Newbie CTF 2019: Top Secret

2020-03-21 von admin

Challenge

He stole the virtual machine file containing the top secret of the enemy country.

However, due to the shortage of USB memory, I dumped only the memory that seemed to be the most important.

What is the secret of an enemy country? (Fake Flag file exists.)

 

Download: NewbieCTF2019_Top_Secret.zip (1,2GB)

Analyse

  • Entpacken der ZIP Datei (Nach dem Entpacken ist die Datei 4 GB groß)
  • Die entpackte Datei besitzt die Dateierweiterung „vmem“. Dieser Typ wird von Virtualisierungssoftware wie VMware, Virtualbox usw. verwendet. Dabei handelt es sich um ein Speicherabbild des RAM oder eines physischen Speichers einer virtuellen Maschine.
  • Für eine Analyse eines Speicherabbildes kann die Software Volatility Tool verwendet werden.
  • Eine Online-Referenz der Befehle steht ebenfalls bereit.
  • Das gesuchte Flag besitzt folgendes Format: „KorNewbie{???}“

1. Download Volatility Tool

$git clone https://github.com/volatilityfoundation/volatility

2. Installation

$cd volatility
$chmox +x setup.py
$./setup.py

Danach steht das Tool systemweit (/usr/bin/volatility) zur Verfügung.

Durchführung

Mit dem Befehl und zwei Parametern können grundsätzliche Informationen angezeigt werden.

volatility -f w7.vmem imageinfo
Parameter Beschreibung
-f Nach dem Parameter ist der Dateiname anzugeben (filename).
imageinfo Zeigt die Zusammenfassung des zu analysierenden Speicherabbildes an.

 

Mit den Informationen wird ersichtlich, dass es sich um ein Windows 7 Speicherabbild handelt. Als nächstes wird untersucht, welche Prozesse zum Zeitpunkt der Erstellung des Speicherabbildes gelaufen sind.

volatility -f w7.vmem --profile=Win7SP0x86 pslist

 

Parameter Beschreibung
–profile Gibt an, um welchen Typ von Speicherabbild es sich handelt. Der Wert kann der vorherigen Ausgabe (Suggested Profile(s)) entnommen werden.
pslist Zeigt eine Liste aller Prozesse an.

 

 

Jedem der Prozesse ist Speicher zugewiesen, welcher sich in diesem Abbild befindet. Jedoch ist die Frage, welcher Prozess beinhaltet das gesuchte Lösungswort (Flag)? Interessante Prozesse sind:

  • chrome.exe
  • mspaint.exe
  • SnippingTool.e
  • wordpad.exe
  • notpad.exe
  • cmd.exe

 

Jetzt gilt es, einem nach dem anderen zu analysieren…

Mit dem folgendem Befehl kann ein Speicherauszug (Teilmenge) aus dem Abbild erstellt werden, der genau einem Prozess entspricht:

volatility -f w7.vmem --profile=Win7SP0x86 memdump -p 3224 --dump-dir=tmp

Der Prozess „notpad.exe“ besitzt die Nummer (PID) „3224“. In dem zuvor angelegten Ordner „tmp“ wird eine Datei geschrieben, welche nur den Speicherinhalt des Prozesses „notpad.exe“ beinhaltet.

 

Parameter Beschreibung
memdump Extrahieren des Speichers eines Prozesses in eine einzelne Datei.
-p Gibt die Prozessnummer an.
–dump-dir Angabe, in welchem Ordner der Speicherauszug abgelegt werden soll.

 

Die erstellte Datei „3224.dmp“ befindet sich im Ordner „tmp“. Abschließend kommt das Tool „strings“ zum Einsatz.

strings 3224.dmp | grep "KorNewbie"

Es werden alle Textinhalte der Datei „3224.dmp“ ausgegeben und an den Befehl „grep“ übergeben. Der Befehl „grep“ sucht nach dem Text „KorNewbie“.

Bingo! Das wars! :)

Alternative

Der gesamte Prozess kann abgekürzt werden, indem mit „strings“ direkt über das gesamte Speicherabbild gesucht wird. Funktioniert in dem Fall aber nur, weil das Flag in Textform vorliegt.

strings w7.vmem | grep -oE "KorNewbie{.*}
Kategorie: IT-Security Schlagwörter: ,

Hack-IT: Not K9 But ?

2020-02-13 von admin

Auf der Seite „canyouhack.it“ (leider down) in der Rubrik „Cryptography“ gab es eine spannende Challenge.

Challenge

Not K9 But ?

8430727796730470662453

 

Analyse

Die Frage „Not K9 But ?“ erinnert irgendwie sehr stark an T9.

Die Zahlen von 0 bis 9 sprechen ebenfalls dafür.

