Forensics Online Wargame

Yo estoy por pensar que la clave esta en que es lo que hace ese servicio instalado. Como la "question" del level 2 dice Simple backdoor, y sumando a esto a la conexion entre 2 maquinas que se observa analizando el .pcap, ¿quizas se podria deducir que lo que hay que hacer para resolver el problema es conectarse por ssh a un puerto (en mi analisis de la captura creo recordar que se abria el 7979) y luego ya veremos?

La conexion ssh yo creo que es del creador de la prueba conectandose a la maquina virtual linux para lanzar el servidor o C&C, el cual, este ultimo si, responde en el puerto 7979.

A mi modo de ver, y siguiendo con las elucubraciones, el quid estaria en encontrar el comando adecuado que, una vez lanzado al cliente, permita obtener el flag necesario para poder acceder al siguiente nivel, que no te dire donde se almacena para dejar que te diviertas un rato buscandolo

Tambien estudiare cuando pueda lo que hace ese servicio. Si es que consigo instalarlo, porque el event viewer me saltaba con un error.

Si no te importa podrias pegarme el evento generado por el intento de instalacion del servicio, o lo que sea que obtengas, por contrastar con mis propias pistas.

Saludos

Claro neo, ahi va lo que me salta en el eventvwr.

Es un XP en ingles que uso como conejillo de indias en pruebas de malware. Esto es lo que me sale como Error en Application con "BITS" como Source.

StartServiceCtrlDispatcher failed with 0

Saludos,

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo

Hola:

P.D. Arakiss, si sigues interesado en el wargame podriamos darte alguna pista o algo

Te lo agradecería mucho,y porsupuesto que aun sigo interesado en el wargame ...seguramente haya mas gente que este interesada pero por no saber por donde empezar no habrán dicho nada je je je

PD: Sino me equivoco en el blog de neo,se ha hablado de ello...pero le he echado un vistazo rápido y es posible que me haya equivocado.

Salu2 y gracias!

http://neosysforensics.blogspot.com/200 ... rving.html



Saludos

saludos...

no espero mas de ustedes son los maximo...
y me siento tan bien pertenecer a este foro la verdad es que los felicito a cada uno de ustede..!! d verad q son lo maximo
mientras yo espero a leer un poco mas para entrar a este reto felicidades...

bueno saludo y suerto a todos

Hola,

no sé si seguís jugando a esto, pero casi lo tenéis... en la captura tenéis una conexión real del troyano, pero cifrada. Buscando en el ejecutable podréis hacer un ataque de texto plano (por llamarlo con un nombre rimbombante) sin necesidad de saber mucho de reversing.

Supongo que sabiendo reversing será aún más fácil, pero no es mi caso.

Ánimo!

La verdad es que lo tenia bastante abandonado, sera cuestion de sacar un poco de tiempo ... maldito tiempo

Saludos

PD: por cierto, ¡enhorabuena!

Gracias por la pista. A ver si el calor nos permite continuar.

Y enhorabuena ramandi.

Para los que esteis atascados en el primer nivel, aparte de la entrada de neo, solo comentar que foremost tiene una opcion para "ir a saco" con todos los formatos de archivo... consultad el man

Suerte,