CTF [Forensic] 02: Ann Skips Bail por LMG

Hoy toca el segundo reto de Forensic básico (que de forense tiene más bien poco) y parece que el departamento de seguridad siguen sospechando de Ann y ahora y nos han enviado [un nuevo pcap y nuevas preguntas] para seguir profundizando en la investigación. 

1. What is Ann’s email address?
  • sneakyg33k@aol.com
2. What is Ann’s email password?
  • Base64 = 558r00tz indiscutiblemente es esa. 

3. What is Ann’s secret lover’s email address?
  • mistersecretx@aol.com
4. What two items did Ann tell her secret lover to bring?
  • Frame 138: fake passport and a bathing suit.
5. What is the NAME of the attachment Ann sent to her secret lover?
  • secretrendezvous.docx
6. What is the MD5sum of the attachment Ann sent to her secret lover?
En PowerShell: "Get-FileHash .\secretrendezvous.docx -Algorithm MD5" 
  • 9E423E11DB88F01BBFF81172839E1923
7. In what CITY and COUNTRY is their rendez-vous point?

La información está dentro del documento: 
  • Ciudad: Playa del Carmen 
  • Pais: Mexico. 
8. What is the MD5sum of the image embedded in the document?

Primer intento y primer tropiezo de este blog. No se me ha ocurrido otra cosa que guardar la imagen como me lo sugería Windows (en png) --> PowerShell: "Get-FileHash .\test.png-Algorithm MD5"  
  • 2DEDA162E18ACC15FB9BE01F012559D5 (Este hash no es correcto)
Lo cual es un error ya modifica irremediablemente el peso del archivo.png. Cosa que no entiendo muy bien por que. El archivo ahora pesa 159 KB frente a los 189 KB que pensaría si hacemos el truco de  descomprimir el word. 

Si nos liamos a buscar dentro del word descomprimido encontraremos la carpeta "media" y dentro de ella la imagen con el nombre indescifrable de image1.png. 

Si sacamos el MD5 --> PowerShell: "Get-FileHash .\test.png-Algorithm MD5"  
  • AADEACE50997B1BA24B09AC2EF1940B7 (Este es el bueno) 
Ahora me ha dejado un poco mosca el tema del peso de los archivo.

Sed Buenos ;) 

Comentarios

Publicar un comentario

Entradas populares de este blog

CTF [Forensic] 03: Ann’s AppleTV por LMG

Imagen
Bueno, esta ya ha costado bastante más ya que al contrastar las pericias sacadas del pcap con las soluciones del reto, no pegaban ni con silicona caliente y es debido a los cambios de la página de Apple y a los precios de las películas a investigar. Así que me ha costado tiempo saber como obtener los mismos datos que se sacaron en el año 2010.  Dicho esto la trama de esta CTF ronda sobre Ann, Mr.X y su AppleTv instalado en las base de operaciones malignas desde donde traman todas sus fechorías. El equipo de seguridad ha estado detrás de ellos y nos pasan un pcap para ver que podemos extraer. Estas son sus preguntas:  1. ¿Cuál es la dirección MAC del AppleTV de Ann? Apple_fe:07:04 (00:25:00:fe:07:c4) 2. ¿Qué cadena de agente de usuario utilizó el AppleTV de Ann en las solicitudes HTTP? User-Agent: AppleTV/2.4 3. ¿Cuáles fueron los primeros cuatro términos de búsqueda de Ann en el AppleTV (todas las búsquedas incrementales cuentan)? http://ax.search.itunes.apple.com/WebObjects/MZSearch.w
Leer más

CTF [Forensic] 01: Ann’s Bad AIM por LMG

Imagen
¡Hola! Esta una vuelta a tomarme la seguridad informática como hobby y a disfrutar de esta gran mundo de la mano de todas las CTF que pueda encontrar. Eso si, a mi tiempo, cuando quiera y aprendiendo siempre que para eso hay gente que se ha matado creando estos retos.  Tengo que reconocer que he dejado un poco de lado toda la parte técnica y que ya es hora de ponernos manos a la obra. Así que empezaré con retos básico con los que me vea mas suelto e iré subiendo de dificultad.  Hoy toca el [ CTF Básico de Forense del 09/10/2009 desarrollado por LMG Networking Forensic ], el cual nos pondrá en el papel de un investigador forense justo en el momento en el que recibimos un pcap del departamento de Seguridad donde se desconfía de Ann una empleada descontenta.  Dicho departamento tiene varias preguntas para nosotros a las cuales tendremos que dar respuestas.  Estas son mis respuestas, todas sacadas del pcap que podéis encontrar en el enlace después de analizarlo con Wireshark. Todo ha sido
Leer más