 

Information gathering

  • Auf Wikipedia ist die Tastenbelegung für die Zahlen 0 bis 9 zu finden.

  • Die Seite „canyouhack.it“ war nur auf Englisch verfügbar. Die Wahrscheinlichkeit ist groß, dass die Lösung in englischer Sprache vorliegt.
  • Für die Zahl „0“ gibt es keine Buchstaben, vermutlich beginnt bei jeder „0“ ein neues Wort.

 

Durchführung

Erstellung eines Mappings der Ziffern zu den jeweiligen Buchstabenkombinationen.

Zahl T9 Letters
843 TUV | GHI | DEF
72779673 PQRS | ABC | PQRS | PQRS | WXYZ | MNO | PQRS | DEF
47 GHI | PQRS
662453 MNO | ABC | GHI | JKL | DEF

 

Als nächstes heißt es, probieren… Bei 843 ist das Wort recht schnell zu finden „THE“.

Zahl T9 Letters
843 TUV | GHI | DEF
72779673 PQRS | ABC | PQRS | PQRS | WXYZ | MNO | PQRS | DEF
47 GHI | PQRS
662453 MNO | MNO | ABC | GHI | JKL | DEF

 

Nach einigem Probieren ist das Lösungswort „mobile“ gefunden.

 

Anmerkung

Falls das Probieren etwas zu „mühevoll“ ist, kann der Vorgang auch durch ein Programm gelöst werden. Es werden alle Buchstabenkombinationen je Wort erstellt und gegen ein Wörterbuch abgeglichen. Daraufhin werden nur die Wörter angezeigt, die im Wörterbuch vorhanden sind. Falls es mehrere Möglichkeiten geben sollte, kann man wählen.

Genau so ein Programm wurde auch schon implementiert: t9-emulator.

 

Kategorie: IT-Security Schlagwörter:

36C3

2020-01-26 von admin

Auch Ende 2019 fand der Chaos Communication Congress statt. Diesmal unter dem Motto „Resource exhaustion„.

Es gab spannende Vorträge, welche live im Internet übertragen wurden. Einige Vorträge habe ich konsumiert und diese sind hier aufgelistet:

  • Wie klimafreundlich ist Software?
  • Vom Ich zum Wir
  • „Hacker hin oder her“: Die elektronische Patientenakte kommt!
  • Geheimdienstliche Massenüberwachung vs. Menschenrechte
  • Das nützlich-unbedenklich Spektrum
  • Extinction Rebellion
  • FinFisher, See You in Court!
  • Von Menschen radikalisiert: Über Rassismus im Internet
  • Die Affäre Hannibal
  • Hackerparagraph § 202c StGB // Reality Check
  • 15 Jahre deutsche Telematikinfrastruktur (TI)
  • The_KGB_Hack_30_Years_Later
  • Security Nightmares 0x14
  • Gerechtigkeit 4.0
  • Hacker Jeopardy
  • Let’s play Infokrieg
  • Verkehrswende selber hacken
  • Offene Sensordaten für Jedermann – Ein Citizen Science Projekt basierend auf Open Source und Open Hardware
  • Kritikalität von Rohstoffen – wann platzt die Bombe?
  • Der Deep Learning Hype
  • Was hat die PSD2 je für uns getan?
  • How to Break PDFs
  • The Case for Scale in Cyber Security
  • Email authentication for penetration testers
  • The Great Escape of ESXi
  • SELECT code_execution FROM * USING SQLite;
  • Linux on Open Source Hardware with Open Source chip design
  • The sustainability of safety, security and privacy
  • On the insecure nature of turbine control systems in power generation
  • A Deep Dive Into Unconstrained Code Execution on Siemens S7 PLCs
  • Wohnungsbot: An Automation-Drama in Three Acts

 

Meine persönlichen Favoriten waren:

  • Der dezentrale Jahresrückblick des CCC
  • Hirne Hacken
  • BahnMining – Pünktlichkeit ist eine Zier

 

Die Vorträge können hier: media.ccc.de/c/36c3 angeschaut werden.

Kategorie: Unterhaltung Schlagwörter: ,

Firefox – Optimieren

2020-01-18 von admin

Der Browser Firefox verfügt über verschiedene Einstellungen, welche nicht alle über das Menü zu erreichen sind. In der Adresszeile den Befehl

about:config

eingeben und mit der Entertaste bestätigen. Danach muss noch der Sicherheitshinweis akzeptiert werden.

ff_performance

Im Suchfeld kann nach der jeweiligen Einstellung (Key) gesucht werden.

