Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Crimediggers - crypto challenge

Pagina: 1
Acties:

Acties:
  • +1Henk 'm!

  • afraca
  • Registratie: april 2009
  • Laatst online: 04-06 09:44

afraca

Open Source!

Topicstarter
edit: Mogelijk niet juiste subforum, sorry! Had nog de 'reverse' challenge in m'n hoofd. Mods, wat is beter?

Op https://www.crimediggers.nl/ heb je een aantal CTF-achtige challenges staan. 5 vd 6 gingen prima, maar de crypto challenge loop ik even op vast.

Aan de mods: Ik zag een eerder topic over de "reverse" challenge, maar superleuk is het natuurlijk niet dat uitwerkingen op internet staan. Verwijderen van dit topic is ook wel weer wat rigoreus, jullie nog goede ideeën om niet de politie sip te maken?

spoiler:
Ik heb de .raw naar .vdi geconverteerd, krijg je VM met Linux Mint. Heb wachtwoord van Janny gekraakt. Stuur me DM als je die wilt hebben om mee te kijken met m'n vraag. In Pictures folder is een .kdbx bestand, KeePass database, daarnaast nog 5 fotobestanden. Wat heb ik geprobeerd:
- Hash extracten van database, en met hashcat proberen te matchen met aantal wordlists.
- Hetzelfde maar dan gewoon bruteforcen, kost belachelijk veel tijd dus denk niet dat dat de bedoeling is.
- Wachtwoord van gebruiker in combinatie met elk van de foto's als keyfile (dat kan met KeePass)
- (Elke foto als keyfile gebruiken)

Verder wat ik gevonden heb: In de FireFox history staan urls naar bankieren pagina's, en nog 1:
file:///run/user/1000/KeePass/Temp_L2c09pOkDC.html . Dat zou een soort autofill url kunnen zijn, maar ik kan die niet meer terugkrijgen volgens mij. Ik vond niets in bash history, in andere /home folders niks, maar heb niet elders in systeem gekeken. Lijkt verder default Mint installatie te zijn.

(Héél misschien nog relevant detail is dat accordeon van die zoon van merk Hohner is, was bij andere challenge paar keer genoemd.

edit2: Hash van .kdbx file ook per DM te krijgen :) Anders moet je prutsen met Python scriptje.


Bedankt voor het meedenken, is erg leuk om te doen :)

[Voor 5% gewijzigd door afraca op 19-06-2020 15:40]

IMDB vote history | Next-gen OS, audio en video player, search engine en Movie DB


  • Ezz
  • Registratie: mei 2002
  • Laatst online: 16-04 12:29
Om de gedachte aan te leren dat niets mag veranderen, vanuit forensisch perspectief, heb ik zelf
een andere weg gekozen. Echter ben ik op hetzelfde dode spoor uitgekomen als jij :)

Ik heb zo min mogelijk de exacte stappen verteld, echter enkel wat globale handelingen. Dus moet iemand zelf nog steeds nadenken over het hoe en wat...

spoiler:
Werkwijze die ik volgende was Autopsy, export van de encrypted bestanden naar schone Linux.
Recontrueren van de masterkey en het gebruikers ww,
samen gaven me toegang tot de home en idd ook de keepass + foto's gevonden.

Binnen de map .mozilla nog gehoopt op een opgeslagen ww, maar ook niets. En de recente
websites die gevonden zijn zijn idd o.a. van een aantal banken in NL. Waarbij er een zeer recent was benaderd. Verder hebben cookies geen ww, dus loop ik vast op Keepass, gezien er geen andere documenten zijn.

In download + trash nog foto's gevonden van hetzelfde kind + muziekinstrument.
Dacht eerst nog dat stego was toegepast, gezien het de katvanger was, maar helaas niets gevonden.

De image die gemaakt is is van een gelockte computer, dus zou je denken dat er capture van het geheugen
zou zijn of die swapfile. Naast de keepass db was er ook een .tmp versie, wat suggereerd dat Keepass actief was tijdens de capture. Dus zou er ergens dat ww moeten staan????


Maar tot nu niets gevonden. Ik ben dan ook geen expert, dus is het eerder dat ik niet weet waar ik naar moet zoeken. Om gek van te worden ;)

[Voor 6% gewijzigd door Ezz op 29-06-2020 18:00. Reden: iets minder details in spoiler (haha)]

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...


  • afraca
  • Registratie: april 2009
  • Laatst online: 04-06 09:44

afraca

Open Source!

Topicstarter
Fantastisch dat je ook hiermee aan de slag bent gegaan, kudo's voor de stappen die je al gezet hebt! :) (heb je ook andere challenges gedaan? )

spoiler:
In een DM met andere tweaker bedachten we dat de .tmp van Keepass wel het raadsel moet oplossen.... Wat ik nog wil doen als ik even tijd heb ergens is opzoeken of er een standaard byte sequence in die .tmp zit. (reproduceren van zo'n file lokaal/andere VM, en daarvan hex dump maken) Dan dat gebruiken om in de .raw te zoeken. Ik weet even niet hoe die .raw precies geproduceerd is, dus misschien is het suffe gedachte, maar volgens mij moet zoiets kunnen.

