Un nuevo reto de Flu Project, tiempo libre en Alemania... vamos ya!!
Tras descargar el fichero procedo a ejecutarlo. Lo suyo sería ejecutarlo en una máquina virtual preparada y eso, y más viniendo de Flu! xD Pero como la conexión que tengo en este momento va como el naclas, no me he podido descargar VMWare o Vbox y me he tenido que fiar de los chicos de Flu.
Se ve que es el típico "Crack me", como el ordenador en el que estoy trabajando está nuevecito, pues pongo a descargar el Immunity debugger para ver que puedo sacar del fichero. Mientras se descarga mi pequeña vena de consultor y mi impaciencia saltan y dicen: "Psss! Tú!! Chato!! S, ese que está con el jaquin ese del demonio... pero tú no has aprendido nada en los CTFs? Es que no tienes una metodología definida para tratar los binarios?!?! CLARO!!! ES QUE NO LEES LA DOCUMENTACIÓN!!!". Coño! Es verdad!! Siempre que estoy con un binario en un CTF trato de seguir unos pasos que pueden ahorrarme mucho tiempo, y a veces hasta darme la solución.
1.- file
2.- strings -> A veces la respuesta está entre las cadenas que se muestran (sólo en algunos niveles básicos).
3.- strace, etc -> Para hacerme una idea de qué hace el programa antes de pegarme con el código.
4.- magia -> autoexplicativo.
5.- gdb, immunity, etc.
Pero claro... esto es un ejecutable de Windows... así que tocaba buscar las herramientas que hacen esto en Windows, la primera que encontré fue Strings, de Mr. Russinovich por supuesto lo descargué y me soltó, entre mucha basura:
Espera, que igual hay mucha basura y no lo ves:
Fluprojectmola... fluprojectmola... hmmmm sospechoso!! Osea, que es verdad, Flu Project mola, y mucho, pero eso no puede estar ahí por casualidad así que, a probar... y...
Bingo!!
key: fluprojectmola
Muy facilillo, y por lo menos me ha tenido entretenido un ratillo en Alemania que nunca viene mal por las tardes.
Conclusiones:
- Hay que pensar fácil antes de echarse la manta a la cabeza y ponerse con el reversing.
xgusix@PHT
Aquí cada uno con su estilo :-)
ResponderEliminarMire por el PC y tenía instalado un editor hexadecimal, así que lo abrí y me puse a buscar cadenas sospechosas,jejeje.
Y luego a modo curiosidad me acorde de cuando se decompilaban antiguamente aplicaciones de VB6 para obtener el código fuente más o menos original. Y si VB6 se puede decompilar, es muy probable que algo basado en .NET también.
Tras descargar la herramienta JetBrains dotPeek y ejecutarla, mostraba un código fuente muy bonito y legible.