 

Die nachfolgende Tabelle beinhaltet einige Optimierungseinstellungen:

Einstellung Beschreibung
geo.enabled Der Wert des Eintrages kann mit einem Doppelklick auf „false“ gesetzt werden. Dadurch wird die Ermittlung von Standortdaten im Firefox deaktiviert und Webseiten können diese nicht mehr anfragen.
geo.wifi.uri Der Wert des Eintrages kann mit einem Doppelklick auf „“ (leer) gesetzt werden. Wie oben, um die Geolokalisierung zu deaktivieren.
network.captive-portal-service.enabled Der Wert des Eintrages kann mit einem Doppelklick auf „false“ gestellt werden. Die kontinuierliche Anfrage bei Mozilla wird unterbunden.
extensions.pocket.enabled Wird der Wert auf „false“ gesetzt, so ist die Erweiterung Pocket deaktiviert.
dom.event.contextmenu.enabled Wird der Wert auf „false“ gesetzt, können Webseiten das Kontextmenü vom Firefox nicht ändern.
dom.event.clipboardevents.enabled Webseiten erhalten Benachrichtigungen (Events), wenn der Benutzer etwas von einer Webseite kopiert, einfügt oder ausschneidet, und lässt sie wissen, welcher Teil der Seite ausgewählt wurde. Wird der Wert auf „false“ gesetzt, so ist dieses Feature deaktiviert.

Hinweis: Dadurch funktionieren bei einigen Webseiten die „STRG + C“ und weitere Funktionen nicht mehr .

network.IDN_show_punycode Default-Wert für „network.IDN_show_punycode“ steht auf „false“. Für die Anzeige von Punycode-Domains in der „realen Schreibweise“ muss dieser Wert auf „true“ gesetzt werden.
browser.search.geoip.url Den Wert auf „“ (leer) setzen, dadurch wird die GeoIP-spezifische Standardsuchmaschine deaktiviert.
browser.send_pings

browser.send_pings.require_same_host

Mit diesem Attribut können Websites die Klicks von Besuchern verfolgen. Den Wert auf „false“ setzen, um das Feature zu deaktivieren.
dom.battery.enabled Den Wert auf „false“ setzen, um das Auslesen der Batterieleistung durch Webseiten zu deaktivieren.
network.prefetch-next Beim Vorladen von Links weist eine Webseite den Browser darauf hin, dass bestimmte Seiten wahrscheinlich besucht werden, sodass der Browser sie sofort herunterlädt, damit sie sofort angezeigt werden können, wenn der Benutzer diese anfordert. Den Wert auf „false“ setzen, um das Feature zu deaktivieren.
datareporting.policy.dataSubmissionEnabled

toolkit.telemetry.enabled

Mit dem Parameter werden Telemetriedaten an den Hersteller übertragen. Zur Deaktivierung des Telemetrie Toolkits beide Werte auf „false“ setzen.
toolkit.coverage.endpoint.base Den Wert auf „“ (leer) setzen, dadurch werden keine Telemetriedaten an den Hersteller übertragen.
toolkit.coverage.opt-out

toolkit.telemetry.coverage.opt-out

Um keine Telemetriedaten zu übertragen, die Werte neu anlegen und auf „true“ setzen.

 

Kategorie: IT Schlagwörter: ,

Rezension: Wie man Freunde gewinnt

2020-01-05 von admin

Autor: Dale Carnegie

Taschenbuch:  304 Seiten

Verlag: FISCHER Taschenbuch; Auflage: 11 (9. September 2011)

Sprache: Deutsch

ISBN-10: 9783596190539

ISBN-13: 978-3596190539

Der Titel ist irreführend und sollte eher lauten: „Umgang mit Menschen“. Das Buch besteht aus vier Teilen:

  • 1. Teil: Grundregeln für den Umgang mit Menschen
  • 2. Teil: Sechs Möglichkeiten, sich beliebt zu machen
  • 3. Teil: Zwölf Möglichkeiten, die Menschen zu überzeugen
  • 4. Teil: Neun Möglichkeiten, die Menschen zu ändern ohne sie zu beleidigen oder zu verstimmen.

 

In jedem Kapitel werden je Regel, ein oder mehrere kurzweilige Geschichten erzählt. Am Ende wird jeweils ein kurzer Merksatz vermittelt. Mit dem Buch findet man definitv keine „Freunde“, das Verständnis, was eigentlich Freunde sind, ist für jeden Menschen individuell. Das Buch vermittelt viel mehr Umgangsformen/Methoden, um mit Menschen auf einer positiven und unterwürfigen Art und Weise zu interagieren.

Die beschriebenen Regeln helfen, stressige zwischenmenschliche Situationen zu vermeiden oder zu beseitigen. Weiterhin soll der eigene Charakter verbessert werden, indem man die Sympathie seiner Mitmenschen gewinnt.

