Newbie CTF 2019: Top Secret

2020-03-21 von Mario

Challenge

He stole the virtual machine file containing the top secret of the enemy country.

However, due to the shortage of USB memory, I dumped only the memory that seemed to be the most important.

What is the secret of an enemy country? (Fake Flag file exists.)

 

Download: NewbieCTF2019_Top_Secret.zip (1,2GB)

Analyse

  • Entpacken der ZIP Datei (Nach dem Entpacken ist die Datei 4 GB groß)
  • Die entpackte Datei besitzt die Dateierweiterung “vmem”. Dieser Typ wird von Virtualisierungssoftware wie VMware, Virtualbox usw. verwendet. Dabei handelt es sich um ein Speicherabbild des RAM oder eines physischen Speichers einer virtuellen Maschine.
  • Für eine Analyse eines Speicherabbildes kann die Software Volatility Tool verwendet werden.
  • Eine Online-Referenz der Befehle steht ebenfalls bereit.
  • Das gesuchte Flag besitzt folgendes Format: “KorNewbie{???}”

1. Download Volatility Tool

$git clone https://github.com/volatilityfoundation/volatility

2. Installation

$cd volatility
$chmox +x setup.py
$./setup.py

Danach steht das Tool systemweit (/usr/bin/volatility) zur Verfügung.

Durchführung

Mit dem Befehl und zwei Parametern können grundsätzliche Informationen angezeigt werden.

volatility -f w7.vmem imageinfo
Parameter Beschreibung
-f Nach dem Parameter ist der Dateiname anzugeben (filename).
imageinfo Zeigt die Zusammenfassung des zu analysierenden Speicherabbildes an.

 

Mit den Informationen wird ersichtlich, dass es sich um ein Windows 7 Speicherabbild handelt. Als nächstes wird untersucht, welche Prozesse zum Zeitpunkt der Erstellung des Speicherabbildes gelaufen sind.

volatility -f w7.vmem --profile=Win7SP0x86 pslist

 

Parameter Beschreibung
–profile Gibt an, um welchen Typ von Speicherabbild es sich handelt. Der Wert kann der vorherigen Ausgabe (Suggested Profile(s)) entnommen werden.
pslist Zeigt eine Liste aller Prozesse an.

 

 

Jedem der Prozesse ist Speicher zugewiesen, welcher sich in diesem Abbild befindet. Jedoch ist die Frage, welcher Prozess beinhaltet das gesuchte Lösungswort (Flag)? Interessante Prozesse sind:

  • chrome.exe
  • mspaint.exe
  • SnippingTool.e
  • wordpad.exe
  • notpad.exe
  • cmd.exe

 

Jetzt gilt es, einem nach dem anderen zu analysieren…

Mit dem folgendem Befehl kann ein Speicherauszug (Teilmenge) aus dem Abbild erstellt werden, der genau einem Prozess entspricht:

volatility -f w7.vmem --profile=Win7SP0x86 memdump -p 3224 --dump-dir=tmp

Der Prozess “notpad.exe” besitzt die Nummer (PID) “3224”. In dem zuvor angelegten Ordner “tmp” wird eine Datei geschrieben, welche nur den Speicherinhalt des Prozesses “notpad.exe” beinhaltet.

 

Parameter Beschreibung
memdump Extrahieren des Speichers eines Prozesses in eine einzelne Datei.
-p Gibt die Prozessnummer an.
–dump-dir Angabe, in welchem Ordner der Speicherauszug abgelegt werden soll.

 

Die erstellte Datei “3224.dmp” befindet sich im Ordner “tmp”. Abschließend kommt das Tool “strings” zum Einsatz.

strings 3224.dmp | grep "KorNewbie"

Es werden alle Textinhalte der Datei “3224.dmp” ausgegeben und an den Befehl “grep” übergeben. Der Befehl “grep” sucht nach dem Text “KorNewbie”.

Bingo! Das wars! :)

Alternative

Der gesamte Prozess kann abgekürzt werden, indem mit “strings” direkt über das gesamte Speicherabbild gesucht wird. Funktioniert in dem Fall aber nur, weil das Flag in Textform vorliegt.

strings w7.vmem | grep -oE "KorNewbie{.*}
Kategorie: IT-Security Schlagwörter: ,

Hack-IT: Not K9 But ?

2020-02-13 von Mario

Auf der Seite “canyouhack.it” (leider down) in der Rubrik “Cryptography” gab es eine spannende Challenge.

Challenge

Not K9 But ?

8430727796730470662453

 

Analyse

Die Frage “Not K9 But ?” erinnert irgendwie sehr stark an T9.

Die Zahlen von 0 bis 9 sprechen ebenfalls dafür.

 

Information gathering

  • Auf Wikipedia ist die Tastenbelegung für die Zahlen 0 bis 9 zu finden.

