reto rootbyte - descifrando una fuga de informacion
DESCRIPTION
Hacking SolutionsTRANSCRIPT
![Page 1: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/1.jpg)
Reto Rootbyte : Solucion paso a paso
Se conocen los siguientes datos :
Ip Origen (192.168.1.158) = RootByte Uso del Software IM para establecer una conversacion por chat
Se busca :
*Nombre de usuario IP=192.168.1.158 de IM *Nombre de archivo enviado por RootByte *Numero Magico *MD5 del archivo *Contenido del archivo
Tools/Soft Utilizado
WIRESHARK(GUI)/TSHARK
TCPFLOW
Linux
Empezando...
Lo primero que hice fue empezar por hacerme una idea de la situacion, por lo tanto me enfoque en buscar las apariciones de la ip otorgada por RootByte.
Para lograrlo comenze con Tshark y asi aparecio uno de los datos claves para resolver el reto...
5 0.918234 Vmware_b0:8d:62 -> Dell_4d:4f:ae ARP 60 Who has 192.168.1.159? Tell 192.168.1.10
6 0.918240 Dell_4d:4f:ae -> Vmware_b0:8d:62 ARP 60 192.168.1.159 is at 00:21:70:4d:4f:ae
192.168.1.159 es la ip que obtuve, donde se identifica facilmente una computadora portatil o laptop de la marca DELL que seguramente podemos chequear con el MAC conseguido tambien en este paquete, pero eso ya no me importa.
Continuo revisando el trafico cuando detecto otra computadora pero esta vez HP, con la famosa IP 192.168.1.158 que corresponde a RootByte.
![Page 2: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/2.jpg)
Wireshark Screenshot
Pero aun mas interesante e importante a la vez es que mediante el protocolo SSL la pc RootByte se conecta con "64.12.24.50" la cual mediante un hostname lookup nos indica lo siguiente
Pertenece a una direccion que nos indica que RootByte se conecta AIM.
Hasta ahí vamos bien, solamente que ahora para agilizar el proceso dí uso de la herramienta TCPFLOW que se encuentra en los repos de KALI, perfectamente funcionales en Debian Jessie como es en mi caso.
Esta tool lo que hace es filtrar el archivo con el trafico (.pcap) y nos entrega un output que separa paquetes de datos en archivos que podemos luego leer en HEX.
Obtuve por lo tanto
![Page 3: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/3.jpg)
Luego de analizar un momento me di cuenta que habia dos paquetes muy particulares
192.168.001.158.05190-192.168.001.159.01272
192.168.001.159.01272-192.168.001.158.05190
Un paso muy importante fue buscar informacion de como trabajan las conexiones de AIM en este caso, fue entonces cuando anote el puerto 5190.Consegui un poco mas de informacion acerca de este protocolo encontrandome con OSCAR que tambien es usado en otros programas como ICQ. El primer paso del protocolo utilizado por AIM, OscarFileTransfer2, es:
1) El emisor utiliza el server AOL para indicar al receptor donde conectarse para la transferencia.
Por lo tanto la conexion 64.12.24.50 indica una transferencia de archivos entre RootByte y 192.168.1.159.
Viendo el contenido de ese paquete de datos encontré
Se puede ver a simple vista un usuario"Sec558user1"que corresponde a RootByte y el nombre de un archivo "recipe.docx" el cual nos interesa muchisimo ya que en el reto se habla de una receta secreta, traduciendo recipe al español nos damos cuenta que esto nos tiene que servir.
![Page 4: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/4.jpg)
Para extraer el archivo debemos buscar el dump con el paquete de datos donde identifique el puerto 5190.
Voy a utilizar xxd(pariente de dd) para conseguir un hexdump de 192.168.001.158.05190-192.168.001.159.01272 (dump de TCPFLOW)
Entonces :
Una vez leyendo el dump en hexadecimal para poder extraer el archivo tuve que remover los headers del dump, para esto incluso podemos usar xxd logrando asi exportar "recipe.docx". Para lograrlo :
#-s busca los bytes para modificarlo
Pero porque 256 bytes? el protocolo OscarFileTransfer tiene un header de 256 bytes
![Page 5: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/5.jpg)
Se puede entonces confirmar que nos encontramos con el archivo que sera transferido.
Ya tengo el archivo, ahora debo conseguir su MD5 y los 4 primeros bytes
Por logica voy a obtenerlo usando
8350582774e1d4dbe1d61d64c89e0ea1
Ahora voy a conseguir esos numeros magicos utilizando nuevamente xxd
# -ps nos permite leerlo como post-script
Resultado: 50-4b-03-04
Por ultimo...
En el reto se pide informacion acerca de los comentarios realizados entonces continue leyendo los dump, encontre otra interaccion con el servidor de AIM donde aparecio lo siguiente
![Page 6: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/6.jpg)
Para terminar abrimos el archivo por el cual hicimos este trabajito, consiguiendo un instructivo de como provocar un desastre.
![Page 7: Reto RootByte - Descifrando Una Fuga de Informacion](https://reader036.vdocumento.com/reader036/viewer/2022081803/563dbb21550346aa9aaa7a82/html5/thumbnails/7.jpg)
Termino este informe dejando un poco de info mia para que podamos hacer mas retos y asi aumentar conocimientos, Saludos!
Gmail