Das Buch ist 1937 erschienen und das Alter merkt man dem Inhalt sehr stark an. Die Geschichten, welche die Regeln exemplarisch verdeutlichen, sind langgezogen und wiederholen sich oft. Weiterhin wird eine Strategie der Unterwürfigkeit im gesamten Buch vermittelt. Mit dieser Herangehensweise kann man heutzutage keinen Blumentopf mehr gewinnen.

Kurz und knapp: Der Inhalt passt locker auf 100 Seiten und die dargestellten psychologischen Bauerntricks stellen sein Gegenüber als dumm dar.

Dazu nur ein Zitat: „Man muss die Menschen nicht für dümmer halten als sich selbst!“ – Maxim Gorki

 

Wertung: geht so

Kategorie: Bücher Schlagwörter: ,

Empfehlenswerte Serien (Teil 2)

2019-12-24 von admin

Nachdem meine Empfehlungen für gute Serien schon eine Weile her sind (Empfehlenswerte Serien), gibt es hier ein Update. Diesesmal sind es lediglich 8 Serien geworden. Alle besitzen Suchtpotenzial, also Vorsicht!

 

1. Billions

Wertpapierhandel an der Wallstreet im großen Stil und jede Menge Politik.

 

2. Lost in Space

Familie Robinson ist auf einem Planeten verschollen und kämpft ums Überleben.

 

3. Cobra Kai

Karate Kid, die Fortsetzung … kurz und knapp GROSSARTIG :)

 

4. The 100

Eine nukleare Katastrophe hat die Erde verseucht. Nach 97 Jahren soll sie neu bevölkert werden, doch es gibt Probleme …

 

5. How To Sell Drugs Online (FAST)

Wer schon immer wissen wollte, wie man Drogen im Internet verkauft, ist hier richtig. Nach dem Motto „Nerd today, Boss tomorrow“. … Lachen vorprogrammiert :)

 

6. The Purge

In den USA sind für 12 Stunden die Grundgesetze aufgehoben und Mord und Totschlag werden nicht bestraft. Nichts für schwache Nerven.

 

7. Chernobyl

Eine fünfteilige Serie über den Atomkraftwerkunfall von 1986 in Chernobyl. Die düstere Stimmung wird durch die Musik und die leicht angegrauten Bilder sehr gut transportiert.

 

8. The Mandalorian

The Mandalorian, die erste Star Wars Serie.

 

Kategorie: Unterhaltung

Zitate Nr. 444 – Wenn man 50 Dollar schulden hat, so ist man …

2019-11-23 von admin

Wenn man 50 Dollar Schulden hat, so ist man ein Schnorrer. Hat jemand 50.000 Dollar Schulden, so ist er ein Geschäftsmann. Wer 50 Millionen Dollar Schulden hat, ist ein Finanzgenie. 50 Milliarden Dollar Schulden haben – das kann nur der Staat.

von Unbekannt

Kategorie: Zitate Schlagwörter:

Linux: Massenverarbeitung Bilder verkleinern

2019-11-17 von admin

Bilder besitzen von Zeit zu Zeit eine große Auflösung, welche sich in der Dateigröße und in der Qualität widerspiegeln. Benötigt man weder das Eine noch das Andere, so können die Bilder mit verschiedenen Tools verkleinert werden.

Bei einem Bild ist die manuelle Konvertierung noch praktikabel, bei mehreren Bildern hingegen nicht. Unter Linux kann die Shell zur Massenverarbeitung verwendet werden. Als Voraussetzung wird das Programm „convert“ benötigt, welches bei der Installation von ImageMagick mitgeliefert wird.

 

Installation von ImageMagick:

sudo apt-get install imagemagick

 

Mit dem Kommandozeilenprogramm „convert“ und ein wenig Bash Script ist die Konvertierung in einer Konsole sehr einfach umzusetzen. Dafür ein Terminal öffnen und in den Ordner wechseln, in dem sich die Bilder befinden. Jetzt den Einzeiler einfügen und ausführen. Die Bilder werden daraufhin um 50% verkleinert.

for i in $(ls *.png); do convert -resize 50% $i neu_$i; done

 

Code Beschreibung
for i in $(ls *.png); Eine Schleife über alle PNG Dateien im aktuellen Ordner.
do Beginn des Schleifeninhaltes
convert -resize 50% $i neu_$i; Mit dem Programm „convert“ wird jedes einzelne Bild um 50% (X-Achse) verkleinert.

Die Y-Achse wird proportional berechnet. Weiterhin wird jeweils ein neuer Dateiname „neu_ALTERNAME.png“ vergeben.

Die Variable „$i“ steht für den jeweiligen Dateinamen.

done Ende des Schleifeninhaltes

 

Kategorie: IT Schlagwörter: , , , ,