API tools faq
paste
Guest User

Untitled

a guest
May 2nd, 2014
1,509
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 13.00 KB | None | 0 0
raw download clone embed print report
  1. <Prestin32k> Query?
  2. <M> :) dit dus
  3. <Prestin32k> Ah, private :p
  4. <M> Wat heb je al?
  5. <Prestin32k> Ehm..
  6. <Prestin32k> Ja ik dacht dus eerst dat ik alle files moest recoveren, heb er met PhotoRec 600+ files recovered, maar hier heb je dus vrij weinig aan :p
  7. <M> Klopt, zo was ik ook begonnen
  8. <Prestin32k> Toen ben ik gaan zoeken naar hex signatures van databases, xls files, word, etc..
  9. <Prestin32k> Omdat ze specifiek vragen naar een database gerelateerd bestand
  10. <M> Slim, maar daarin ga je het niet vinden
  11. <Prestin32k> Maar hier kwam ik eigenlijk ook geen stap verder mee :p
  12. <M> Tip 1, gebruik "Strings" om de image te extracten. Je gaat dan van 10Gb naar 60Mb
  13. <Prestin32k> Dus toen ben ik wat rond gaan DMen of misschien iemand een tip had voor me, kwam er 1 tip die zei "HxD" en "LOG", hex editor en een log bestand dus :p
  14. <M> dat zoekt al wat fijner en sneller
  15. <Prestin32k> Ah, dit kan binnen een Hex editor?
  16. <M> strings is een linux commando
  17. <Prestin32k> Oke, zal hier wel even naar kijken
  18. <M> tip 2 begin te zoeken bij een hostname die je in lvl5 vind
  19. <Prestin32k> Dan krijg ik neem ik aan alle 'pure data' om even te zoeken?
  20. <Prestin32k> Want al die 0's in de image, is onzin toch?
  21. <M> idd, en als je dan wat vind kan je soms verder zoeken in de hex
  22. <M> klopt
  23. <M> tip 3, bedenk alvast wel bekende encryptie methoden er zijn
  24. <M> wel = welke
  25. <Prestin32k> Oke, ik ga nu eerst alle strings uit de image halen in Linux, vervolgens de hostname van level 5 hierin opzoeken en hierna kijken naar encryptiemethodes
  26. <M> top, en als je 1 en 2 hebt gedaan moet je maar een gil geven (ook als iets niet lukt)
  27. <Prestin32k> Yes, zal ik zeker doen
  28. <Prestin32k> Bedankt alvast!
  29. <M> heb je toevallig tactisch al gedaan?
  30. <Prestin32k> Nee, die was ik van plan hierna te gaan doen :p
  31. <M> oke, daar ga ik zo aan beginnen
  32. <Prestin32k> Alleen dit level hang ik echt al dagen op :p
  33. <Prestin32k> En nu gewoon puur uit nieuwsgierigheid vraag ik het me af
  34. <M> ik ken het... ik 13 dagen
  35. <Prestin32k> Damn
  36. <Prestin32k> Haha
  37. <M> mogelijk zo simultaan tactisch doen
  38. <Prestin32k> Ja sure, al denk ik niet dat ik dit heel snel oplos hoor :p
  39. <M> :P oke lol
  40. <Prestin32k> Heb deze week vakantie, dacht los ik wel f op in 1 a 2 dagen
  41. <Prestin32k> Niet dus, het is nu vrijdag
  42. <M> heb je linux werken en snap je hoe strings werkt
  43. <Prestin32k> Ja linux heb ik draaiend, strings ook, alleen zoek de parameter voor de output file te specificeren
  44. <Prestin32k> string -f ~/Desktop/image_damaged_disk.img
  45. <Prestin32k> Dat gaat prima, maar hij saved niet
  46. <Prestin32k> strings*
  47. <M> > strings.txt
  48. <Prestin32k> strings -f ~/Desktop/image_damaged_disk.img > strings.txt?