  • Die Seite “canyouhack.it” war nur auf Englisch verfügbar. Die Wahrscheinlichkeit ist groß, dass die Lösung in englischer Sprache vorliegt.
  • Für die Zahl “0” gibt es keine Buchstaben, vermutlich beginnt bei jeder “0” ein neues Wort.

 

Durchführung

Erstellung eines Mappings der Ziffern zu den jeweiligen Buchstabenkombinationen.

Zahl T9 Letters
843 TUV | GHI | DEF
72779673 PQRS | ABC | PQRS | PQRS | WXYZ | MNO | PQRS | DEF
47 GHI | PQRS
662453 MNO | ABC | GHI | JKL | DEF

 

Als nächstes heißt es, probieren… Bei 843 ist das Wort recht schnell zu finden “THE”.

Zahl T9 Letters
843 TUV | GHI | DEF
72779673 PQRS | ABC | PQRS | PQRS | WXYZ | MNO | PQRS | DEF
47 GHI | PQRS
662453 MNO | MNO | ABC | GHI | JKL | DEF

 

Nach einigem Probieren ist das Lösungswort “mobile” gefunden.

 

Anmerkung

Falls das Probieren etwas zu “mühevoll” ist, kann der Vorgang auch durch ein Programm gelöst werden. Es werden alle Buchstabenkombinationen je Wort erstellt und gegen ein Wörterbuch abgeglichen. Daraufhin werden nur die Wörter angezeigt, die im Wörterbuch vorhanden sind. Falls es mehrere Möglichkeiten geben sollte, kann man wählen.

Genau so ein Programm wurde auch schon implementiert: t9-emulator.

 

Kategorie: IT-Security Schlagwörter:

36C3

2020-01-26 von Mario

Auch Ende 2019 fand der Chaos Communication Congress statt. Diesmal unter dem Motto “Resource exhaustion“.

Es gab spannende Vorträge, welche live im Internet übertragen wurden. Einige Vorträge habe ich konsumiert und diese sind hier aufgelistet:

  • Wie klimafreundlich ist Software?
  • Vom Ich zum Wir
  • “Hacker hin oder her”: Die elektronische Patientenakte kommt!
  • Geheimdienstliche Massenüberwachung vs. Menschenrechte
  • Das nützlich-unbedenklich Spektrum
  • Extinction Rebellion
  • FinFisher, See You in Court!
  • Von Menschen radikalisiert: Über Rassismus im Internet
  • Die Affäre Hannibal
  • Hackerparagraph § 202c StGB // Reality Check
  • 15 Jahre deutsche Telematikinfrastruktur (TI)
  • The_KGB_Hack_30_Years_Later
  • Security Nightmares 0x14
  • Gerechtigkeit 4.0
  • Hacker Jeopardy
  • Let’s play Infokrieg
  • Verkehrswende selber hacken
  • Offene Sensordaten für Jedermann – Ein Citizen Science Projekt basierend auf Open Source und Open Hardware
  • Kritikalität von Rohstoffen – wann platzt die Bombe?
  • Der Deep Learning Hype
  • Was hat die PSD2 je für uns getan?
  • How to Break PDFs
  • The Case for Scale in Cyber Security
  • Email authentication for penetration testers
  • The Great Escape of ESXi
  • SELECT code_execution FROM * USING SQLite;
  • Linux on Open Source Hardware with Open Source chip design
  • The sustainability of safety, security and privacy
  • On the insecure nature of turbine control systems in power generation
  • A Deep Dive Into Unconstrained Code Execution on Siemens S7 PLCs
  • Wohnungsbot: An Automation-Drama in Three Acts

 

Meine persönlichen Favoriten waren:

  • Der dezentrale Jahresrückblick des CCC
  • Hirne Hacken
  • BahnMining – Pünktlichkeit ist eine Zier

 

Die Vorträge können hier: media.ccc.de/c/36c3 angeschaut werden.

Kategorie: Unterhaltung Schlagwörter: , ,

Firefox – Optimieren

2020-01-18 von Mario

Der Browser Firefox verfügt über verschiedene Einstellungen, welche nicht alle über das Menü zu erreichen sind. In der Adresszeile den Befehl

about:config

eingeben und mit der Entertaste bestätigen. Danach muss noch der Sicherheitshinweis akzeptiert werden.

ff_performance

Im Suchfeld kann nach der jeweiligen Einstellung (Key) gesucht werden.

