SHARE
TWEET

Untitled

a guest May 2nd, 2014 820 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. <Prestin32k> Query?
  2. <M> :) dit dus
  3. <Prestin32k> Ah, private :p
  4. <M> Wat heb je al?
  5. <Prestin32k> Ehm..
  6. <Prestin32k> Ja ik dacht dus eerst dat ik alle files moest recoveren, heb er met PhotoRec 600+ files recovered, maar hier heb je dus vrij weinig aan :p
  7. <M> Klopt, zo was ik ook begonnen
  8. <Prestin32k> Toen ben ik gaan zoeken naar hex signatures van databases, xls files, word, etc..
  9. <Prestin32k> Omdat ze specifiek vragen naar een database gerelateerd bestand
  10. <M> Slim, maar daarin ga je het niet vinden
  11. <Prestin32k> Maar hier kwam ik eigenlijk ook geen stap verder mee :p
  12. <M> Tip 1, gebruik "Strings" om de image te extracten. Je gaat dan van 10Gb naar 60Mb
  13. <Prestin32k> Dus toen ben ik wat rond gaan DMen of misschien iemand een tip had voor me, kwam er 1 tip die zei "HxD" en "LOG", hex editor en een log bestand dus :p
  14. <M> dat zoekt al wat fijner en sneller
  15. <Prestin32k> Ah, dit kan binnen een Hex editor?
  16. <M> strings is een linux commando
  17. <Prestin32k> Oke, zal hier wel even naar kijken
  18. <M> tip 2 begin te zoeken bij een hostname die je in lvl5 vind
  19. <Prestin32k> Dan krijg ik neem ik aan alle 'pure data' om even te zoeken?
  20. <Prestin32k> Want al die 0's in de image, is onzin toch?
  21. <M> idd, en als je dan wat vind kan je soms verder zoeken in de hex
  22. <M> klopt
  23. <M> tip 3, bedenk alvast wel bekende encryptie methoden er zijn
  24. <M> wel = welke
  25. <Prestin32k> Oke, ik ga nu eerst alle strings uit de image halen in Linux, vervolgens de hostname van level 5 hierin opzoeken en hierna kijken naar encryptiemethodes
  26. <M> top, en als je 1 en 2 hebt gedaan moet je maar een gil geven (ook als iets niet lukt)
  27. <Prestin32k> Yes, zal ik zeker doen
  28. <Prestin32k> Bedankt alvast!
  29. <M> heb je toevallig tactisch al gedaan?
  30. <Prestin32k> Nee, die was ik van plan hierna te gaan doen :p
  31. <M> oke, daar ga ik zo aan beginnen
  32. <Prestin32k> Alleen dit level hang ik echt al dagen op :p
  33. <Prestin32k> En nu gewoon puur uit nieuwsgierigheid vraag ik het me af
  34. <M> ik ken het... ik 13 dagen
  35. <Prestin32k> Damn
  36. <Prestin32k> Haha
  37. <M> mogelijk zo simultaan tactisch doen
  38. <Prestin32k> Ja sure, al denk ik niet dat ik dit heel snel oplos hoor :p
  39. <M> :P oke lol
  40. <Prestin32k> Heb deze week vakantie, dacht los ik wel f op in 1 a 2 dagen
  41. <Prestin32k> Niet dus, het is nu vrijdag
  42. <M> heb je linux werken en snap je hoe strings werkt
  43. <Prestin32k> Ja linux heb ik draaiend, strings ook, alleen zoek de parameter voor de output file te specificeren
  44. <Prestin32k> string -f ~/Desktop/image_damaged_disk.img
  45. <Prestin32k> Dat gaat prima, maar hij saved niet
  46. <Prestin32k> strings*
  47. <M> > strings.txt
  48. <Prestin32k> strings -f ~/Desktop/image_damaged_disk.img > strings.txt?