  49. <M> dacht het wel
  50. <Prestin32k> k, f kijken wat die doet
  51. <Prestin32k> -t --radix={o,d,x} Print the location of the string in base 8, 10 or 16
  52. <M> dat kan, hoeft niet
  53. <Prestin32k> Oke, die > string.txt werkt niet, hij runt niet eens
  54. <M> dat is apart, zou moeten werken
  55. <Prestin32k> Oh wacht, hij werkte wel denk ik
  56. <Prestin32k> 237 mb?
  57. <M> duurt even :)
  58. <M> kan kloppen
  59. <Prestin32k> Oke, dat is stap 1 :p
  60. <Prestin32k> Nu de hostname die je bij opdracht 5 vind
  61. <Prestin32k> Je bedoelt van die image?
  62. <M> ;)
  63. <M> en ga daar eens op zoeken in de txt
  64. <Prestin32k> Oke, eerst is f checken wat dat ook alweer was
  65. <M> :P lvl1, Saskia was toch op de IC geweest
  66. <Prestin32k> Ja
  67. <M> :P krijg nu dat het niet klopt
  68. <Prestin32k> Eh, zal is de excel sheet downloaden
  69. <Prestin32k> Saskia
  70. <Prestin32k> Siwalette
  71. <Prestin32k> Saskia Siwalette
  72. <M> Lol, eerst was Sakia voldoende
  73. <M> hebben ze toch dingen aangepast
  74. <Prestin32k> Ah ik deet al meer voor en achternaam
  75. <Prestin32k> Zit nu weer in die VM image, die mail server
  76. <Prestin32k> Maar denk dat je de hostname bedoelt uit de mem dump, hoe je aan die passphrase komt
  77. <M> even uit mijn hoofd
  78. <M> mail.zegzv.be
  79. <Prestin32k> Ah
  80. <Prestin32k> -.-
  81. <Prestin32k> Dat is hem idd
  82. <Prestin32k> Pinging mail.zegzv.be [91.199.30.123] with 32 bytes of data
  83. <M> zoek in de txt naar mail.zegzv.be en je zal zien dat er "iets" gedraaid word
  84. <Prestin32k> Ah, kijk nu kom je wel bij wat leukere informatie :p
  85. <Prestin32k> Ye
  86. <Prestin32k> Oke oke, nu nadenken over encryptie?
  87. <M> over welk bestand hebben we het
  88. <Prestin32k> Ik denk dat we dat RAT.log bestand nodig hebben?
  89. <M> (Y)
  90. <M> maar rat.log kunnen we niet openen aangezien we de HD niet konden herstellen
  91. <Prestin32k> Moet je die nu dmv een hexeditor hier uit kopieren? Totaal geen ervaring op dit vlak :p
  92. <Prestin32k> Ah
  93. <M> maar misschien kan je wel vinden dat Rat gestart is
  94. <Prestin32k> Hij wordt geinfecteerd via de mail, denk ik..
  95. <M> jep, maar dan moet er ook staan dat de exe wordt gedraaid
  96. <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
  97. <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
  98. <Prestin32k> ah, zijn identiek, ze staan er 2x in
  99. <M> daar heb ik ook lang op gezocht maar die zijn het niet :)
  100. <M> rat gestart alleen dan op zijn engels
  101. <Prestin32k> :2014040420140405: Steven@file:///C:/cygwin64/home/Steven/rat.exe.base64
  102. <Prestin32k> Deze vind ik ook behoorlijk verdacht
  103. <Prestin32k> :P
  104. <M> snap ik, het is althans geen base64 encrypti
  105. <M> e
  106. <Prestin32k> Ah, wist nieteens dat dat encryptie betekende
  107. <Prestin32k> Denk dat ik hem heb :p
  108. <M> vertel
  109. <Prestin32k> http://mail.zegzv.be/getcmd.html
  110. <Prestin32k> QCSec's evil RAT :]
  111. <Prestin32k> RAT.log
  112. <Prestin32k> RAT started
  113. <M> :)
  114. <Prestin32k> answer.php
  115. <M> Wat zie je NA rat started staan? (hij staat er 2x in)
  116. <M> die heb je niet nodig
  117. <Prestin32k> Ehmm
  118. <Prestin32k> Hele waslijst met ++++++++++
  119. <M> :) dan zit je goed, wat zie je tussen de +++++
  120. <Prestin32k> 2 relatief kleine stukjes met eh.. "n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %" zooi imo
  121. <M> zou dat encryptie kunnen zijn :)
  122. <Prestin32k> Ik heb werkelijk geen idee man, het is dat jij me hier doorheen loodst
  123. <M> zoek maar op een encryptie die begint met een X
  124. <Prestin32k> Ik ga er nu van uit, dat het encryptie is :P
  125. <Prestin32k> Waar je zie je dat die begint met een X?