 

Die nachfolgende Tabelle beinhaltet einige Optimierungseinstellungen:

Einstellung Beschreibung
geo.enabled Der Wert des Eintrages kann mit einem Doppelklick auf “false” gesetzt werden. Dadurch wird die Ermittlung von Standortdaten im Firefox deaktiviert und Webseiten können diese nicht mehr anfragen.
geo.wifi.uri Der Wert des Eintrages kann mit einem Doppelklick auf “” (leer) gesetzt werden. Wie oben, um die Geolokalisierung zu deaktivieren.
network.captive-portal-service.enabled Der Wert des Eintrages kann mit einem Doppelklick auf “false” gestellt werden. Die kontinuierliche Anfrage bei Mozilla wird unterbunden.
extensions.pocket.enabled Wird der Wert auf “false” gesetzt, so ist die Erweiterung Pocket deaktiviert.
dom.event.contextmenu.enabled Wird der Wert auf “false” gesetzt, können Webseiten das Kontextmenü vom Firefox nicht ändern.
dom.event.clipboardevents.enabled Webseiten erhalten Benachrichtigungen (Events), wenn der Benutzer etwas von einer Webseite kopiert, einfügt oder ausschneidet, und lässt sie wissen, welcher Teil der Seite ausgewählt wurde. Wird der Wert auf “false” gesetzt, so ist dieses Feature deaktiviert.

Hinweis: Dadurch funktionieren bei einigen Webseiten die “STRG + C” und weitere Funktionen nicht mehr .
network.IDN_show_punycode Default-Wert für „network.IDN_show_punycode“ steht auf “false”. Für die Anzeige von Punycode-Domains in der „realen Schreibweise“ muss dieser Wert auf “true” gesetzt werden.
browser.search.geoip.url Den Wert auf “” (leer) setzen, dadurch wird die GeoIP-spezifische Standardsuchmaschine deaktiviert.
browser.send_pings

browser.send_pings.require_same_host

 Mit diesem Attribut können Websites die Klicks von Besuchern verfolgen. Den Wert auf “false” setzen, um das Feature zu deaktivieren.
dom.battery.enabled Den Wert auf “false” setzen, um das Auslesen der Batterieleistung durch Webseiten zu deaktivieren.
network.prefetch-next Beim Vorladen von Links weist eine Webseite den Browser darauf hin, dass bestimmte Seiten wahrscheinlich besucht werden, sodass der Browser sie sofort herunterlädt, damit sie sofort angezeigt werden können, wenn der Benutzer diese anfordert. Den Wert auf “false” setzen, um das Feature zu deaktivieren.
datareporting.policy.dataSubmissionEnabled

toolkit.telemetry.enabled

 Mit dem Parameter werden Telemetriedaten an den Hersteller übertragen. Zur Deaktivierung des Telemetrie Toolkits beide Werte auf “false” setzen.
toolkit.coverage.endpoint.base Den Wert auf “” (leer) setzen, dadurch werden keine Telemetriedaten an den Hersteller übertragen.
toolkit.coverage.opt-out

toolkit.telemetry.coverage.opt-out

 Um keine Telemetriedaten zu übertragen, die Werte neu anlegen und auf “true” setzen.

 

Kategorie: IT Schlagwörter: , ,

Rezension: Wie man Freunde gewinnt

2020-01-05 von Mario

Autor: Dale Carnegie

Taschenbuch:  304 Seiten

Verlag: FISCHER Taschenbuch; Auflage: 11 (9. September 2011)

Sprache: Deutsch

ISBN-10: 9783596190539

ISBN-13: 978-3596190539

Der Titel ist irreführend und sollte eher lauten: “Umgang mit Menschen”. Das Buch besteht aus vier Teilen:

  • 1. Teil: Grundregeln für den Umgang mit Menschen
  • 2. Teil: Sechs Möglichkeiten, sich beliebt zu machen
  • 3. Teil: Zwölf Möglichkeiten, die Menschen zu überzeugen
  • 4. Teil: Neun Möglichkeiten, die Menschen zu ändern ohne sie zu beleidigen oder zu verstimmen.

 

In jedem Kapitel werden je Regel, ein oder mehrere kurzweilige Geschichten erzählt. Am Ende wird jeweils ein kurzer Merksatz vermittelt. Mit dem Buch findet man definitv keine “Freunde”, das Verständnis, was eigentlich Freunde sind, ist für jeden Menschen individuell. Das Buch vermittelt viel mehr Umgangsformen/Methoden, um mit Menschen auf einer positiven und unterwürfigen Art und Weise zu interagieren.

Die beschriebenen Regeln helfen, stressige zwischenmenschliche Situationen zu vermeiden oder zu beseitigen. Weiterhin soll der eigene Charakter verbessert werden, indem man die Sympathie seiner Mitmenschen gewinnt.

Das Buch ist 1937 erschienen und das Alter merkt man dem Inhalt sehr stark an. Die Geschichten, welche die Regeln exemplarisch verdeutlichen, sind langgezogen und wiederholen sich oft. Weiterhin wird eine Strategie der Unterwürfigkeit im gesamten Buch vermittelt. Mit dieser Herangehensweise kann man heutzutage keinen Blumentopf mehr gewinnen.

Kurz und knapp: Der Inhalt passt locker auf 100 Seiten und die dargestellten psychologischen Bauerntricks stellen sein Gegenüber als dumm dar.

Dazu nur ein Zitat: “Man muss die Menschen nicht für dümmer halten als sich selbst!” – Maxim Gorki

 

Wertung: geht so

Kategorie: Bücher Schlagwörter: ,