando medio traumado con la temática de Mr Robot, cada mes saldran diferentes retos así que esten listos para ir sumandose a cada rato que vaya saliendo y sugieran.

"Cuando una persona se enfrenta a la adversidad o a un problema importante, lo soluciona si lo enfoca de manera creativa." - Albert Ellis

Regards,
Snifer

Leer Mas

Este año se tiene nuevamente el evento 8.8 en Bolivia específicamente en el mes de Septiembre adelantando un poco al que se realizó el año pasado.

Como lo indicamos en el titulo se tiene el CFP llamado a charlas, al cual puedes mandar el perfil de tu charla, e indicar a que País postulas ya que el evento se realizara en Perú (12/09), Bolivia (14,15/09), Mexico (05/10), Uruguay (22/10) y Chile (26,27/10) los temas que puedes guiarte para tenerlos en cuenta y armar el contenido para una charla son los siguientes.

Malware
    Crimeware
    e-voting madness
    Banking Security
    Phreaking
    Attack and Defense Techniques
    Reverse Engineering
    Application Security, Testing, Fuzzing
    Code Auditing
    Virtualization Security
    Embedded Systems Technologies
    Satellite Hacking
    Web Security
    Privacy
    Trumping
    Wireless Security
    Exploitation
    Malicious Code
    GSM, GPRS and CDMA Security
    RFID Security
    VoIP Security
    Lockpicking
    Databases Security
    Viruses, Worms, and Trojans
    e-crime, Phishing and Botnets
    Malware, Crimeware
    e-voting madness
    Banking Security
    Phreaking
    Hardware hacking
    Cryptography
    Forensics & AntiForensics
    0 days
    IPv6 Security
    Social Engineering

Por mi parte estare en el de Bolivia, formando parte de la organización y compartiendo los dos días espero ver a más de un lector del blog y compartir un momento, cuando se tenga a la venta las entradas y demás tratare de compartirlo por el blog, twitter o en el grupo de Telegram además veré de lanzar un reto para un acceso o quizas un sorteo por lo tanto comenta que piensas u opinas de que manera se realizaría.