Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

LUKS met AES-key decrypten

Pagina: 1
Acties:

vrijdag 13 juni 2014 13:48

Acties:
  • Maaskant
  • Registratie: December 2011
  • Laatst online: 28-11 09:54

Maaskant

Topicstarter
Beste tweakers,

Ik ben momenteel bezig voor school met forensische analyse van virtuele systemen. Ik gebruik hier voor vooral Kali. Het onderdeel waar ik momenteel mee bezig ben is het decrypten van een virtuele drive.
De situatie is als volgt:
  • Ik heb een kali.vdi ontvangen met kali 1.0.6 x64 met memory dump, alleen de (virtuele) hardeschijf is versleutelt.
  • Vanuit de memorydump heb ik met bulk_extractor drie AES-keys kunnen extracten.
Van deze AES-keys zijn er twee AES256 en één AES128

Vanuit een andere versie van Kali heb ik al geprobeerd:
  • een master-key-file genereren met cryptsetup. Hierbij krijg ik steeds de error dat cryptsetup het niet kan lezen. Ik heb het volgende gebruikt:
echo "-AES256key-" | -r -p > masterkey.key
Nu is mijn vraag of iemand weet wat ik fout doe met het genereren van de masterkey.

Bij voorbaad dank!

vrijdag 13 juni 2014 17:49

Acties:
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Als je iets beter had gezocht, zie je dat het hier uitgebreid beschreven staat.

LuckY in "[Cybercrime Challenge] High Impact"

vrijdag 13 juni 2014 22:56

Acties:
  • 3xNiks
  • Registratie: Juni 2014
  • Laatst online: 14-05-2024

3xNiks

Wanneer ik dit probeer krijg ik steeds een melding dat die de keyfile niet kan lezen als ik via cryptsetup de LUKS-partitie probeer te openen. Weet iemand hier iets op?

Edit:
Ik ben erachter gekomen dat ik gebruik maakte van een verkeerde keyfile. Het is mij gelukt om de partitie uit te lezen.

@Maaskant,
Gezien uw topic denk ik dat u tegen hetzelfde probleem aanloopt als dat ik had. U zegt in het bezit te zijn van 2 mogelijke 256-bit AES keys. De LUKS-partitie kan geopend worden met een 512-bit key. Succes met verder zoeken!

[ Voor 52% gewijzigd door 3xNiks op 14-06-2014 19:07 . Reden: Opgelost, ik maakte gebruik van een verkeerde key ]

zondag 15 juni 2014 15:01

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15:20

Thralas

3xNiks schreef op vrijdag 13 juni 2014 @ 22:56:
U zegt in het bezit te zijn van 2 mogelijke 256-bit AES keys. De LUKS-partitie kan geopend worden met een 512-bit key.
Het lijkt me een leuke hands-on challenge, maar aangezien de 'oplossing' voorgekauwd online staat vraag ik me wel af in hoeverre je hier nu wat van geleerd hebt. Er is een groot verschil tussen een truukje kunnen nadoen en daadwerkelijk begrijpen waar je mee bezig bent.
  1. Welke cipher (en modus) zijn er gebruikt? Hoeveel bits heeft de key? Hoe kun je dit vaststellen met behulp van cryptsetup?
  2. Wat is er onlogisch aan het aantal keybits icm. de gebruikte cipher? Hoe kun je dit verklaren?
  3. In navolging op de voorgaande vraag: waar ga je dus naar op zoek in de memorydump?
Natuurlijk hoef je niet alles tot in detail te snappen (bonusvraag: hoe vind je AES keys in memory?), maar bovenstaande lijkt me in ieder geval relevant. En bovendien helpen deze vragen om tot de juiste oplossing te komen (als je de cryptsetup manpage zelf kunt doornemen).

Ik weet natuurlijk niet wat de exacte opdrachtomschrijving is en in hoeverre je bovenstaande vragen reeds hebt moeten (en kunt) beantwoorden. Zie het dus vooral niet als een persoonlijke aanval ;)

zondag 15 juni 2014 20:11

Acties:
  • Maaskant
  • Registratie: December 2011
  • Laatst online: 28-11 09:54

Maaskant

Topicstarter
@LuckY Bedankt, het is gelukt. Ik wist alleen niet dat er in een challenge een zelfde soort opdracht zat :+ . Ik heb nu wel een vaag idee waar mijn docent de opdracht vandaan heeft. :9

@3xNiks Het is al helemaal gelukt, dit was ook de situatie bij mij.


