Reto Rootbyte : Solucion paso a paso

Se conocen los siguientes datos :

Ip Origen (192.168.1.158) = RootByte
Uso del Software IM para establecer una conversacion por chat
Se busca :
*Nombre de usuario IP=192.168.1.158 de IM
*Nombre de archivo enviado por RootByte
*Numero Magico
*MD5 del archivo
*Contenido del archivo

Tools/Soft Utilizado
WIRESHARK(GUI)/TSHARK
TCPFLOW
Linux

Empezando...
Lo primero que hice fue empezar por hacerme una idea de la situacion, por lo tanto me enfoque en
buscar las apariciones de la ip otorgada por RootByte.
Para lograrlo comenze con Tshark y asi aparecio uno de los datos claves para resolver el reto...
5 0.918234 Vmware_b0:8d:62 -> Dell_4d:4f:ae ARP 60 Who has 192.168.1.159? Tell
192.168.1.10
6 0.918240 Dell_4d:4f:ae -> Vmware_b0:8d:62 ARP 60 192.168.1.159 is at 00:21:70:4d:4f:ae

192.168.1.159 es la ip que obtuve, donde se identifica facilmente una computadora portatil o laptop
de la marca DELL que seguramente podemos chequear con el MAC conseguido tambien en este
paquete, pero eso ya no me importa.
Continuo revisando el trafico cuando detecto otra computadora pero esta vez HP, con la famosa IP
192.168.1.158 que corresponde a RootByte.

Wireshark Screenshot

Pero aun mas interesante e importante a la vez es que mediante el protocolo SSL la pc RootByte se
conecta con "64.12.24.50" la cual mediante un hostname lookup nos indica lo siguiente

Pertenece a una direccion que nos indica que RootByte se conecta AIM.
Hasta ah vamos bien, solamente que ahora para agilizar el proceso d uso de la herramienta
TCPFLOW que se encuentra en los repos de KALI, perfectamente funcionales en Debian Jessie
como es en mi caso.

Esta tool lo que hace es filtrar el archivo con el trafico (.pcap) y nos entrega un output que separa
paquetes de datos en archivos que podemos luego leer en HEX.
Obtuve por lo tanto

Luego de analizar un momento me di cuenta que habia dos paquetes muy particulares
192.168.001.158.05190-192.168.001.159.01272
192.168.001.159.01272-192.168.001.158.05190
Un paso muy importante fue buscar informacion de como trabajan las conexiones de AIM en este
caso, fue entonces cuando anote el puerto 5190.Consegui un poco mas de informacion acerca de
este protocolo encontrandome con OSCAR que tambien es usado en otros programas como ICQ.
El primer paso del protocolo utilizado por AIM, OscarFileTransfer2, es:
1) El emisor utiliza el server AOL para indicar al receptor donde conectarse para la transferencia.
Por lo tanto la conexion 64.12.24.50 indica una transferencia de archivos entre RootByte y
192.168.1.159.
Viendo el contenido de ese paquete de datos encontr

Se puede ver a simple vista un usuario"Sec558user1"que corresponde a RootByte y el nombre de un

archivo "recipe.docx" el cual nos interesa muchisimo ya que en el reto se habla de una receta
secreta, traduciendo recipe al espaol nos damos cuenta que esto nos tiene que servir.

Para extraer el archivo debemos buscar el dump con el paquete de datos donde identifique el puerto
5190.
Voy a utilizar xxd(pariente de dd) para conseguir un hexdump de
192.168.001.158.05190-192.168.001.159.01272 (dump de TCPFLOW)
Entonces :

Una vez leyendo el dump en hexadecimal para poder extraer el archivo tuve que remover los
headers del dump, para esto incluso podemos usar xxd logrando asi exportar "recipe.docx".
Para lograrlo :

#-s busca los bytes para modificarlo

Pero porque 256 bytes? el protocolo OscarFileTransfer tiene un header de 256 bytes

Se puede entonces confirmar que nos encontramos con el archivo que sera transferido.
Ya tengo el archivo, ahora debo conseguir su MD5 y los 4 primeros bytes
Por logica voy a obtenerlo usando
8350582774e1d4dbe1d61d64c89e0ea1
Ahora voy a conseguir esos numeros magicos utilizando nuevamente xxd

# -ps nos permite leerlo como post-script

Resultado: 50-4b-03-04
Por ultimo...
En el reto se pide informacion acerca de los comentarios realizados entonces continue leyendo los
dump, encontre otra interaccion con el servidor de AIM donde aparecio lo siguiente

Para terminar abrimos el archivo por el cual hicimos este trabajito, consiguiendo un instructivo de
como provocar un desastre.

Termino este informe dejando un poco de info mia para que podamos hacer mas retos y asi
aumentar conocimientos, Saludos!
Twitter
Gmail
Facebook