  49. <M> dacht het wel
  50. <Prestin32k> k, f kijken wat die doet
  51. <Prestin32k> -t --radix={o,d,x}        Print the location of the string in base 8, 10 or 16
  52. <M> dat kan, hoeft niet
  53. <Prestin32k> Oke, die > string.txt werkt niet, hij runt niet eens
  54. <M> dat is apart, zou moeten werken
  55. <Prestin32k> Oh wacht, hij werkte wel denk ik
  56. <Prestin32k> 237 mb?
  57. <M> duurt even :)
  58. <M> kan kloppen
  59. <Prestin32k> Oke, dat is stap 1 :p
  60. <Prestin32k> Nu de hostname die je bij opdracht 5 vind
  61. <Prestin32k> Je bedoelt van die image?
  62. <M> ;)
  63. <M> en ga daar eens op zoeken in de txt
  64. <Prestin32k> Oke, eerst is f checken wat dat ook alweer was
  65. <M> :P lvl1, Saskia was toch op de IC geweest
  66. <Prestin32k> Ja
  67. <M> :P krijg nu dat het niet klopt
  68. <Prestin32k> Eh, zal is de excel sheet downloaden
  69. <Prestin32k> Saskia
  70. <Prestin32k>  Siwalette
  71. <Prestin32k> Saskia Siwalette
  72. <M> Lol, eerst was Sakia voldoende
  73. <M> hebben ze toch dingen aangepast
  74. <Prestin32k> Ah ik deet al meer voor en achternaam
  75. <Prestin32k> Zit nu weer in die VM image, die mail server
  76. <Prestin32k> Maar denk dat je de hostname bedoelt uit de mem dump, hoe je aan die passphrase komt
  77. <M> even uit mijn hoofd
  78. <M> mail.zegzv.be
  79. <Prestin32k> Ah
  80. <Prestin32k> -.-
  81. <Prestin32k> Dat is hem idd
  82. <Prestin32k> Pinging mail.zegzv.be [91.199.30.123] with 32 bytes of data
  83. <M> zoek in de txt naar mail.zegzv.be en je zal zien dat er "iets" gedraaid word
  84. <Prestin32k> Ah, kijk nu kom je wel bij wat leukere informatie :p
  85. <Prestin32k> Ye
  86. <Prestin32k> Oke oke, nu nadenken over encryptie?
  87. <M> over welk bestand hebben we het
  88. <Prestin32k> Ik denk dat we dat RAT.log bestand nodig hebben?
  89. <M> (Y)
  90. <M> maar rat.log kunnen we niet openen aangezien we de HD niet konden herstellen
  91. <Prestin32k> Moet je die nu dmv een hexeditor hier uit kopieren? Totaal geen ervaring op dit vlak :p
  92. <Prestin32k> Ah
  93. <M> maar misschien kan je wel vinden dat Rat gestart is
  94. <Prestin32k> Hij wordt geinfecteerd via de mail, denk ik..
  95. <M> jep, maar dan moet er ook staan dat de exe wordt gedraaid
  96. <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
  97. <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
  98. <Prestin32k> ah, zijn identiek, ze staan er 2x in
  99. <M> daar heb ik ook lang op gezocht maar die zijn het niet :)
  100. <M> rat gestart alleen dan op zijn engels
  101. <Prestin32k> :2014040420140405: Steven@file:///C:/cygwin64/home/Steven/rat.exe.base64
  102. <Prestin32k> Deze vind ik ook behoorlijk verdacht
  103. <Prestin32k> :P
  104. <M> snap ik, het is althans geen base64 encrypti
  105. <M> e
  106. <Prestin32k> Ah, wist nieteens dat dat encryptie betekende
  107. <Prestin32k> Denk dat ik hem heb :p
  108. <M> vertel
  109. <Prestin32k> http://mail.zegzv.be/getcmd.html
  110. <Prestin32k> QCSec's evil RAT :]
  111. <Prestin32k> RAT.log
  112. <Prestin32k> RAT started
  113. <M> :)
  114. <Prestin32k> answer.php
  115. <M> Wat zie je NA rat started staan? (hij staat er 2x in)
  116. <M> die heb je niet nodig
  117. <Prestin32k> Ehmm
  118. <Prestin32k> Hele waslijst met ++++++++++
  119. <M> :) dan zit je goed, wat zie je tussen de +++++
  120. <Prestin32k> 2 relatief kleine stukjes met eh.. "n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %" zooi imo
  121. <M> zou dat encryptie kunnen zijn :)
  122. <Prestin32k> Ik heb werkelijk geen idee man, het is dat jij me hier doorheen loodst
  123. <M> zoek maar op een encryptie die begint met een X
  124. <Prestin32k> Ik ga er nu van uit, dat het encryptie is :P
  125. <Prestin32k> Waar je zie je dat die begint met een X?
