Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Crimediggers - crypto challenge

Pagina: 1
Acties:

Acties:
  • +1Henk 'm!

  • afraca
  • Registratie: april 2009
  • Laatst online: 01-07 19:49

afraca

Open Source!

Topicstarter
edit: Mogelijk niet juiste subforum, sorry! Had nog de 'reverse' challenge in m'n hoofd. Mods, wat is beter?

Op https://www.crimediggers.nl/ heb je een aantal CTF-achtige challenges staan. 5 vd 6 gingen prima, maar de crypto challenge loop ik even op vast.

Aan de mods: Ik zag een eerder topic over de "reverse" challenge, maar superleuk is het natuurlijk niet dat uitwerkingen op internet staan. Verwijderen van dit topic is ook wel weer wat rigoreus, jullie nog goede ideeën om niet de politie sip te maken?

spoiler:
Ik heb de .raw naar .vdi geconverteerd, krijg je VM met Linux Mint. Heb wachtwoord van Janny gekraakt. Stuur me DM als je die wilt hebben om mee te kijken met m'n vraag. In Pictures folder is een .kdbx bestand, KeePass database, daarnaast nog 5 fotobestanden. Wat heb ik geprobeerd:
- Hash extracten van database, en met hashcat proberen te matchen met aantal wordlists.
- Hetzelfde maar dan gewoon bruteforcen, kost belachelijk veel tijd dus denk niet dat dat de bedoeling is.
- Wachtwoord van gebruiker in combinatie met elk van de foto's als keyfile (dat kan met KeePass)
- (Elke foto als keyfile gebruiken)

Verder wat ik gevonden heb: In de FireFox history staan urls naar bankieren pagina's, en nog 1:
file:///run/user/1000/KeePass/Temp_L2c09pOkDC.html . Dat zou een soort autofill url kunnen zijn, maar ik kan die niet meer terugkrijgen volgens mij. Ik vond niets in bash history, in andere /home folders niks, maar heb niet elders in systeem gekeken. Lijkt verder default Mint installatie te zijn.

(Héél misschien nog relevant detail is dat accordeon van die zoon van merk Hohner is, was bij andere challenge paar keer genoemd.

edit2: Hash van .kdbx file ook per DM te krijgen :) Anders moet je prutsen met Python scriptje.


Bedankt voor het meedenken, is erg leuk om te doen :)

[Voor 5% gewijzigd door afraca op 19-06-2020 15:40]

IMDB vote history | Next-gen OS, audio en video player, search engine en Movie DB


  • Ezz
  • Registratie: mei 2002
  • Laatst online: 03-07 20:13
Om de gedachte aan te leren dat niets mag veranderen, vanuit forensisch perspectief, heb ik zelf
een andere weg gekozen. Echter ben ik op hetzelfde dode spoor uitgekomen als jij :)

Ik heb zo min mogelijk de exacte stappen verteld, echter enkel wat globale handelingen. Dus moet iemand zelf nog steeds nadenken over het hoe en wat...

spoiler:
Werkwijze die ik volgende was Autopsy, export van de encrypted bestanden naar schone Linux.
Recontrueren van de masterkey en het gebruikers ww,
samen gaven me toegang tot de home en idd ook de keepass + foto's gevonden.

Binnen de map .mozilla nog gehoopt op een opgeslagen ww, maar ook niets. En de recente
websites die gevonden zijn zijn idd o.a. van een aantal banken in NL. Waarbij er een zeer recent was benaderd. Verder hebben cookies geen ww, dus loop ik vast op Keepass, gezien er geen andere documenten zijn.

In download + trash nog foto's gevonden van hetzelfde kind + muziekinstrument.
Dacht eerst nog dat stego was toegepast, gezien het de katvanger was, maar helaas niets gevonden.

De image die gemaakt is is van een gelockte computer, dus zou je denken dat er capture van het geheugen
zou zijn of die swapfile. Naast de keepass db was er ook een .tmp versie, wat suggereerd dat Keepass actief was tijdens de capture. Dus zou er ergens dat ww moeten staan????


Maar tot nu niets gevonden. Ik ben dan ook geen expert, dus is het eerder dat ik niet weet waar ik naar moet zoeken. Om gek van te worden ;)

[Voor 6% gewijzigd door Ezz op 29-06-2020 18:00. Reden: iets minder details in spoiler (haha)]

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...


  • afraca
  • Registratie: april 2009
  • Laatst online: 01-07 19:49

afraca

Open Source!

Topicstarter
Fantastisch dat je ook hiermee aan de slag bent gegaan, kudo's voor de stappen die je al gezet hebt! :) (heb je ook andere challenges gedaan? )

spoiler:
In een DM met andere tweaker bedachten we dat de .tmp van Keepass wel het raadsel moet oplossen.... Wat ik nog wil doen als ik even tijd heb ergens is opzoeken of er een standaard byte sequence in die .tmp zit. (reproduceren van zo'n file lokaal/andere VM, en daarvan hex dump maken) Dan dat gebruiken om in de .raw te zoeken. Ik weet even niet hoe die .raw precies geproduceerd is, dus misschien is het suffe gedachte, maar volgens mij moet zoiets kunnen.

IMDB vote history | Next-gen OS, audio en video player, search engine en Movie DB


  • Ezz
  • Registratie: mei 2002
  • Laatst online: 03-07 20:13
Vorig jaar was ik al gestart, echter door werk geen tijd meer gehad en is het in de vergetelheid geraakt.

Die GEO en JAVA zijn nieuw, dus die moet ik nog doen + deze RAW image. Hoewel JAVA voor mij een hele lastige gaat worden. Bij GEO dacht ik een makkie, maar de overeenkomstige coordinaten blijken niet de juiste te zijn.

spoiler:
(GEO)
Dus zal ik naar de tijd moeten kijken waarop beide personen elkaar gevonden hebben. Maar eerst een goede tool hiervoor vinden.

(RAW image)
Goed punt, zou echter nu geen idee hebben hoe je dat zou moeten doen. Als er een geheugen dump was, hadden we hierin kunnen kijken.

Mischien ver gezocht, maar de locatie van die Keepass DB bij de foto's, zou toch iets kunnen zijn? Het is een CTF, maar toch... Een van de foto's komt 3x voor binnen het systeem.

1. pictures (Size 6022411) Josh_3.jpg
2. download (Size 6022355) desktop.jpg
3. trash (Size 6022355) desktop.jpg

Vandaar dat ik aan STEG dacht, Josh_3 is net iets groter in formaat.

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...



Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True