Foro de elhacker.net

Seguridad Informática => Criptografía => Mensaje iniciado por: WHK en 6 Mayo 2019, 19:18



Título: descifrar payload
Publicado por: WHK en 6 Mayo 2019, 19:18
Hola, me han enviado un payload a modo de reto pero soy muy malo para la criptografía, no lo he podido sacar, alguien me da una mano?

El payload es el siguiente:

Código:
aDs5OzloAloCFmgMXwBFaFtSU
kNoDkREVWgfVF5aaFcFRVRoXl
VCd2hFWAtdaFxWWFuJ5onnMcA
x2zHJMdIEBIDDAbIoAdeQkJDr
RFlvdSBhcmUgZ2V0dGluZyBjb
G9zZXIsIGJ1dCBub3QgdGhlcm
UgeWV0Li4uIEYyVEMgaXMgd2F
0Y2hpbmcgeW91ISEKuUwAAACy
RM2A65uQkJCBNjE3MTeDxgT+w
YP5CnXwieHNgOuCidjNgA==

El base64 saca un payload con texto binario y un mensaje, alguien me puede dar luces sobre lo que realmente existe dentro del mensaje?

Código:
whk@machine:~$ echo 'aDs...NgA==' | base64 -d | xxd
00000000: 683b 393b 3968 025a 0216 680c 5f00 4568  h;9;9h.Z..h._.Eh
00000010: 5b52 5243 680e 4444 5568 1f54 5e5a 6857  [RRCh.DDUh.T^ZhW
00000020: 0545 5468 5e55 4277 6845 580b 5d68 5c56  .ETh^UBwhEX.]h\V
00000030: 585b 89e6 89e7 31c0 31db 31c9 31d2 0404  X[....1.1.1.1...
00000040: 80c3 01b2 2801 d790 9090 eb44 596f 7520  ....(......DYou
00000050: 6172 6520 6765 7474 696e 6720 636c 6f73  are getting clos
00000060: 6572 2c20 6275 7420 6e6f 7420 7468 6572  er, but not ther
00000070: 6520 7965 742e 2e2e 2046 3254 4320 6973  e yet... F2TC is
00000080: 2077 6174 6368 696e 6720 796f 7521 210a   watching you!!.
00000090: b94c 0000 00b2 44cd 80eb 9b90 9090 8136  .L....D........6
000000a0: 3137 3137 83c6 04fe c183 f90a 75f0 89e1  1717........u...
000000b0: cd80 eb82 89d8 cd80                      ........

La pagina real es: http://f2tcmrxuoxmw7uvl.onion/

Saludos.


Título: Re: descifrar payload
Publicado por: @XSStringManolo en 6 Mayo 2019, 20:47
Encontre un post en reddit https://www.reddit.com/r/codes/comments/apazqq/seemed_like_base64_to_me_but_what_now/

El texto que se lee buscando en google me lleva a un programador y a su github con varios codigos en c++ javascipt, etc.

Comprobe todos los fuentes a ver si suele utilizar alguma funcion o libreria para cifrar, pero no encontre  nada.

Mas tarde lo mirare en profundidad.
Puedes pasar.captura de la web? Tengo problemas de red en el pc, lo uso offline y en este disposotivo (no mio) no puedo instalar el orbot.
Si el contenido es mas texto puedes probar a sustituir comprobando la frecuencia de letras usadas en el castellano.

La url de onion no es al azar f2tc es la empresa mr xuoxm es el nombre del programador o el grupo de prpgramacion al que le revise los cpdogos fuente en github.


Título: Re: descifrar payload
Publicado por: cpu2 en 3 Julio 2019, 20:48
Hola, a simple vista en el texto binario, me suenan un monton los bytes cd 80 son interrupciones de linux.

Un saludo.


Título: Re: descifrar payload
Publicado por: MCKSys Argentina en 4 Julio 2019, 03:05
Es codigo ASM:

