Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- <Prestin32k> Query?
- <M> :) dit dus
- <Prestin32k> Ah, private :p
- <M> Wat heb je al?
- <Prestin32k> Ehm..
- <Prestin32k> Ja ik dacht dus eerst dat ik alle files moest recoveren, heb er met PhotoRec 600+ files recovered, maar hier heb je dus vrij weinig aan :p
- <M> Klopt, zo was ik ook begonnen
- <Prestin32k> Toen ben ik gaan zoeken naar hex signatures van databases, xls files, word, etc..
- <Prestin32k> Omdat ze specifiek vragen naar een database gerelateerd bestand
- <M> Slim, maar daarin ga je het niet vinden
- <Prestin32k> Maar hier kwam ik eigenlijk ook geen stap verder mee :p
- <M> Tip 1, gebruik "Strings" om de image te extracten. Je gaat dan van 10Gb naar 60Mb
- <Prestin32k> Dus toen ben ik wat rond gaan DMen of misschien iemand een tip had voor me, kwam er 1 tip die zei "HxD" en "LOG", hex editor en een log bestand dus :p
- <M> dat zoekt al wat fijner en sneller
- <Prestin32k> Ah, dit kan binnen een Hex editor?
- <M> strings is een linux commando
- <Prestin32k> Oke, zal hier wel even naar kijken
- <M> tip 2 begin te zoeken bij een hostname die je in lvl5 vind
- <Prestin32k> Dan krijg ik neem ik aan alle 'pure data' om even te zoeken?
- <Prestin32k> Want al die 0's in de image, is onzin toch?
- <M> idd, en als je dan wat vind kan je soms verder zoeken in de hex
- <M> klopt
- <M> tip 3, bedenk alvast wel bekende encryptie methoden er zijn
- <M> wel = welke
- <Prestin32k> Oke, ik ga nu eerst alle strings uit de image halen in Linux, vervolgens de hostname van level 5 hierin opzoeken en hierna kijken naar encryptiemethodes
- <M> top, en als je 1 en 2 hebt gedaan moet je maar een gil geven (ook als iets niet lukt)
- <Prestin32k> Yes, zal ik zeker doen
- <Prestin32k> Bedankt alvast!
- <M> heb je toevallig tactisch al gedaan?
- <Prestin32k> Nee, die was ik van plan hierna te gaan doen :p
- <M> oke, daar ga ik zo aan beginnen
- <Prestin32k> Alleen dit level hang ik echt al dagen op :p
- <Prestin32k> En nu gewoon puur uit nieuwsgierigheid vraag ik het me af
- <M> ik ken het... ik 13 dagen
- <Prestin32k> Damn
- <Prestin32k> Haha
- <M> mogelijk zo simultaan tactisch doen
- <Prestin32k> Ja sure, al denk ik niet dat ik dit heel snel oplos hoor :p
- <M> :P oke lol
- <Prestin32k> Heb deze week vakantie, dacht los ik wel f op in 1 a 2 dagen
- <Prestin32k> Niet dus, het is nu vrijdag
- <M> heb je linux werken en snap je hoe strings werkt
- <Prestin32k> Ja linux heb ik draaiend, strings ook, alleen zoek de parameter voor de output file te specificeren
- <Prestin32k> string -f ~/Desktop/image_damaged_disk.img
- <Prestin32k> Dat gaat prima, maar hij saved niet
- <Prestin32k> strings*
- <M> > strings.txt
- <Prestin32k> strings -f ~/Desktop/image_damaged_disk.img > strings.txt?
- <M> dacht het wel
- <Prestin32k> k, f kijken wat die doet
- <Prestin32k> -t --radix={o,d,x} Print the location of the string in base 8, 10 or 16
- <M> dat kan, hoeft niet
- <Prestin32k> Oke, die > string.txt werkt niet, hij runt niet eens
- <M> dat is apart, zou moeten werken
- <Prestin32k> Oh wacht, hij werkte wel denk ik
- <Prestin32k> 237 mb?
- <M> duurt even :)
- <M> kan kloppen
- <Prestin32k> Oke, dat is stap 1 :p
- <Prestin32k> Nu de hostname die je bij opdracht 5 vind
- <Prestin32k> Je bedoelt van die image?
