 Autor
|
Tema: descifrar payload (Leído 6,692 veces)
|
|
WHK
|
Hola, me han enviado un payload a modo de reto pero soy muy malo para la criptografía, no lo he podido sacar, alguien me da una mano? El payload es el siguiente: aDs5OzloAloCFmgMXwBFaFtSU
kNoDkREVWgfVF5aaFcFRVRoXl
VCd2hFWAtdaFxWWFuJ5onnMcA
x2zHJMdIEBIDDAbIoAdeQkJDr
RFlvdSBhcmUgZ2V0dGluZyBjb
G9zZXIsIGJ1dCBub3QgdGhlcm
UgeWV0Li4uIEYyVEMgaXMgd2F
0Y2hpbmcgeW91ISEKuUwAAACy
RM2A65uQkJCBNjE3MTeDxgT+w
YP5CnXwieHNgOuCidjNgA== El base64 saca un payload con texto binario y un mensaje, alguien me puede dar luces sobre lo que realmente existe dentro del mensaje? whk@machine:~$ echo 'aDs...NgA==' | base64 -d | xxd
00000000: 683b 393b 3968 025a 0216 680c 5f00 4568 h;9;9h.Z..h._.Eh
00000010: 5b52 5243 680e 4444 5568 1f54 5e5a 6857 [RRCh.DDUh.T^ZhW
00000020: 0545 5468 5e55 4277 6845 580b 5d68 5c56 .ETh^UBwhEX.]h\V
00000030: 585b 89e6 89e7 31c0 31db 31c9 31d2 0404 X[....1.1.1.1...
00000040: 80c3 01b2 2801 d790 9090 eb44 596f 7520 ....(......DYou
00000050: 6172 6520 6765 7474 696e 6720 636c 6f73 are getting clos
00000060: 6572 2c20 6275 7420 6e6f 7420 7468 6572 er, but not ther
00000070: 6520 7965 742e 2e2e 2046 3254 4320 6973 e yet... F2TC is
00000080: 2077 6174 6368 696e 6720 796f 7521 210a watching you!!.
00000090: b94c 0000 00b2 44cd 80eb 9b90 9090 8136 .L....D........6
000000a0: 3137 3137 83c6 04fe c183 f90a 75f0 89e1 1717........u...
000000b0: cd80 eb82 89d8 cd80 ........
La pagina real es: http://f2tcmrxuoxmw7uvl.onion/Saludos.
|
|
|
|
« Última modificación: 6 Mayo 2019, 20:43 pm por WHK »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
 Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Encontre un post en reddit https://www.reddit.com/r/codes/comments/apazqq/seemed_like_base64_to_me_but_what_now/El texto que se lee buscando en google me lleva a un programador y a su github con varios codigos en c++ javascipt, etc. Comprobe todos los fuentes a ver si suele utilizar alguma funcion o libreria para cifrar, pero no encontre nada. Mas tarde lo mirare en profundidad. Puedes pasar.captura de la web? Tengo problemas de red en el pc, lo uso offline y en este disposotivo (no mio) no puedo instalar el orbot. Si el contenido es mas texto puedes probar a sustituir comprobando la frecuencia de letras usadas en el castellano. La url de onion no es al azar f2tc es la empresa mr xuoxm es el nombre del programador o el grupo de prpgramacion al que le revise los cpdogos fuente en github.
|
|
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖  |
|
|
xv0
Desconectado
Mensajes: 1.026
|
Hola, a simple vista en el texto binario, me suenan un monton los bytes cd 80 son interrupciones de linux.