  126. <Prestin32k> HJ[/g{{
  127. <Prestin32k> Dat is de eerste line
  128. <M> sorry, ik bedoelde een encryptie methode die begint met een X
  129. <Prestin32k> Eh, je bedoelt +?
  130. <Prestin32k> of echt X
  131. <M> MD5 is een encryptie methode
  132. <M> maar die begint niet met een X
  133. <Prestin32k> Oke maar ik begrijp niet zo goed hoe je aan die code kan aflezen dat het begint met een X?
  134. <Prestin32k> Of uberhaupt een encryptie is :P
  135. <Prestin32k> Of is dat ervaring?
  136. <M> het zijn rare tekens, dat is vaak encryptie
  137. <M> zal je nog een beetje opweg helpen
  138. <M> http://en.wikipedia.org/wiki/XOR_cipher
  139. <Prestin32k> Oke, eh ik ben nu aan t zoeken naar XOR cipher decryption tools
  140. <Prestin32k> Dan neem ik aan dat de encryption in XOR is
  141. <M> :)
  142. <Prestin32k> Het lijkt erop dat bij elke tool je nog een soort password moet meegeven of iets?
  143. <Prestin32k> http://www.abcel-online.com/tools.php?id=decrypt
  144. <M> Klopt,... en bij sommige kan je er een deel van opgeven
  145. <Prestin32k> Maar dat password heb je op dit moment toch nog niet?
  146. <M> je moet dan de vraag erbij pakken en je afvragen wat je zoekt
  147. <Prestin32k> Oh wacht, ben je daar hier al mee bezig?
  148. <Prestin32k> Ik dacht dat je nu nog steeds bezig was om de file te recoveren die Boris heeft aangepast
  149. <Prestin32k> Maar dat is het dus niet? Je bent nu al bezig om uit te pluizen welke databasetabel Boris manipuleerde
  150. <M> juist
  151. <Prestin32k> Ah wtf
  152. <M> klinkt als er een lampje gaat branden
  153. <Prestin32k> Ja niet echt een openbaring van: oh nu weet ik het :p
  154. <Prestin32k> Maar meer van wat ik nu eigenlijk aan t doen ben
  155. <Prestin32k> Dan als ik zo snel denk.. zou misschien van die 2 stukjes code
  156. <Prestin32k> Tussen die ++++++++++++++
  157. <M> http://www.kahusecurity.com/2014/exploring-xor-decryption-methods/
  158. <Prestin32k> 1 het databaseveld zijn en 1 de tabel?
  159. <Prestin32k> Of veldnaam en tabelnaam?
  160. <Prestin32k> Of is dat weer te simpel gedacht xd
  161. <M> het is iets complexer
  162. <Prestin32k> Damn, zit dat stukje te lezen is best ingewikkeld
  163. <Prestin32k> Hoe heb jij dit allemaal kunnen oplossen, ben je werkzaam in deze branche?
  164. <M> Nope
  165. <M> wat voor werk doe jij dan?