- <M> ;)
- <M> en ga daar eens op zoeken in de txt
- <Prestin32k> Oke, eerst is f checken wat dat ook alweer was
- <M> :P lvl1, Saskia was toch op de IC geweest
- <Prestin32k> Ja
- <M> :P krijg nu dat het niet klopt
- <Prestin32k> Eh, zal is de excel sheet downloaden
- <Prestin32k> Saskia
- <Prestin32k> Siwalette
- <Prestin32k> Saskia Siwalette
- <M> Lol, eerst was Sakia voldoende
- <M> hebben ze toch dingen aangepast
- <Prestin32k> Ah ik deet al meer voor en achternaam
- <Prestin32k> Zit nu weer in die VM image, die mail server
- <Prestin32k> Maar denk dat je de hostname bedoelt uit de mem dump, hoe je aan die passphrase komt
- <M> even uit mijn hoofd
- <M> mail.zegzv.be
- <Prestin32k> Ah
- <Prestin32k> -.-
- <Prestin32k> Dat is hem idd
- <Prestin32k> Pinging mail.zegzv.be [91.199.30.123] with 32 bytes of data
- <M> zoek in de txt naar mail.zegzv.be en je zal zien dat er "iets" gedraaid word
- <Prestin32k> Ah, kijk nu kom je wel bij wat leukere informatie :p
- <Prestin32k> Ye
- <Prestin32k> Oke oke, nu nadenken over encryptie?
- <M> over welk bestand hebben we het
- <Prestin32k> Ik denk dat we dat RAT.log bestand nodig hebben?
- <M> (Y)
- <M> maar rat.log kunnen we niet openen aangezien we de HD niet konden herstellen
- <Prestin32k> Moet je die nu dmv een hexeditor hier uit kopieren? Totaal geen ervaring op dit vlak :p
- <Prestin32k> Ah
- <M> maar misschien kan je wel vinden dat Rat gestart is
- <Prestin32k> Hij wordt geinfecteerd via de mail, denk ik..
- <M> jep, maar dan moet er ook staan dat de exe wordt gedraaid
- <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
- <Prestin32k> :2014040420140405: Steven@http://mail.zegzv.be/rat.exe.base64
- <Prestin32k> ah, zijn identiek, ze staan er 2x in
- <M> daar heb ik ook lang op gezocht maar die zijn het niet :)
- <M> rat gestart alleen dan op zijn engels
- <Prestin32k> :2014040420140405: Steven@file:///C:/cygwin64/home/Steven/rat.exe.base64
- <Prestin32k> Deze vind ik ook behoorlijk verdacht
- <Prestin32k> :P
- <M> snap ik, het is althans geen base64 encrypti
- <M> e
- <Prestin32k> Ah, wist nieteens dat dat encryptie betekende
- <Prestin32k> Denk dat ik hem heb :p
- <M> vertel
- <Prestin32k> http://mail.zegzv.be/getcmd.html
- <Prestin32k> QCSec's evil RAT :]
- <Prestin32k> RAT.log
- <Prestin32k> RAT started
- <M> :)
- <Prestin32k> answer.php
- <M> Wat zie je NA rat started staan? (hij staat er 2x in)
- <M> die heb je niet nodig
- <Prestin32k> Ehmm
- <Prestin32k> Hele waslijst met ++++++++++
- <M> :) dan zit je goed, wat zie je tussen de +++++
- <Prestin32k> 2 relatief kleine stukjes met eh.. "n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %" zooi imo
- <M> zou dat encryptie kunnen zijn :)
- <Prestin32k> Ik heb werkelijk geen idee man, het is dat jij me hier doorheen loodst
- <M> zoek maar op een encryptie die begint met een X
- <Prestin32k> Ik ga er nu van uit, dat het encryptie is :P
- <Prestin32k> Waar je zie je dat die begint met een X?
- <Prestin32k> HJ[/g{{
- <Prestin32k> Dat is de eerste line
- <M> sorry, ik bedoelde een encryptie methode die begint met een X
- <Prestin32k> Eh, je bedoelt +?
- <Prestin32k> of echt X
- <M> MD5 is een encryptie methode
- <M> maar die begint niet met een X
- <Prestin32k> Oke maar ik begrijp niet zo goed hoe je aan die code kan aflezen dat het begint met een X?
- <Prestin32k> Of uberhaupt een encryptie is :P
- <Prestin32k> Of is dat ervaring?
- <M> het zijn rare tekens, dat is vaak encryptie
- <M> zal je nog een beetje opweg helpen
- <M> http://en.wikipedia.org/wiki/XOR_cipher
- <Prestin32k> Oke, eh ik ben nu aan t zoeken naar XOR cipher decryption tools
- <Prestin32k> Dan neem ik aan dat de encryption in XOR is
- <M> :)
- <Prestin32k> Het lijkt erop dat bij elke tool je nog een soort password moet meegeven of iets?