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Es codigo ASM: 10031000 | 68 3B393B39 | push 393B393B 10031005 | 68 025A0216 | push 16025A02 1003100A | 68 0C5F2045 | push 45205F0C 1003100F | 68 5B525243 | push 4352525B 10031014 | 68 0E444455 | push 5544440E 10031019 | 68 1F545E5A | push 5A5E541F 1003101E | 68 57054554 | push 54450557 10031023 | 68 5E554277 | push 7742555E 10031028 | 68 45580B5D | push 5D0B5845 1003102D | 68 5C56585B | push 5B58565C 10031032 | 89E6 | mov esi,esp 10031034 | 89E7 | mov edi,esp 10031036 | 31C0 | xor eax,eax 10031038 | 31DB | xor ebx,ebx 1003103A | 31C9 | xor ecx,ecx 1003103C | 31D2 | xor edx,edx 1003103E | 04 04 | add al,4 10031040 | 80C3 01 | add bl,1 10031043 | B2 28 | mov dl,28 10031045 | 01D7 | add edi,edx 10031047 | 90 | nop 10031048 | 90 | nop 10031049 | 90 | nop 1003104A | EB 44 | jmp 10031090 1003104C | 59 | ascii Y 1003104D | 6F | ascii o 1003104E | 75 | ascii u 1003104F | 20 | ascii 10031050 | 61 | ascii a 10031051 | 72 | ascii r 10031052 | 65 | ascii e 10031053 | 20 | ascii 10031054 | 67 | ascii g 10031055 | 65 | ascii e 10031056 | 74 | ascii t 10031057 | 74 | ascii t 10031058 | 69 | ascii i 10031059 | 6E | ascii n 1003105A | 67 | ascii g 1003105B | 20 | ascii 1003105C | 63 | ascii c 1003105D | 6C | ascii l 1003105E | 6F | ascii o 1003105F | 73 | ascii s 10031060 | 65 | ascii e 10031061 | 72 | ascii r 10031062 | 2C | ascii , 10031063 | 20 | ascii 10031064 | 62 | ascii b 10031065 | 75 | ascii u 10031066 | 74 | ascii t 10031067 | 20 | ascii 10031068 | 6E | ascii n 10031069 | 6F | ascii o 1003106A | 74 | ascii t 1003106B | 20 | ascii 1003106C | 74 | ascii t 1003106D | 68 | ascii h 1003106E | 65 | ascii e 1003106F | 72 | ascii r 10031070 | 65 | ascii e 10031071 | 20 | ascii 10031072 | 79 | ascii y 10031073 | 65 | ascii e 10031074 | 74 | ascii t 10031075 | 2E | ascii . 10031076 | 2E | ascii . 10031077 | 2E | ascii . 10031078 | 20 | ascii 10031079 | 46 | ascii F 1003107A | 32 | ascii 2 1003107B | 54 | ascii T 1003107C | 43 | ascii C 1003107D | 20 | ascii 1003107E | 69 | ascii i 1003107F | 73 | ascii s 10031080 | 20 | ascii 10031081 | 77 | ascii w 10031082 | 61 | ascii a 10031083 | 74 | ascii t 10031084 | 63 | ascii c 10031085 | 68 | ascii h 10031086 | 69 | ascii i 10031087 | 6E | ascii n 10031088 | 67 | ascii g 10031089 | 20 | ascii 1003108A | 79 | ascii y 1003108B | 6F | ascii o 1003108C | 75 | ascii u 1003108D | 21 | ascii ! 1003108E | 21 | ascii ! 1003108F | 0A | ascii \n 10031090 | B9 4C202020 | mov ecx,2020204C 10031095 | B2 44 | mov dl,44 10031097 | CD 80 | int 80 10031099 | EB 9B | jmp 10031036 1003109B | 90 | nop 1003109C | 90 | nop 1003109D | 90 | nop 1003109E | 8136 31373137 | xor dword ptr ds:[esi],37313731 100310A4 | 83C6 04 | add esi,4 100310A7 | FEC1 | inc cl 100310A9 | 83F9 0A | cmp ecx,A 100310AC | 75 F0 | jne 1003109E 100310AE | 89E1 | mov ecx,esp 100310B0 | CD 80 | int 80 100310B2 | EB 82 | jmp 10031036 100310B4 | 89D8 | mov eax,ebx 100310B6 | CD 80 | int 80
Al menos, es lo que sale de pegar el codigo en el debugger...  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
xv0
Desconectado
Mensajes: 1.026
|
Hola, si tenia toda la pinta, pasa que estaba con el cel y no podia usar nada, como ahora, luego en el pc la miro, todos esos push son una cadena cifrada por el xor de abajo, es lo que pinta.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Hola, la cadena de push en ascii: 0x0e0x0a0x0e0x0a !3m3 rh= tcej bus? moc. ct2f @sbo j:ot liam Ese es el resultado de la rutina del xor, ahora las jump no lo tengo muy claro y el mov a ecx. No se si tiene alguna funcion oculta, pero cual es la finalidad de este reto? Hay que llegar alguna parte? Saludos. P.D: Perdon por poner la cadenaal reves , hay se puede ver un mail.. mailto:jobs@f2tc.com |
|
|
|
« Última modificación: 5 Julio 2019, 00:38 am por cpu2 »
|
En línea
|
|
|
|
|
WHK
|
Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD Muchas gracias por la ayuda cpu2 y MCKSys  se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD |
|
|
|
« Última modificación: 5 Julio 2019, 05:53 am por WHK »
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Payload de conexion inversa en msf ??
Hacking
|
PHAMTOM
|
0
|
2,589
|
23 Marzo 2010, 17:16 pm
por PHAMTOM
|
|
|
|
Hacer indetectable un payload
Bugs y Exploits
|
xhule
|
3
|
9,702
|
13 Febrero 2013, 21:26 pm
por alister
|
|
|
|
si el payload es dectectado.....
Hacking
|
str0nghack
|
2
|
3,797
|
9 Abril 2017, 13:03 pm
por TheIllusionist
|
|
|
|
Infectar apk con payload?
Análisis y Diseño de Malware
|
ballsbreak3r
|
0
|
2,358
|
31 Diciembre 2017, 02:01 am
por ballsbreak3r
|
|
|
|
payload indetectable
Análisis y Diseño de Malware
|
ureyes13
|
1
|
2,936
|
10 Mayo 2019, 09:17 am
por UnaiiM
|
 |
- 