  126. <Prestin32k> HJ[/g{{
  127. <Prestin32k> Dat is de eerste line
  128. <M> sorry, ik bedoelde een encryptie methode die begint met een X
  129. <Prestin32k> Eh, je bedoelt +?
  130. <Prestin32k> of echt X
  131. <M> MD5 is een encryptie methode
  132. <M> maar die begint niet met een X
  133. <Prestin32k> Oke maar ik begrijp niet zo goed hoe je aan die code kan aflezen dat het begint met een X?
  134. <Prestin32k> Of uberhaupt een encryptie is :P
  135. <Prestin32k> Of is dat ervaring?
  136. <M> het zijn rare tekens, dat is vaak encryptie
  137. <M> zal je nog een beetje opweg helpen
  138. <M> http://en.wikipedia.org/wiki/XOR_cipher
  139. <Prestin32k> Oke, eh ik ben nu aan t zoeken naar XOR cipher decryption tools
  140. <Prestin32k> Dan neem ik aan dat de encryption in XOR is
  141. <M> :)
  142. <Prestin32k> Het lijkt erop dat bij elke tool je nog een soort password moet meegeven of iets?
  143. <Prestin32k> http://www.abcel-online.com/tools.php?id=decrypt
  144. <M> Klopt,... en bij sommige kan je er een deel van opgeven
  145. <Prestin32k> Maar dat password heb je op dit moment toch nog niet?
  146. <M> je moet dan de vraag erbij pakken en je afvragen wat je zoekt
  147. <Prestin32k> Oh wacht, ben je daar hier al mee bezig?
  148. <Prestin32k> Ik dacht dat je nu nog steeds bezig was om de file te recoveren die Boris heeft aangepast
  149. <Prestin32k> Maar dat is het dus niet? Je bent nu al bezig om uit te pluizen welke databasetabel Boris manipuleerde
  150. <M> juist
  151. <Prestin32k> Ah wtf
  152. <M> klinkt als er een lampje gaat branden
  153. <Prestin32k> Ja niet echt een openbaring van: oh nu weet ik het :p
  154. <Prestin32k> Maar meer van wat ik nu eigenlijk aan t doen ben
  155. <Prestin32k> Dan als ik zo snel denk.. zou misschien van die 2 stukjes code
  156. <Prestin32k> Tussen die ++++++++++++++
  157. <M> http://www.kahusecurity.com/2014/exploring-xor-decryption-methods/
  158. <Prestin32k> 1 het databaseveld zijn en 1 de tabel?
  159. <Prestin32k> Of veldnaam en tabelnaam?
  160. <Prestin32k> Of is dat weer te simpel gedacht xd
  161. <M> het is iets complexer
  162. <Prestin32k> Damn, zit dat stukje te lezen is best ingewikkeld
  163. <Prestin32k> Hoe heb jij dit allemaal kunnen oplossen, ben je werkzaam in deze branche?
  164. <M> Nope
  165. <M> wat voor werk doe jij dan?