- <Prestin32k> http://www.abcel-online.com/tools.php?id=decrypt
- <M> Klopt,... en bij sommige kan je er een deel van opgeven
- <Prestin32k> Maar dat password heb je op dit moment toch nog niet?
- <M> je moet dan de vraag erbij pakken en je afvragen wat je zoekt
- <Prestin32k> Oh wacht, ben je daar hier al mee bezig?
- <Prestin32k> Ik dacht dat je nu nog steeds bezig was om de file te recoveren die Boris heeft aangepast
- <Prestin32k> Maar dat is het dus niet? Je bent nu al bezig om uit te pluizen welke databasetabel Boris manipuleerde
- <M> juist
- <Prestin32k> Ah wtf
- <M> klinkt als er een lampje gaat branden
- <Prestin32k> Ja niet echt een openbaring van: oh nu weet ik het :p
- <Prestin32k> Maar meer van wat ik nu eigenlijk aan t doen ben
- <Prestin32k> Dan als ik zo snel denk.. zou misschien van die 2 stukjes code
- <Prestin32k> Tussen die ++++++++++++++
- <M> http://www.kahusecurity.com/2014/exploring-xor-decryption-methods/
- <Prestin32k> 1 het databaseveld zijn en 1 de tabel?
- <Prestin32k> Of veldnaam en tabelnaam?
- <Prestin32k> Of is dat weer te simpel gedacht xd
- <M> het is iets complexer
- <Prestin32k> Damn, zit dat stukje te lezen is best ingewikkeld
- <Prestin32k> Hoe heb jij dit allemaal kunnen oplossen, ben je werkzaam in deze branche?
- <M> Nope
- <M> wat voor werk doe jij dan?
- <Prestin32k> Niet, zit op school
- <M> oke, en wil je wel solliciteren?
- <Prestin32k> HBO informatica, wil aankomend jaar Forensisch kiezen
- <Prestin32k> Oh nee hoor, puur als uitdaging
- <Prestin32k> Jij we?
- <Prestin32k> l
- <M> denk het niet
- <Prestin32k> Wat voor werk doe je nu?
- <M> :P autopoetsen, even een tussenbaantje
- <Prestin32k> Wtf en je lost dit op?
- <Prestin32k> -.-
- <Prestin32k> Ik kom er btw serieus niet uit, zou je misschien NOG een hint kunnen geven
- <Prestin32k> Haha
- <M> heb je het programmatje gedownload?
- <Prestin32k> Nee, staan er nog al wat
- <M> converter heb je nodig
- <Prestin32k> Yes, die heb ik nu
- <M> en daar zit een tooltje in die ook in de handleiding staat
- <Prestin32k> Ja, heb ik
- <Prestin32k> Dan de text importen?
- <M> wat voor keys heb je geprobeerd
- <Prestin32k> Oh geen 1 nog
- <Prestin32k> Bij input gooi ik de encrypted text?
- <M> jep
- <Prestin32k> OK
- <Prestin32k> Dan.. een password inveoren?
- <Prestin32k> Of key w/e
- <M> password/key is een beetje een vage beschrijving
- <Prestin32k> Ehm.. wat zal ik eens doen
- <Prestin32k> Hoe kom je hier op?
- <M> ;) wat zoek je precies
- <M> (lees de vraag)
- <Prestin32k> Ik zoek een veld in een databasetabel :P
- <M> field en table zouden wel goede woorden zijn
- <Prestin32k> Weet niet of het aan mij ligt, maar als ik op convert druk krijg ik nog steeds een output met allemaal zooi
- <Prestin32k> Kan het ook niet copy pasten, want hij pakt het niet hier in hexchat
- <M> dat kan, en heb je alle rare tekens geprobeerd
- <Prestin32k> Hoe bedoel je?
- <M> die rare tekst staat er 4x in ofzo, allemaal iets anders
- <Prestin32k> http://pastebin.com/GzGSizsa
- <Prestin32k> dit import ik
- <Prestin32k> http://pastebin.com/WWberhVm
- <Prestin32k> Dit is de output met key 'table'
- <M> Probeer eens elke keer een blok
- <M> HJ[/g{{
- <M> 5 bjkfln{fj|v|{jjb!fa{}naj{
- <M> nhj!
- <M> 0fk2?(*=?zaf`a*=?ncc*=?|jcjl{*=?
