Buenos días estoy haciendo este ejercicio de hacking de INCIBE y no me funciona este código:
for clave in $(cat passwords.txt); do echo $clave; unzip -P $clave 1178.zip; done
Título:
Academia Hacker INCIBE
Acceso FTP
Dificultad: Fácil
Categoría de Reto: Forense

Este es el contexto:
CONTEXTO
Habláis con el director del instituto y os permite acceder al contenido del disco. Al entrar encontráis un pcap.
¿Qué es un pcap? os preguntáis. No lo sabemos, pero habrá que investigar.
Flag: ftp_stream_pcap_with_credentials!
Datos Proporcionados:
 Archivo .pcap

DESCRIPCIÓN PARA PARTICIPANTES
Parece que alguien desde una cuenta anónima está intentado ayudar en la investigación y os ha enviado otro fichero pcap. Lo ha capturado desde alguna clase de informática que se dio en el instituto.
Pregunta:
Hay varias tramas que se corresponden a una subida FTP. Nos piden encontrar el contenido de lo que se ha
Descargado para proseguir en la investigación. Se trata de un fichero que se han descargado.


PISTAS
1. Utiliza Wireshark para abrir el fichero. Mira en Estadísticas->Jerarquía de Protocolo.
2. Filtra por consultas al “File Transfer Protocol” (FTP) y observa acciones realizadas.
3. Se han descargado dos ficheros: flag.zip y passwords.txt. Flag.zip está protegido con alguna de las contraseñas de passwords.txt.

COMANDOS QUE INTRODUZCO
strings evidencias.pcap //se ven las posibles claves
binwalk -e evidencias.pcap // consigo una carpeta con un .zip
unzip 1178.zip //(no sabes la clave, intento descomprimir pero no se clave
FALLO
for clave in $(cat passwords.txt); do echo $clave; unzip -P $clave 1178.zip; done
 //falla aquí cat:passwords.txt: No such file or directory sin embargo al abrir el fichero .pcap con whireshark si que menciona el parametro RETR passwords.txt y flag.zip
https://www.youtube.com/watch?v=D0KHJ-5eNvY&feature=youtu.be
¿Donde está el fallo en ese comando, por qué indica que el fichero passwords.txt? (en el video funciona perfecto)

Gracias por el anterior apunte para solucionar. El caso es que me paso algo raro que al escribir comando con -D no ejecutaba, por eso intenté de todo (con -d, etc). De repente el -D cambió de color en una prueba a azul y ahí funcionó.

Ahora me encuetro con otro problema estoy intentando volcar lo indicado en la zona 1700 pero cuando ejecuto no solo busca ahí sino en el resto de procesos también con lo cual se llena la memoria de disco con el volcado y no consigo volcar el contenido del 1700 que es lo referente a Acrobat reader

Este es el enunciado
He mirado el comando memdump -p y en principio debería de centrarse solo en esa referencia, no lo hace

Este es el enunciado:
El fichero objetivo fue abierto con Acrobat Reader, por lo que se tendrá que realizar un
volcado de dicho proceso.
Versión 2.6
# volatility --f “/path/to/file” --profile=Win7SP1x64 memdump –p 1700 –D “/path/to/dir”
Versión 3.0
# vol --f “/path/to/file” –o “/path/to/dir” windows.memmap –dump –pid <PID>
Una vez se haya terminado de generar el fichero, extraeremos la información mediante el
programa Foremost.

Está es mi ejecución:
(usuario㉿kali)-[~/Downloads/memoriaforenseok/02-Descargables]
└─$ volatility -f dump.mem --profile=Win7SP1x64 memdump –p 1700 -D /home/usuario/Desktop
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing System [     4] to 4.dmp
************************************************************************
Writing smss.exe [   260] to 260.dmp
************************************************************************
Writing csrss.exe [   344] to 344.dmp
...//muchas líneas .
...
...