  166. <Prestin32k> Niet, zit op school
  167. <M> oke, en wil je wel solliciteren?
  168. <Prestin32k> HBO informatica, wil aankomend jaar Forensisch kiezen
  169. <Prestin32k> Oh nee hoor, puur als uitdaging
  170. <Prestin32k> Jij we?
  171. <Prestin32k> l
  172. <M> denk het niet
  173. <Prestin32k> Wat voor werk doe je nu?
  174. <M> :P autopoetsen, even een tussenbaantje
  175. <Prestin32k> Wtf en je lost dit op?
  176. <Prestin32k> -.-
  177. <Prestin32k> Ik kom er btw serieus niet uit, zou je misschien NOG een hint kunnen geven
  178. <Prestin32k> Haha
  179. <M> heb je het programmatje gedownload?
  180. <Prestin32k> Nee, staan er nog al wat
  181. <M> converter heb je nodig
  182. <Prestin32k> Yes, die heb ik nu
  183. <M> en daar zit een tooltje in die ook in de handleiding staat
  184. <Prestin32k> Ja, heb ik
  185. <Prestin32k> Dan de text importen?
  186. <M> wat voor keys heb je geprobeerd
  187. <Prestin32k> Oh geen 1 nog
  188. <Prestin32k> Bij input gooi ik de encrypted text?
  189. <M> jep
  190. <Prestin32k> OK
  191. <Prestin32k> Dan.. een password inveoren?
  192. <Prestin32k> Of key w/e
  193. <M> password/key is een beetje een vage beschrijving
  194. <Prestin32k> Ehm.. wat zal ik eens doen
  195. <Prestin32k> Hoe kom je hier op?
  196. <M> ;) wat zoek je precies
  197. <M> (lees de vraag)
  198. <Prestin32k> Ik zoek een veld in een databasetabel :P
  199. <M> field en table zouden wel goede woorden zijn
  200. <Prestin32k> Weet niet of het aan mij ligt, maar als ik op convert druk krijg ik nog steeds een output met allemaal zooi
  201. <Prestin32k> Kan het ook niet copy pasten, want hij pakt het niet hier in hexchat
  202. <M> dat kan, en heb je alle rare tekens geprobeerd
  203. <Prestin32k> Hoe bedoel je?
  204. <M> die rare tekst staat er 4x in ofzo, allemaal iets anders
  205. <Prestin32k> http://pastebin.com/GzGSizsa
  206. <Prestin32k> dit import ik
  207. <Prestin32k> http://pastebin.com/WWberhVm
  208. <Prestin32k> Dit is de output met key 'table'
  209. <M> Probeer eens elke keer een blok
  210. <M> HJ[/g{{
  211. <M> 5  bjkfln{fj|v|{jjb!fa{}naj{
  212. <M> nhj!
  213. <M> 0fk2?(*=?zaf`a*=?ncc*=?|jcjl{*=?
  214. <M> n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %
  215. <Prestin32k> <>/[y~ATTUy~Uy~DFK\^IK^IK^IK^IKy~$WWWJWJW^IK^IK$TQ
  216. <M> kan je een printscreen maken
  217. <Prestin32k> sure
  218. <Prestin32k> http://imgur.com/H5GqKGF
  219. <M> match string die moet je invullen
  220. <M> en key dan leeg (:$ foutje van mij)
  221. <Prestin32k> ah
  222. <Prestin32k> Haha
  223. <Prestin32k> Maar dat vind die weer niet goed, meot een key meegeven
  224. <Prestin32k> The input and/or key is missing. Please check blabla
  225. <M> je gebruikt de verkeerde input text
  226. <M> het moet een andere zijn
  227. <M> en matchstring = table
  228. <Prestin32k> Eh ik kan hem niet converten zonder key?
  229. <M> druk op search ;)
  230. <Prestin32k> Ah, ffs :p
  231. <Prestin32k> Nothing found.