IMDB vote history | Next-gen OS, audio en video player, search engine en Movie DB


  • Ezz
  • Registratie: mei 2002
  • Laatst online: 16-04 12:29
Vorig jaar was ik al gestart, echter door werk geen tijd meer gehad en is het in de vergetelheid geraakt.

Die GEO en JAVA zijn nieuw, dus die moet ik nog doen + deze RAW image. Hoewel JAVA voor mij een hele lastige gaat worden. Bij GEO dacht ik een makkie, maar de overeenkomstige coordinaten blijken niet de juiste te zijn.

spoiler:
(GEO)
Dus zal ik naar de tijd moeten kijken waarop beide personen elkaar gevonden hebben. Maar eerst een goede tool hiervoor vinden.

(RAW image)
Goed punt, zou echter nu geen idee hebben hoe je dat zou moeten doen. Als er een geheugen dump was, hadden we hierin kunnen kijken.

Mischien ver gezocht, maar de locatie van die Keepass DB bij de foto's, zou toch iets kunnen zijn? Het is een CTF, maar toch... Een van de foto's komt 3x voor binnen het systeem.

1. pictures (Size 6022411) Josh_3.jpg
2. download (Size 6022355) desktop.jpg
3. trash (Size 6022355) desktop.jpg

Vandaar dat ik aan STEG dacht, Josh_3 is net iets groter in formaat.

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...


Acties:
  • 0Henk 'm!

  • frG
  • Registratie: augustus 2004
  • Laatst online: 13-06 13:53
Ik was inderdaad de andere tweaker, heb ze vrijwel allemaal opgelost behalve de RAW image, het tmp bestand is een emergency sheet van KeePass die waarschijnlijk geprint/geopend was. In de print drivers geen history helaas, en ook het tmp bestand niet kunnen terughalen met recovery tools. Afgelopen twee weken niet meer aan toegekomen helaas.

Acties:
  • 0Henk 'm!

  • wizl
  • Registratie: maart 2001
  • Laatst online: 18-04 19:46

wizl

hmmz

Ben er laatst aan begonnen maar ook te weinig tijd. Met die Keepass ben ik ook nog niet verder. Hebben jullie toevallig ook al die case Numitor gedaan?

  • Ezz
  • Registratie: mei 2002
  • Laatst online: 16-04 12:29
Heb met hashcat nog wat pogingen gedaan pwd lijsten los te laten op de Keepass db, maar het ww zat iig niet in mijn lijsten. Ik kan het me niet voorstellen dat ze ons uitdagen om wat meer obscure pwd files te gaan zoeken, dus vermoed ik dat de KeePass een afleiding is.

Die tmp is idd heel interessant, maar nergens te vinden, had o.a. R-Linux hiervoor gebruikt. De verwijzing wat betreft de banken is SNS of ING, dus misschien toch ergens in de firefox omgeving zoeken.

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...


  • wizl
  • Registratie: maart 2001
  • Laatst online: 18-04 19:46

wizl

hmmz

Grappig, ik ben op het zelfde punt blijven steken. Toen aan Numitor begonnen.

Acties:
  • +1Henk 'm!

  • wizl
  • Registratie: maart 2001
  • Laatst online: 18-04 19:46

wizl

hmmz

Ezz schreef op dinsdag 30 juni 2020 @ 23:04:
Bij GEO dacht ik een makkie, maar de overeenkomstige coordinaten blijken niet de juiste te zijn.
Hier dezelfde conclusie (ik vond maar 1 overduidelijke kandidaat voor same place same time). Maar je moet de coördinaten exact invoeren zoals voorgesteld (XX.XXXX;Y.YYYY).

EDIT: en de CRYPTO challenge nu ook opgelost 8)

[Voor 6% gewijzigd door wizl op 15-07-2020 10:49]


  • Ezz
  • Registratie: mei 2002
  • Laatst online: 16-04 12:29
@wizl netjes dat je de crypto hebt opgelost. Top!!! Ben er zelf niet meer mee verder gegaan, maar dat is meer door een korte aandachtspanne. 8)7

...The needle was four feet long and thick as a pencil. I tried to run but the doctor had been an olympic javelin champion. My new nickname at the hospital is Bob - short for shishkabob...


  • wizl
  • Registratie: maart 2001
  • Laatst online: 18-04 19:46

wizl

hmmz

@Ezz Dank je! Je zat/zit in de goede richting te denken in elk geval.
spoiler:
Misschien als Josh viool -een snaarinstrument- had gespeeld?

[Voor 8% gewijzigd door wizl op 22-08-2020 11:14]

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True