Español | English
rss facebook linkedin Twitter

Reto 5

Tras una larga pausa, y haciendo caso a los comentarios de Trancek y chesco en el Call for Comments publicado hace unos días volvemos a la carga con un reto, esta vez un pelín diferente.


Para seguir con la costumbre, regalaremos un libro a la "mejor" solución. En este caso hemos elegido "Hacking: The Art of Exploitation, 2nd Edition", de Jon Erickson.

Valoraremos que se nos indique la solución y el camino que ha llevado a ella, pero también las pruebas realizadas y que se plasmen los distintos pensamientos, ideas, etc. Intentaremos consensuarlo entre un jurado formado por varias personas para tratar de ser objetivos y que no haya quejas en este sentido.

Por si sirve de ayuda en algún momento, una pista consiste en saber que soy un buen chico, sin mala intención, y que no me enfado ni levanto la voz fácilmente ;)

Como siempre, enviad las soluciones a labs@s21sec.com

Mikel Gastesi
S21sec labs

PD: No, no se me ha olvidado publicar el reto

29 comentarios:

Zipp0 dijo...

Yo no me he enterado de cual es el reto.. alguna pista más?? :s

salu2

S21sec labs dijo...

El reto está en el post. Tienes que analizar lo que he escrito y/o adjuntado para averiguar el camino correcto.

Es todo lo que puedo decir por ahora, que acabamos de empezar ;)

ruben dijo...

Mmm! a estas horas un buen shuffle es lo que apetece.

seo dijo...

habeis metido un código de afiliados?

Anónimo dijo...

.... ahí en lo adjuntado poca cosa eee xD

Haber si pa mañana pillo algo.

Trancek dijo...

Me pierdo con las adivinanzassss xDD, mm lo unico que vi fue lo del translate to english de google escondido xD y el post anterior a este...que no creo que sea buscar sobre esa vuln..pero quien sabe xD

Ademas tengo otras ideas que tengo que ver a ver si va por ahi lo del tipico chico malo chico bueno..mm a estas hroas es malo pensar :P

Saludos

Boken dijo...

Animo chicos que el primero de los varios pasos del reto esta "a la vista" jejeje.

Saludos.

S21sec labs dijo...

Hay poca cosa, pero algo hay, y en el mismo post.No busqueis fuera de este post, que no está hecho con tanta premeditación y mala leche.

...y Rubén, yo creo que cualquier hora es buena para un buen shuffle

Boken dijo...

Jejeje, estaba pasando un poco a limpio mi solucion y al copiar un enlace, acabo de pilla el "chiste" que os traeis Ruben y tu.

Si, un buen Shuffle, jejeje.

Saludos.

Trancek dijo...

ya ves menudo cachondeo!! xD, alguna forma de saber el charset de una cosa....ejej, es que va a 300 por segundo, y como que puede tirarse buen rato xD

S21sec labs dijo...

Ufff, no puedes saber el charset, pero puedes leer con atención el post original ;)

Trancek dijo...

La adivinanza de chico bueno y demas no me mola jeje, no me hace avanzar xD, nada dejo el programa a ver si encuentra algun password en el 7z a ver si saca algo, porque probe con claves logicas y no logre nada que pareciera bueno, solo con una me dio 255 bytes pero sin logica aparente.

ruben dijo...

Trancek es que a los chicos buenos les separa un abismo de los malos.
Más concrétamente el famoso abismo del 32. Acojona visto de cerca.

Trancek dijo...

Creo que ya pille las pistas con ayuda de un amigo claro...(porque como os dije soy corto pa eso xD)y si hay un gran abismo me imagino que sera larguisimo el password debido al famoso abismo del 32, asi que,a ver si no es tan largo porque como dije va a 300pwd/s xD

Estos retos estan hechos para superordenadores jeejej

S21sec labs dijo...

jajajaj, ya verás (ya habrás visto) como no hace falta ningún superordenador

David Sánchez Lavado dijo...