  232. <Prestin32k> xd
  233. <M> blijf proberen, bij 1tje word wat gevonden
  234. <Prestin32k> Oke
  235. <Prestin32k> Hex key found:  15 (0xF)
  236. <Prestin32k> Wow
  237. <M> :D
  238. <Prestin32k> GET httmedicatiesysteem.intranet/login.?username=x'%20and%201=0;%20udate%20table%20medicatie_db%20set%20dosis=10000%20where%20middel=kalium%20and%20atient_bsn=157280898/*&assword=bla
  239. <Prestin32k> tabelnaam medicatie_db
  240. <Prestin32k> veldnaam die boris manipuleerde = dosis?
  241. <Prestin32k> ........
  242. <Prestin32k> fucking hell
  243. <Prestin32k> Echt super bedankt man, serieus..
  244. <M> :D
  245. <M> meteen doorgaan naar tactisch?
  246. <M> was al een beetje begonnen
  247. <Prestin32k> Tof dat je de tijd wilde nemen
  248. <Prestin32k> Ja ik ga eerst f een bakkie thee maken :P
  249. <Prestin32k> Brb
  250. <M> hahah groot gelijk
  251. <Prestin32k> Oke, f nieuw accountje aangemaakt
  252. <M> klopt
  253. <Prestin32k> Duurt iets langer, vrienden van me willen graag dat ik vertel en tips geef over level 7 haha
  254. <M> hahahah oke
  255. <Prestin32k> Heb hun de laatste tijd gespammt met dat ze moeten helpen :P
  256. <Prestin32k> Zijn nu ook super benieuwd
  257. <M> Hebben die toevallig tactisch al gedaan?
  258. <Prestin32k> Nee volgens mij niet
  259. <Prestin32k> We zijn allemaal informatica pikkies, dus puur digitaal
  260. <M> oke
  261. <Prestin32k> Wat was die naam van dat wijf, Saskia Siwalette of iets?
  262. <M> klopt
  263. <M> Saskia Siwalette
  264. <Prestin32k> Ehm, vraag 2 is ook nog hetzelfde?
  265. <M> jep
  266. <Prestin32k> Dit was iets van de ei-kantine?
  267. <Prestin32k> Als ik me goed herriner
  268. <M> Ij
  269. <Prestin32k> Ehm, die betalingen?
  270. <Prestin32k> P. Nowak?
  271. <M> klopt
  272. <M> P. NOWAK
  273. <M> Stationsplein 22
  274. <M> 2405 BK  
  275. <M> ALPHEN AAN DEN RIJN
  276. <Prestin32k> Alright, level 4 :p
  277. <Prestin32k> Ben je hier ook?
  278. <M> Top
  279. <M> ondertussen 5
  280. <M> maar probeer het eerst zelf :)
  281. <Prestin32k> Ye, sure
  282. <M> en al wat gevonden
  283. <Prestin32k> Zit te luisteren
  284. <Prestin32k> Maar ik neem aan dat ze naar Boris op zoek zijn?
  285. <M> kijk ook even naar de nummers
  286. <Prestin32k> Ben nu op de helft van de telefoon fragmente
  287. <Prestin32k> n
  288. <M> oke, soms is achteraan beginnnen sneller :)
  289. <Prestin32k> Oke :p, vind het eigenlijk best grappig om die fragmenten te luisteren
  290. <Prestin32k> Slap gelul haha
  291. <M> haah true
  292. <Prestin32k> Oke, 5 :P
  293. <Prestin32k> Zo, riante lijst zeg
  294. <M> :D
  295. <M> :P 6 is bijna hetzelfde maar daar zoek ik nog
  296. <M> Wil je een hint
  297. <Prestin32k> Nou wilde het echt net gaan vragen
  298. <Prestin32k> Hebben we iets van een datum of tijd gekregen?
  299. <M> je moet kijken bij de gegevens van de beller, alles is hetzelfde op 1 getal na
RAW Paste Data
Top