Código
  1.  
  2. 10031000 | 68 3B393B39                   | push 393B393B
  3. 10031005 | 68 025A0216                   | push 16025A02
  4. 1003100A | 68 0C5F2045                   | push 45205F0C
  5. 1003100F | 68 5B525243                   | push 4352525B
  6. 10031014 | 68 0E444455                   | push 5544440E
  7. 10031019 | 68 1F545E5A                   | push 5A5E541F
  8. 1003101E | 68 57054554                   | push 54450557
  9. 10031023 | 68 5E554277                   | push 7742555E
  10. 10031028 | 68 45580B5D                   | push 5D0B5845
  11. 1003102D | 68 5C56585B                   | push 5B58565C
  12. 10031032 | 89E6                          | mov esi,esp  
  13. 10031034 | 89E7                          | mov edi,esp  
  14. 10031036 | 31C0                          | xor eax,eax  
  15. 10031038 | 31DB                          | xor ebx,ebx  
  16. 1003103A | 31C9                          | xor ecx,ecx  
  17. 1003103C | 31D2                          | xor edx,edx  
  18. 1003103E | 04 04                         | add al,4    
  19. 10031040 | 80C3 01                       | add bl,1    
  20. 10031043 | B2 28                         | mov dl,28    
  21. 10031045 | 01D7                          | add edi,edx  
  22. 10031047 | 90                            | nop          
  23. 10031048 | 90                            | nop          
  24. 10031049 | 90                            | nop          
  25. 1003104A | EB 44                         | jmp 10031090
  26. 1003104C | 59                            | ascii Y      
  27. 1003104D | 6F                            | ascii o      
  28. 1003104E | 75                            | ascii u      
  29. 1003104F | 20                            | ascii        
  30. 10031050 | 61                            | ascii a      
  31. 10031051 | 72                            | ascii r      
  32. 10031052 | 65                            | ascii e      
  33. 10031053 | 20                            | ascii        
  34. 10031054 | 67                            | ascii g      
  35. 10031055 | 65                            | ascii e      
  36. 10031056 | 74                            | ascii t      
  37. 10031057 | 74                            | ascii t      
  38. 10031058 | 69                            | ascii i      
  39. 10031059 | 6E                            | ascii n      
  40. 1003105A | 67                            | ascii g      
  41. 1003105B | 20                            | ascii        
  42. 1003105C | 63                            | ascii c      
  43. 1003105D | 6C                            | ascii l      
  44. 1003105E | 6F                            | ascii o      
  45. 1003105F | 73                            | ascii s      
  46. 10031060 | 65                            | ascii e      
  47. 10031061 | 72                            | ascii r      
  48. 10031062 | 2C                            | ascii ,      
  49. 10031063 | 20                            | ascii        
  50. 10031064 | 62                            | ascii b      
  51. 10031065 | 75                            | ascii u      
  52. 10031066 | 74                            | ascii t      
  53. 10031067 | 20                            | ascii        
  54. 10031068 | 6E                            | ascii n      
  55. 10031069 | 6F                            | ascii o      
  56. 1003106A | 74                            | ascii t      
  57. 1003106B | 20                            | ascii        
  58. 1003106C | 74                            | ascii t      
  59. 1003106D | 68                            | ascii h      
  60. 1003106E | 65                            | ascii e      
  61. 1003106F | 72                            | ascii r      
  62. 10031070 | 65                            | ascii e      
  63. 10031071 | 20                            | ascii        
  64. 10031072 | 79                            | ascii y      
  65. 10031073 | 65                            | ascii e      
  66. 10031074 | 74                            | ascii t      
  67. 10031075 | 2E                            | ascii .      
  68. 10031076 | 2E                            | ascii .      
  69. 10031077 | 2E                            | ascii .      
  70. 10031078 | 20                            | ascii        
  71. 10031079 | 46                            | ascii F      
  72. 1003107A | 32                            | ascii 2      
  73. 1003107B | 54                            | ascii T      
  74. 1003107C | 43                            | ascii C      
  75. 1003107D | 20                            | ascii        
  76. 1003107E | 69                            | ascii i      
  77. 1003107F | 73                            | ascii s      
  78. 10031080 | 20                            | ascii        
  79. 10031081 | 77                            | ascii w      
  80. 10031082 | 61                            | ascii a      
  81. 10031083 | 74                            | ascii t      
  82. 10031084 | 63                            | ascii c      
  83. 10031085 | 68                            | ascii h      
  84. 10031086 | 69                            | ascii i      
  85. 10031087 | 6E                            | ascii n      
  86. 10031088 | 67                            | ascii g      
  87. 10031089 | 20                            | ascii        
  88. 1003108A | 79                            | ascii y      
  89. 1003108B | 6F                            | ascii o      
  90. 1003108C | 75                            | ascii u      
  91. 1003108D | 21                            | ascii !      
  92. 1003108E | 21                            | ascii !      
  93. 1003108F | 0A                            | ascii \n    
  94. 10031090 | B9 4C202020                   | mov ecx,2020204C
  95. 10031095 | B2 44                         | mov dl,44    
  96. 10031097 | CD 80                         | int 80      
  97. 10031099 | EB 9B                         | jmp 10031036
  98. 1003109B | 90                            | nop          
  99. 1003109C | 90                            | nop          
  100. 1003109D | 90                            | nop          
  101. 1003109E | 8136 31373137                 | xor dword ptr ds:[esi],37313731
  102. 100310A4 | 83C6 04                       | add esi,4    
  103. 100310A7 | FEC1                          | inc cl      
  104. 100310A9 | 83F9 0A                       | cmp ecx,A    
  105. 100310AC | 75 F0                         | jne 1003109E
  106. 100310AE | 89E1                          | mov ecx,esp  
  107. 100310B0 | CD 80                         | int 80      
  108. 100310B2 | EB 82                         | jmp 10031036
  109. 100310B4 | 89D8                          | mov eax,ebx  
  110. 100310B6 | CD 80                         | int 80      
  111.  

Al menos, es lo que sale de pegar el codigo en el debugger...  :P

Saludos!


Título: Re: descifrar payload
Publicado por: cpu2 en 4 Julio 2019, 14:05
Hola, si tenia toda la pinta, pasa que estaba con el cel y no podia usar nada, como ahora, luego en el pc la miro, todos esos push son una cadena cifrada por el xor de abajo, es lo que pinta.

Saludos.


Título: Re: descifrar payload
Publicado por: cpu2 en 4 Julio 2019, 23:23
Hola, la cadena de push en ascii:

Citar
0x0e0x0a0x0e0x0a !3m3 rh= tcej bus? moc. ct2f @sbo j:ot liam

Ese es el resultado de la rutina del xor, ahora las jump no lo tengo muy claro y el mov a ecx.

No se si tiene alguna funcion oculta, pero cual es la finalidad de este reto? Hay que llegar alguna parte?

Saludos.

P.D: Perdon por poner la cadenaal reves  :P, hay se puede ver un mail..

Citar
mailto:jobs@f2tc.com


Título: Re: descifrar payload
Publicado por: WHK en 5 Julio 2019, 05:46
Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD

Muchas gracias por la ayuda cpu2 y MCKSys :) se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD