Reto Rootbyte : Solucion paso a paso

Se conocen los siguientes datos :

Ip Origen (192.168.1.158) = RootByte Uso del Software IM para establecer una conversacion por chat

Se busca :

*Nombre de usuario IP=192.168.1.158 de IM *Nombre de archivo enviado por RootByte *Numero Magico *MD5 del archivo *Contenido del archivo

Tools/Soft Utilizado

WIRESHARK(GUI)/TSHARK

TCPFLOW

Linux

Empezando...

Lo primero que hice fue empezar por hacerme una idea de la situacion, por lo tanto me enfoque en buscar las apariciones de la ip otorgada por RootByte.

Para lograrlo comenze con Tshark y asi aparecio uno de los datos claves para resolver el reto...

5 0.918234 Vmware_b0:8d:62 -> Dell_4d:4f:ae ARP 60 Who has 192.168.1.159? Tell 192.168.1.10

6 0.918240 Dell_4d:4f:ae -> Vmware_b0:8d:62 ARP 60 192.168.1.159 is at 00:21:70:4d:4f:ae

192.168.1.159 es la ip que obtuve, donde se identifica facilmente una computadora portatil o laptop de la marca DELL que seguramente podemos chequear con el MAC conseguido tambien en este paquete, pero eso ya no me importa.

Continuo revisando el trafico cuando detecto otra computadora pero esta vez HP, con la famosa IP 192.168.1.158 que corresponde a RootByte.

Wireshark Screenshot

Pero aun mas interesante e importante a la vez es que mediante el protocolo SSL la pc RootByte se conecta con "64.12.24.50" la cual mediante un hostname lookup nos indica lo siguiente

Pertenece a una direccion que nos indica que RootByte se conecta AIM.

Hasta ahí vamos bien, solamente que ahora para agilizar el proceso dí uso de la herramienta TCPFLOW que se encuentra en los repos de KALI, perfectamente funcionales en Debian Jessie como es en mi caso.

Esta tool lo que hace es filtrar el archivo con el trafico (.pcap) y nos entrega un output que separa paquetes de datos en archivos que podemos luego leer en HEX.

Obtuve por lo tanto

Luego de analizar un momento me di cuenta que habia dos paquetes muy particulares

192.168.001.158.05190-192.168.001.159.01272

192.168.001.159.01272-192.168.001.158.05190

Un paso muy importante fue buscar informacion de como trabajan las conexiones de AIM en este caso, fue entonces cuando anote el puerto 5190.Consegui un poco mas de informacion acerca de este protocolo encontrandome con OSCAR que tambien es usado en otros programas como ICQ. El primer paso del protocolo utilizado por AIM, OscarFileTransfer2, es:

1) El emisor utiliza el server AOL para indicar al receptor donde conectarse para la transferencia.

Por lo tanto la conexion 64.12.24.50 indica una transferencia de archivos entre RootByte y 192.168.1.159.

Viendo el contenido de ese paquete de datos encontré

Se puede ver a simple vista un usuario"Sec558user1"que corresponde a RootByte y el nombre de un archivo "recipe.docx" el cual nos interesa muchisimo ya que en el reto se habla de una receta secreta, traduciendo recipe al español nos damos cuenta que esto nos tiene que servir.

Para extraer el archivo debemos buscar el dump con el paquete de datos donde identifique el puerto 5190.

Voy a utilizar xxd(pariente de dd) para conseguir un hexdump de 192.168.001.158.05190-192.168.001.159.01272 (dump de TCPFLOW)

Entonces :

Una vez leyendo el dump en hexadecimal para poder extraer el archivo tuve que remover los headers del dump, para esto incluso podemos usar xxd logrando asi exportar "recipe.docx". Para lograrlo :

#-s busca los bytes para modificarlo

Pero porque 256 bytes? el protocolo OscarFileTransfer tiene un header de 256 bytes

Se puede entonces confirmar que nos encontramos con el archivo que sera transferido.

Ya tengo el archivo, ahora debo conseguir su MD5 y los 4 primeros bytes

Por logica voy a obtenerlo usando

8350582774e1d4dbe1d61d64c89e0ea1

Ahora voy a conseguir esos numeros magicos utilizando nuevamente xxd

# -ps nos permite leerlo como post-script

Resultado: 50-4b-03-04

Por ultimo...

En el reto se pide informacion acerca de los comentarios realizados entonces continue leyendo los dump, encontre otra interaccion con el servidor de AIM donde aparecio lo siguiente

Para terminar abrimos el archivo por el cual hicimos este trabajito, consiguiendo un instructivo de como provocar un desastre.

Termino este informe dejando un poco de info mia para que podamos hacer mas retos y asi aumentar conocimientos, Saludos!

Twitter

Gmail

Facebook