- <M> n{fja{Pm|a#bfkkjc#k`|f|#>#>#azcc*=?i}`b*=?bjkfln{fjPkm %
- <Prestin32k> <>/[y~ATTUy~Uy~DFK\^IK^IK^IK^IKy~$WWWJWJW^IK^IK$TQ
- <M> kan je een printscreen maken
- <Prestin32k> sure
- <Prestin32k> http://imgur.com/H5GqKGF
- <M> match string die moet je invullen
- <M> en key dan leeg (:$ foutje van mij)
- <Prestin32k> ah
- <Prestin32k> Haha
- <Prestin32k> Maar dat vind die weer niet goed, meot een key meegeven
- <Prestin32k> The input and/or key is missing. Please check blabla
- <M> je gebruikt de verkeerde input text
- <M> het moet een andere zijn
- <M> en matchstring = table
- <Prestin32k> Eh ik kan hem niet converten zonder key?
- <M> druk op search ;)
- <Prestin32k> Ah, ffs :p
- <Prestin32k> Nothing found.
- <Prestin32k> xd
- <M> blijf proberen, bij 1tje word wat gevonden
- <Prestin32k> Oke
- <Prestin32k> Hex key found: 15 (0xF)
- <Prestin32k> Wow
- <M> :D
- <Prestin32k> GET httmedicatiesysteem.intranet/login.?username=x'%20and%201=0;%20udate%20table%20medicatie_db%20set%20dosis=10000%20where%20middel=kalium%20and%20atient_bsn=157280898/*&assword=bla
- <Prestin32k> tabelnaam medicatie_db
- <Prestin32k> veldnaam die boris manipuleerde = dosis?
- <Prestin32k> ........
- <Prestin32k> fucking hell
- <Prestin32k> Echt super bedankt man, serieus..
- <M> :D
- <M> meteen doorgaan naar tactisch?
- <M> was al een beetje begonnen
- <Prestin32k> Tof dat je de tijd wilde nemen
- <Prestin32k> Ja ik ga eerst f een bakkie thee maken :P
- <Prestin32k> Brb
- <M> hahah groot gelijk
- <Prestin32k> Oke, f nieuw accountje aangemaakt
- <M> klopt
- <Prestin32k> Duurt iets langer, vrienden van me willen graag dat ik vertel en tips geef over level 7 haha
- <M> hahahah oke
- <Prestin32k> Heb hun de laatste tijd gespammt met dat ze moeten helpen :P
- <Prestin32k> Zijn nu ook super benieuwd
- <M> Hebben die toevallig tactisch al gedaan?
- <Prestin32k> Nee volgens mij niet
- <Prestin32k> We zijn allemaal informatica pikkies, dus puur digitaal
- <M> oke
- <Prestin32k> Wat was die naam van dat wijf, Saskia Siwalette of iets?
- <M> klopt
- <M> Saskia Siwalette
- <Prestin32k> Ehm, vraag 2 is ook nog hetzelfde?
- <M> jep
- <Prestin32k> Dit was iets van de ei-kantine?
- <Prestin32k> Als ik me goed herriner
- <M> Ij
- <Prestin32k> Ehm, die betalingen?
- <Prestin32k> P. Nowak?
- <M> klopt
- <M> P. NOWAK
- <M> Stationsplein 22
- <M> 2405 BK
- <M> ALPHEN AAN DEN RIJN
- <Prestin32k> Alright, level 4 :p
- <Prestin32k> Ben je hier ook?
- <M> Top
- <M> ondertussen 5
- <M> maar probeer het eerst zelf :)
- <Prestin32k> Ye, sure
- <M> en al wat gevonden
- <Prestin32k> Zit te luisteren
- <Prestin32k> Maar ik neem aan dat ze naar Boris op zoek zijn?
- <M> kijk ook even naar de nummers
- <Prestin32k> Ben nu op de helft van de telefoon fragmente
- <Prestin32k> n
- <M> oke, soms is achteraan beginnnen sneller :)
- <Prestin32k> Oke :p, vind het eigenlijk best grappig om die fragmenten te luisteren
- <Prestin32k> Slap gelul haha
- <M> haah true
- <Prestin32k> Oke, 5 :P
- <Prestin32k> Zo, riante lijst zeg
- <M> :D
- <M> :P 6 is bijna hetzelfde maar daar zoek ik nog
- <M> Wil je een hint
- <Prestin32k> Nou wilde het echt net gaan vragen
- <Prestin32k> Hebben we iets van een datum of tijd gekregen?
- <M> je moet kijken bij de gegevens van de beller, alles is hetzelfde op 1 getal na
Add Comment
Please, Sign In to add comment