API tools faq
paste
Advertisement
Guest User

Solución al mini reto XOR IT (by @nonroot)

a guest
Jan 21st, 2013
315
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 2.42 KB | None | 0 0
raw download clone embed print report
  1. Saludos
  2.  
  3. A continuacion el proceso de solucion del reto.
  4.  
  5. Inicialmente descargué el archivo "Shellcoding_Presentation.pdf" usando el link:
  6. http://www.sendspace.com/file/q52mam
  7.  
  8. El archivo parecia ser un PDF pero estaba mal codificado. Como la primera pista era que habia que hacer un XOR, tome el los primeros caracteres del archivo: V#75 y tome los primeros mismos caracteres de un PDF normal: %PDF
  9.  
  10. Cada caracter en hexadecimal lo transforme a binario, y cada uno de los 8 bits independientes le hice XOR con cada uno de los 8 bits de la cadena %PDF. Ahora agrupé cada 8 bits de la cadena resultante en binario para ver que byte era. El resultado fue el hexadecimal 73 que en decimal es el 115. El caracter ascii del 115 es la letra 's'.
  11.  
  12. Ahora el siguiente paso fue realizar el mismo procedimiento de XOR con el archivo descargado y la letra 's'. Al hacerlo, el archivo resultante ya era un PDF y se podia abrir. Por otro lado, en internet busque el archivo "Shellcoding_Presentation.pdf" original, el cual comparé con el PDF generado por el XOR. La unica diferencia que encontre entre los dos archivos es la siguiente cadena:
  13.  
  14. é.H1ÀH1ÿH1ÒH H Ç ^H Âì H1ÀH <H1ÿ èÍÿÿÿ|h.l$.L.d$.H..l.%...L.l$.L.t$.l.|$.h.\\\\$.h..a..i..h...i..|[email protected].\\\\$.H.L$|h.L$.l.d$.h..L.%...l.l$.L.t$.l.|$.h.\\\\$.h..a..I..h...I..|[email protected].\\\\$.H.L$|h.l$.l.d$.H..l.%...l.l$.L|h.l$.L.d$.H..l.%...L.l$.L.t$.l.|$.h.\\\\$.h..a..i..h...i..|[email protected].\\\\$.H.L$|h.L$.l.d$.h..L.%...l.l$.L.t$.l.|$.h.\\\\$.h..a..I..h...I..|[email protected].\\\\$.H.L$|h.l$.l.d$.H..l.%...l.l$.L
  15.  
  16. Esta cadena no estaba continua, sino que estaba distribuida a lo largo de todo el archivo.
  17.  
  18. Tomando otro camino, encontre una diferencia visual en los dos PDF que eran casi iguales, pero en la imagen de fondo de cada slide habia una seccion que se veia diferente. Tome cada slide y le hice un proceso de busqueda de esteganografia a cada imagen, pero no encontre nada.
  19.  
  20. La siguiente pista era un shellcode en Linux 64, pero no tenia esa maquina disponible en el momento. No encontre como hacer el proceso de extraccion del shellcode, el cual presumo que contiene la clave o un link para obtenerla.
  21.  
  22. Hasta aqui logré llegar. Adjunto los archivos generados en el proceso. Por cierto, el proceso de conversion del PDF lo hice en PHP :)
  23.  
  24. Muchas gracias!
  25.  
  26. Cordialmente,
  27.  
  28. Ricardo Suarez
  29. @XKORPION
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!