  166. <Prestin32k> Niet, zit op school
  167. <M> oke, en wil je wel solliciteren?
  168. <Prestin32k> HBO informatica, wil aankomend jaar Forensisch kiezen
  169. <Prestin32k> Oh nee hoor, puur als uitdaging
  170. <Prestin32k> Jij we?
  171. <Prestin32k> l
  172. <M> denk het niet
  173. <Prestin32k> Wat voor werk doe je nu?
  174. <M> :P autopoetsen, even een tussenbaantje
  175. <Prestin32k> Wtf en je lost dit op?
  176. <Prestin32k> -.-
  177. <Prestin32k> Ik kom er btw serieus niet uit, zou je misschien NOG een hint kunnen geven
  178. <Prestin32k> Haha
  179. <M> heb je het programmatje gedownload?
  180. <Prestin32k> Nee, staan er nog al wat
  181. <M> converter heb je nodig
  182. <Prestin32k> Yes, die heb ik nu
  183. <M> en daar zit een tooltje in die ook in de handleiding staat
  184. <Prestin32k> Ja, heb ik
  185. <Prestin32k> Dan de text importen?
  186. <M> wat voor keys heb je geprobeerd
  187. <Prestin32k> Oh geen 1 nog
  188. <Prestin32k> Bij input gooi ik de encrypted text?
  189. <M> jep
  190. <Prestin32k> OK
  191. <Prestin32k> Dan.. een password inveoren?
  192. <Prestin32k> Of key w/e
  193. <M> password/key is een beetje een vage beschrijving
  194. <Prestin32k> Ehm.. wat zal ik eens doen
  195. <Prestin32k> Hoe kom je hier op?
  196. <M> ;) wat zoek je precies
  197. <M> (lees de vraag)
  198. <Prestin32k> Ik zoek een veld in een databasetabel :P
  199. <M> field en table zouden wel goede woorden zijn
  200. <Prestin32k> Weet niet of het aan mij ligt, maar als ik op convert druk krijg ik nog steeds een output met allemaal zooi
  201. <Prestin32k> Kan het ook niet copy pasten, want hij pakt het niet hier in hexchat
  202. <M> dat kan, en heb je alle rare tekens geprobeerd
  203. <Prestin32k> Hoe bedoel je?
  204. <M> die rare tekst staat er 4x in ofzo, allemaal iets anders
  205. <Prestin32k> http://pastebin.com/GzGSizsa
  206. <Prestin32k> dit import ik
  207. <Prestin32k> http://pastebin.com/WWberhVm
  208. <Prestin32k> Dit is de output met key 'table'
  209. <M> Probeer eens elke keer een blok
  210. <M> HJ[/g{{
  211. <M> 5 bjkfln{fj|v|{jjb!fa{}naj{
  212. <M> nhj!
  213. <M> 0fk2?(*=?zaf`a*=?ncc*=?|jcjl{*=?
  214. <M> n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %
  215. <Prestin32k> <>/[y~ATTUy~Uy~DFK\^IK^IK^IK^IKy~$WWWJWJW^IK^IK$TQ
  216. <M> kan je een printscreen maken
  217. <Prestin32k> sure
  218. <Prestin32k> http://imgur.com/H5GqKGF
  219. <M> match string die moet je invullen
  220. <M> en key dan leeg (:$ foutje van mij)
  221. <Prestin32k> ah
  222. <Prestin32k> Haha
  223. <Prestin32k> Maar dat vind die weer niet goed, meot een key meegeven
  224. <Prestin32k> The input and/or key is missing. Please check blabla
  225. <M> je gebruikt de verkeerde input text
  226. <M> het moet een andere zijn
  227. <M> en matchstring = table
  228. <Prestin32k> Eh ik kan hem niet converten zonder key?
  229. <M> druk op search ;)
  230. <Prestin32k> Ah, ffs :p
  231. <Prestin32k> Nothing found.
