jueves, 22 de agosto de 2013

Mi solución al reto hacking: "BarceLOnas, ¿dónde está mi sobre?" de @fluproject


 Antes de empezar, he de aclarar que era "mi primera vez" en temas de informática forense, por tanto, seguramente hay opciones mejores (mejor software), pero después de leerme tropecientos cosas, esta fue mi solución al reto que había propuesto flu sobre BarceLOnas.
"""
 Antes de continuar aquí tenéis la solución propuesta por ellos:
 """
  Como novato en la temática, ya he comentado que me ha tocado leer bastante para saber por donde empezar. Entre las recomendaciones de aplicaciones había una recurrente, ésta era autopsy (en kali ya viene instalada).
  Su utilización no ha sido excesivamente compleja, lo lanzamos desde la terminal (es decir, lanzamos el servidor) y después desde el navegador nos conectamos:
http://localhost:9999/autopsy

En esta aplicación creamos un nuevo caso y le asociamos un nombre.
 
  A continuación pulsamos en add host dos veces sin tocar nada hasta que nos preguntara por la imagen a cargar. Aquí pulsamos en add image file y especificamos la ruta de la imagen y en type marcamos particion.

  Por último pulsamos add y seleccionando la partición sobre la que trabajaremos pulsamos en analyze.

  En esta zona, a partir del submenú de arriba interaccionamos con la aplicación.

 
  Pulsando en File Analisis nos mostrará todos los archivos que ha encontrado junto con los eliminados (éstos marcados en rojo). Estos últimos son los que nos interesarán.
  El que nos llama mas la atención es Ututumbu.doc, ya que en la preview ofrecida por la aplicación distinguimos la cadena "xl/media/Contabilidad.jpg".
 
 Acto seguido vamos a recuperar el archivo doc eliminado, para ello pulsamos en export y ya lo tendremos disponible.

  Al abrirlo con win-rar vemos una estructura de archivos, y si avanzamos en esta a la ruta que habíamos visto antes nos encontraremos con la imagen contabilidad.jpg la que nos muestrá dos direcciones con los regalos de nuestro amigo BarceLOnas ;)

  
He aquí los regalos ;)






  Comparando ambas soluciones yo me deje dos cosas, la primera fue el contenido (el texto) del archivo doc que en realidad era un xlsx. Puesto que yo lo abrí sobre Kali (GNU/Linux) con Libreoffice y no con Office en Windows éste no me mostró ningún error y me abrió el archivo con Calc. Ya que no vi nada raro, tampoco preste atención al texto pues estaba buscando algo mas rebuscado, así que se me pasó :D


 El segundo dato que ignoré fue la imagen de la casa, concretamente ésta:

 De un primer momento sabia que la casa era "El palacio Real de Pedralbes" pues arrastrándolo a Google Imágenes ya mostraba esa información:


 Pero claro, no iba a ser tan "obvio" y, puesto que recientemente me había estado empapando de temas similares, supuse que se trataba de File Carving. Dicha técnica consistía en esconder fragmentos de datos dentro de otros, dicho brútamente, meter archivos dentro de otros.

  Leyendo más sobre el tema, resulta que la imagen contenedora podría sufrir fragmentación y perder calidad, un resultado muy similar a la imagen que teníamos, con lo que llegué a la irrefutable conclusión de que la imagen contenía otro archivo con los datos restantes para el reto y con esto, buscando dentro de la imagen "en busca del arca perdida" gasté horas, para obviamente no encontrar nada :D


En resumen, he aprendido mucho, he gastado una cantidad considerable de horas, pero muy divertido el reto. Espero en el próximo no pecar de novato.

Nos leemos en breve ;)


Aetsu
5 0verl0ad Labs: Mi solución al reto hacking: "BarceLOnas, ¿dónde está mi sobre?" de @fluproject  Antes de empezar, he de aclarar que era "mi primera vez" en temas de informática forense, por tanto, seguramente hay opcione...

No hay comentarios:

< >