No estaria de mal, romperse un poco la cabeza y dejar de preguntar por cualquier cosa donde uno se queda atascado, para eso sirben los retos ... para superarse a uno mismo porque si por cada barrera que te encuentras te pones a preguntar ¿Qué merito tiene? así que ánimo ...

Trancek dijo...

David yo en la parte que pregunto es en la de sacar un password, como comprenderas un reto es para romperse la cabeza como dices, no para romper el ordenador calculando una pass que podria tener cualquier caracter normal y entre normal digo numeros, minusculas y mayusculas(Aqui tiene ventaja el que mas ordenadores tiene a su disposicion no el que mas sepa del tema)

En esa parte ahora mismo ando jodio porque la maquina virtual no me va y no tengo el suficiente tiempo como para codearme un buen crackeador, si has llegado a esa parte sabras de que hablo...

S21sec labs dijo...

Ya tenemos la primera solución en nuestro poder, de las manos de Rubén.

Muy muy buena solución ;)

Por otro lado, decir que ciertamente está pensado para romperte la cabeza, no la CPU, te aseguro que no necesitarás años para sacar la contraseña, ya que ese no es el objetivo, solo necesitarás el charset adecuado.

Trancek dijo...

ejje ya puse de nuevo el crackeador, a ver si hoy lo saca :P

Enhorabuena Rubén!!!

Boken dijo...

Enhorabuena Rubén.

Espero haber deducido correctamente el charset de las "adivinanzas" que pusistes en el enunciado.

Yo ya llevo 24h y nada de nada. A ver si hay suerte. Mi crackeador casero no va a 300/s, igual es por eso. ;D

Saludos.

S21sec labs dijo...

Creo que teneis algún problema con el fichero o con el programa que utilizais para aplicar la fuerza bruta, ya que no se debería tardar tanto tiempo...

Acabo de realizar una prueba, y a la irrisoria velocidad de unos 14 p/s ha tardado 5 minutos. Calculad el número de combinaciones probadas y a ver si vuestros datos os parecen razonables.

Saludos

Boken dijo...

Obviamente el charset elegido no es el adecuado, porque me salen pufff....

La cuestion es que no consigo deducir mas que 2 detalles del mismo con lo puesto en el blog. Y solo con esos datos me da un charset con el que llevo ya mas de 30h probando.

Alguna pista mas, o algo a destacar acerca del post original?

Saludos y gracias por todo.
P.D.: con mi brutoforce, he conseguido descomprimir un fichero de prueba con aa como pasword.

S21sec labs dijo...

En 30 horas debería haber salido sí o sí :(

El charset de mi test era "normal", basado en la pista del post inicial, que tampoco es nada muy rebuscado y seguro que está en tus detalles.

Trancek dijo...

mm es raro, el crackeador iba por 6 y como no terminaba al final pos tuve que apagar el pc..por lo o falla el charset, o falla el archivo(Me bajare todos los programas especificos de cada archivo para que no haya ningun problema, por si acaso, xk lo hice con uno especifico que descomprimia todo jeje...)

S21sec labs dijo...

Visto que hay problemas donde no se supone que se debe pasar mucho tiempo con el reto, voy a aclarar el tema de las pistas:

- Soy un buen chico, sin mala intención = La contraseña es fácil/corta

- No levanto la voz fácilmente = No se necesitan las letras en mayúsculas.

Siendo más claros, la contraseña está formada por letras minúsculas y su longitud no es mayor de 4. ;)

Saludos

Trancek dijo...

ejeje, posiblemente sea problema de haber descomprimido todo con el mismo programa...porque si no es raro de cojones...ya que el progamita bueno iba por 6 caracteres y no lo sacaba.Asi que a volver a hacer todos los pasos yprobarlo de nuevo, thankss jeje

S21sec labs dijo...

Tenemos una segunda solución de mano de Jaime :)

Ánimo a los que lo esteis intentando.

Saludos,

Trancek dijo...

ejeje hay quien se kedo en la ultima parte xD, es que no podeis hacer pensar tanto a alguien xD, asi que lo mas probable que me quede ya aqui

Anónimo dijo...

Juas!, yo directamente ni he conseguido el fichero ...


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login