Writing chrome.exe [  2872] to 2872.dmp
Traceback (most recent call last):
  File "vol.py", line 192, in <module>
  File "vol.py", line 183, in main
  File "volatility/commands.py", line 147, in execute
  File "volatility/plugins/taskmods.py", line 378, in render_text
IOError: [Errno 28] No space left on device
Failed to execute script vol


¿Alguna idea?
He ampliado capacidad de disco, pero no es suficiente ...

en principio debería ir directamente a por el 1700 y volcarlo,

Buenas tardes. Estoy haciendo este ejercicio de forense memoria enseño enunciado en fuente negra y y hasta donde llega mi prueba fallida en rojo: (llego hast aese comando)

Los participantes deberán analizar la memoria RAM. Para ello, se propone la herramienta
Volatility.
Primero se determina qué perfil se debe utilizar para examinar el volcado de memoria con
mejor criterio.
Versión 2.6
# volatility –f “/path/to/file” imageinfo
Versión 3.0
# vol –f “/path/to/file” windows.info
La imagen anterior nos muestra que el sistema operativo del cual se hizo el dump de
memoria es Windows 7. Este dato será utilizado en los siguientes comandos.
El siguiente paso será listar los procesos abiertos.
Versión 2.6
# volatility --f “/path/to/file” --profile=Win7SP1x64 pslist
Versión 3.0
# vol –f “/path/to/file” windows.pslist
.
Página 6 de 8El fichero objetivo fue abierto con Acrobat Reader, por lo que se tendrá que realizar un
volcado de dicho proceso.
Versión 2.6
# volatility --f “/path/to/file” --profile=Win7SP1x64 memdump –p 1700 –D “/path/to/dir”

me sale esto
──(usuario㉿kali)-[~/Downloads/memoriaforenseok/02-Descargables]
└─$ volatility -f dump.mem --profile=Win7SP1x64 memdump –p 1700 –d /home/usuario/Desktop
Volatility Foundation Volatility Framework 2.6
ERROR   : volatility.debug    : Please specify a dump directory (--dump-dir)
¿Por qué pide directorio cuando ya le indico uno que existe?

Versión 3.0
# vol --f “/path/to/file” –o “/path/to/dir” windows.memmap –dump –pid <PID>
Una vez se haya terminado de generar el fichero, extraeremos la información mediante el
programa Foremost.
Se generará un fichero “output” que contiene los ficheros recuperados.
Nota: Puede ser que necesites acceder a la carpeta generada desde superoot # sudo su
.
Página 7 de 8En la carpeta: “output/pdf” se encuentran el fichero que contiene la flag.

Gracias por la ayuda a todos.

Buenos días. Estoy intentando decodificar esto para un ejercicio básico de cyberseguridad.  Este es el mensaje:
59556843656d517a545764684d3035355a4735425a317074526e526a626d646e57544a61633249794e476461534842785a55644e5a316b7a566a42615630316e596c684f4d5751795a32646156315a6f5a4668765a325674536e4e684d6e4e6e576d3543626d4e595157645a57454a74576a4a6e5a32517962486c684d30316e596c6857613246755a32645a5748426f597a4e725a316c59516d356957456c6e59556477626c6c745557646c57484278595663775a324e496144466b6257396e5a56646f64574a745a326469563342785930646a5a32466e5054303d
Tengo que conseguir esto:
hpsws ksrvp famrx cflon dzjxc cutec msuwh eeauz zblkk fpgqp apfgh wirks mudjx azasy apgmr hjgbd yzjim pxuvj yhnnh mjjpg j
Este es el enunciado
"Para poder resolver el reto debemos con los datos proporcionados el primer paso es conocer el texto cifrado que se ha codificado como paso previo en hexadecimal y base64.
Mediante consulta online podemos decodificarlo de forma automática."
pd: no consigo herramientas que decodifiquem hexadeciaml y base 64 a la vez y cuando lo hago por separado cada descifre no consigo ese resultado.
¿Sabríais como?