jueves, 26 de julio de 2012

FRP6: Reto Hacking de Julio – ¡Killo! ¡onde ectá mi clave!

Un nuevo reto de Flu Project, tiempo libre en Alemania... vamos ya!!
Tras descargar el fichero procedo a ejecutarlo. Lo suyo sería ejecutarlo en una máquina virtual preparada y eso, y más viniendo de Flu! xD Pero como la conexión que tengo en este momento va como el naclas, no me he podido descargar VMWare o Vbox y me he tenido que fiar de los chicos de Flu.
Se ve que es el típico "Crack me", como el ordenador en el que estoy trabajando está nuevecito, pues pongo a descargar el Immunity debugger para ver que puedo sacar del fichero. Mientras se descarga mi pequeña vena de consultor y mi impaciencia saltan y dicen: "Psss! Tú!! Chato!! S, ese que está con el jaquin ese del demonio... pero tú no has aprendido nada en los CTFs? Es que no tienes una metodología definida para tratar los binarios?!?! CLARO!!! ES QUE NO LEES LA DOCUMENTACIÓN!!!". Coño! Es verdad!! Siempre que estoy con un binario en un CTF trato de seguir unos pasos que pueden ahorrarme mucho tiempo, y a veces hasta darme la solución.
1.- file -> Para comprobar que de verdad es un binario y no es algún truquillo del que ha puesto el reto y no este tratando de debuggear un jpg.
2.- strings -> A veces la respuesta está entre las cadenas que se muestran (sólo en algunos niveles básicos).
3.- strace, etc -> Para hacerme una idea de qué hace el programa antes de pegarme con el código.
4.- magia -> autoexplicativo.
5.- gdb, immunity, etc.
Pero claro... esto es un ejecutable de Windows... así que tocaba buscar las herramientas que hacen esto en Windows, la primera que encontré fue Strings, de Mr. Russinovich por supuesto lo descargué y me soltó, entre mucha basura:
Espera, que igual hay mucha basura y no lo ves:
Fluprojectmola... fluprojectmola... hmmmm sospechoso!! Osea, que es verdad, Flu Project mola, y mucho, pero eso no puede estar ahí por casualidad así que, a probar... y...
Bingo!!
 key: fluprojectmola
Muy facilillo, y por lo menos me ha tenido entretenido un ratillo en Alemania que nunca viene mal por las tardes. Conclusiones: - Hay que pensar fácil antes de echarse la manta a la cabeza y ponerse con el reversing.
 xgusix@PHT
Publicado por xgusix en 17:47
Etiquetas: , ,

1 comentario:

  1. perox_27 de julio de 2012, 9:11

    Aquí cada uno con su estilo :-)
    Mire por el PC y tenía instalado un editor hexadecimal, así que lo abrí y me puse a buscar cadenas sospechosas,jejeje.
    Y luego a modo curiosidad me acorde de cuando se decompilaban antiguamente aplicaciones de VB6 para obtener el código fuente más o menos original. Y si VB6 se puede decompilar, es muy probable que algo basado en .NET también.
    Tras descargar la herramienta JetBrains dotPeek y ejecutarla, mostraba un código fuente muy bonito y legible.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)