  232. <Prestin32k> xd
  233. <M> blijf proberen, bij 1tje word wat gevonden
  234. <Prestin32k> Oke
  235. <Prestin32k> Hex key found: 15 (0xF)
  236. <Prestin32k> Wow
  237. <M> :D
  238. <Prestin32k> GET httmedicatiesysteem.intranet/login.?username=x'%20and%201=0;%20udate%20table%20medicatie_db%20set%20dosis=10000%20where%20middel=kalium%20and%20atient_bsn=157280898/*&assword=bla
  239. <Prestin32k> tabelnaam medicatie_db
  240. <Prestin32k> veldnaam die boris manipuleerde = dosis?
  241. <Prestin32k> ........
  242. <Prestin32k> fucking hell
  243. <Prestin32k> Echt super bedankt man, serieus..
  244. <M> :D
  245. <M> meteen doorgaan naar tactisch?
  246. <M> was al een beetje begonnen
  247. <Prestin32k> Tof dat je de tijd wilde nemen
  248. <Prestin32k> Ja ik ga eerst f een bakkie thee maken :P
  249. <Prestin32k> Brb
  250. <M> hahah groot gelijk
  251. <Prestin32k> Oke, f nieuw accountje aangemaakt
  252. <M> klopt
  253. <Prestin32k> Duurt iets langer, vrienden van me willen graag dat ik vertel en tips geef over level 7 haha
  254. <M> hahahah oke
  255. <Prestin32k> Heb hun de laatste tijd gespammt met dat ze moeten helpen :P
  256. <Prestin32k> Zijn nu ook super benieuwd
  257. <M> Hebben die toevallig tactisch al gedaan?
  258. <Prestin32k> Nee volgens mij niet
  259. <Prestin32k> We zijn allemaal informatica pikkies, dus puur digitaal
  260. <M> oke
  261. <Prestin32k> Wat was die naam van dat wijf, Saskia Siwalette of iets?
  262. <M> klopt
  263. <M> Saskia Siwalette
  264. <Prestin32k> Ehm, vraag 2 is ook nog hetzelfde?
  265. <M> jep
  266. <Prestin32k> Dit was iets van de ei-kantine?
  267. <Prestin32k> Als ik me goed herriner
  268. <M> Ij
  269. <Prestin32k> Ehm, die betalingen?
  270. <Prestin32k> P. Nowak?
  271. <M> klopt
  272. <M> P. NOWAK
  273. <M> Stationsplein 22
  274. <M> 2405 BK
  275. <M> ALPHEN AAN DEN RIJN
  276. <Prestin32k> Alright, level 4 :p
  277. <Prestin32k> Ben je hier ook?
  278. <M> Top
  279. <M> ondertussen 5
  280. <M> maar probeer het eerst zelf :)
  281. <Prestin32k> Ye, sure
  282. <M> en al wat gevonden
  283. <Prestin32k> Zit te luisteren
  284. <Prestin32k> Maar ik neem aan dat ze naar Boris op zoek zijn?
  285. <M> kijk ook even naar de nummers
  286. <Prestin32k> Ben nu op de helft van de telefoon fragmente
  287. <Prestin32k> n
  288. <M> oke, soms is achteraan beginnnen sneller :)
  289. <Prestin32k> Oke :p, vind het eigenlijk best grappig om die fragmenten te luisteren
  290. <Prestin32k> Slap gelul haha
  291. <M> haah true
  292. <Prestin32k> Oke, 5 :P
  293. <Prestin32k> Zo, riante lijst zeg
  294. <M> :D
  295. <M> :P 6 is bijna hetzelfde maar daar zoek ik nog
  296. <M> Wil je een hint
  297. <Prestin32k> Nou wilde het echt net gaan vragen
  298. <Prestin32k> Hebben we iets van een datum of tijd gekregen?
  299. <M> je moet kijken bij de gegevens van de beller, alles is hetzelfde op 1 getal na
Add Comment
Please, Sign In to add comment
Public Pastes
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!