@Thralas
Thralas schreef op zondag 15 juni 2014 @ 15:01:
[...]
  1. Welke cipher (en modus) zijn er gebruikt? Hoeveel bits heeft de key? Hoe kun je dit vaststellen met behulp van cryptsetup?
  2. Wat is er onlogisch aan het aantal keybits icm. de gebruikte cipher? Hoe kun je dit verklaren?
  3. In navolging op de voorgaande vraag: waar ga je dus naar op zoek in de memorydump?
1. Ik heb geen idee, ik heb met behulp van bulk_extractor de drie eerder genoemde keys uit de memorydump kunnen halen, hier werd aangegeven dat er twee AES256 waren en één AES128, meer weet ik er niet echt over.
2. 8)7
3. Waar ik naar zocht had ik (voor zo ver ik weet) al gevonden, de keys, het ging mij er nu puur om hoe ik hiermee de hardeschijf kon ontsleutelen.

Voor mijn opleiding is het achter liggende deel niet noodzakelijk (wel handig) om te weten, het gaat hier meer om het gebruik van Kali-linux en het uitvoeren van forensisch onderzoek.

In iedergeval bedankt voor de hulp iedereen!

dinsdag 17 juni 2014 21:29

Acties:
  • 3xNiks
  • Registratie: Juni 2014
  • Laatst online: 14-05-2024

3xNiks

Thralas schreef op zondag 15 juni 2014 @ 15:01:
[...]
Het lijkt me een leuke hands-on challenge, maar aangezien de 'oplossing' voorgekauwd online staat vraag ik me wel af in hoeverre je hier nu wat van geleerd hebt. Er is een groot verschil tussen een truukje kunnen nadoen en daadwerkelijk begrijpen waar je mee bezig bent.
  1. Welke cipher (en modus) zijn er gebruikt? Hoeveel bits heeft de key? Hoe kun je dit vaststellen met behulp van cryptsetup?
  2. Wat is er onlogisch aan het aantal keybits icm. de gebruikte cipher? Hoe kun je dit verklaren?
  3. In navolging op de voorgaande vraag: waar ga je dus naar op zoek in de memorydump?
Natuurlijk hoef je niet alles tot in detail te snappen (bonusvraag: hoe vind je AES keys in memory?), maar bovenstaande lijkt me in ieder geval relevant. En bovendien helpen deze vragen om tot de juiste oplossing te komen (als je de cryptsetup manpage zelf kunt doornemen).

Ik weet natuurlijk niet wat de exacte opdrachtomschrijving is en in hoeverre je bovenstaande vragen reeds hebt moeten (en kunt) beantwoorden. Zie het dus vooral niet als een persoonlijke aanval ;)
Beste Thralas,

De opdracht was een fictief forensisch onderzoek. Van het onderzoek was dit een onderdeel om aanknopingspunten te kunnen vinden van een fictief misdrijf. Door mijn hint is het niet meteen de oplossing van het onderzoek, maar alleen een stap de goede richting in. Ik snap uw opvatting :) .

Zoals ik merk bent u bekend met een soortgelijke situatie. Ik begrijp uw vragen en ik zou er graag antwoord op willen geven, maar gezien het feit dat het onderzoek voor school nog gaande is en dat deze opdracht mogelijk in de toekomst nog een keer door school gebruikt gaat worden lijkt het mij niet verstanding om antwoorden te publiceren :)

dinsdag 17 juni 2014 23:00

Acties:
  • Maaskant
  • Registratie: December 2011
  • Laatst online: 28-11 09:54

Maaskant

Topicstarter
De website die LuckY gebruikte, http://dx.eng.uiowa.edu/dave/luks.php, had ik al gevonden. Alleen de tip dat ik de twee keys kon combineren had ik nog nodig, de rest was al gelukt. Ik heb ondertussen op de schijf de shadowfile gevonden en ga nu proberen het wachtwoord te recoveren vanuit de SHA512 met salt.

donderdag 19 juni 2014 13:26

Acties:
  • ELD
  • Registratie: December 2000
  • Niet online

ELD

Dit toont gewoon aan dat je nooit je systeem moet laten aanstaan met mounted encrypted volumes.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq