Ir para conteúdo
Entre para seguir isso  
arkham_

DÉCIMO TERCEIRO DESAFIO - FSOCIETY BRASIL

Recommended Posts

Poderiam voltar mesmo com as CTF's, eu acho o melhor jeito de aprender e se divertir.

 

Dica pra galera que quer aprender, façam os CTFS.

 

<3

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu fiz uns testes aqui, tenho mais ou menos uma ideia de como resolver, mas estou no trabalho, vou precisar do meu PC em casa pra resolver. Mais tarde se eu conseguir mando um oi aqui

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
10 horas atrás, pwn4ppl3 disse:

Eu fiz uns testes aqui, tenho mais ou menos uma ideia de como resolver, mas estou no trabalho, vou precisar do meu PC em casa pra resolver. Mais tarde se eu conseguir mando um oi aqui

opa blz

 

(nem lembro de ter posto no ar de novo)

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 05/01/2018 em 19:33, arkham_ disse:

opa blz

 

(nem lembro de ter posto no ar de novo)

É, eu meio que estive mega ocupado nesse fds e não consegui tentar, mas digamos que eu testei escrever um script php e salvar com a extensão jpeg.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, Caio2323 disse:

Captura de tela de 2018-01-08 14-05-46.png

Devo ter o backup por aqui em algum lugar, de toda forma não é algo que repostarei tão cedo. Depois explique como fez pra galera.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Como voce e o adm voce que manda, vlw pelo desafio, abraços !

Se alguem quiser explicação outro dia eu escrevo ou sei la...

Editado por Caio2323

Compartilhar este post


Link para o post
Compartilhar em outros sites
19 horas atrás, Caio2323 disse:

Como voce e o adm voce que manda, vlw pelo desafio, abraços !

Se alguem quiser explicação outro dia eu escrevo ou sei la...

Faz um vídeo, posta no seu canal, me manda que a gente compartilha no grupo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Blz cara ! Pode deixar ! So tou meio enrolado  mais vai sair !

41 minutos atrás, Apoc disse:

Faz um vídeo, posta no seu canal, me manda que a gente compartilha no grupo.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  



  • Conteúdo Similar

    • Por arkham_
      Vencedor:  rapt00r - Vitor Fernandes (https://www.facebook.com/vitor.fernandez.545)
       
      Nível 1

      MD5 dab64765f3d4fc29ced777be274337ea  = hacking
       
      Nível 2

      Um enorme texto em inglês. No fonte da página temos a dica "I'm a spam mimic". Pesquisando no Google, chegamos a http://www.spammimic.com/
      uma página que codifica/decodifica pequenas mensagens em um grande texto (spam). Jogue o texto na opção decode e terá a senha: spam_hater
       
      Nível 3

       
      Temos VmpGU1QxTXlUa2hVYTJ4V1lteHdXbFJYTVc5aU1XdDVUVlpLUzFaRk5VWSUzRA==  que claramente está em base64 e a dica "5 é seu número de sorte". O que você precisa fazer é decodificar a string 5 vezes:
      VmpGU1QxTXlUa2hVYTJ4V1lteHdXbFJYTVc5aU1XdDVUVlpLUzFaRk5VWSUzRA==
      1x VjFST1MyTkhUa2xWYmxwWlRXMW9iMWt5TVZKS1ZFNUY=
      2x V1ROS2NHTklVblpZTW1ob1kyMVJKVE5F
      3x WTNKcGNIUnZYMmhoY21RJTNE
      4x Y3JpcHRvX2hhcmQ=
      5x cripto_hard
      Senha: cripto_hard
       
      Nível 4

       
      O arquivo tem o seguite:
      67d0c850ab0a635520fe5e664a6d485e a1598c243dbd99d0fb3220439c38ecad
      calo zarli
      pucom dorta
      vena dorga
      lisba coti
      maar radu
      lete saovi
      chafe radu
      Aqui cada linha é uma palavra que foi embaralhada na seguinte ordem: 2 - 1 - 4 - 3
      calo zarli -> localizar
      pucom dorta -> computador
      vena dorga -> navegador
      lisba coti -> balistico
      maar radu -> armadura
      lete saovi -> televisao
      chafe radu -> fechadura
      Fazemos o mesmo com a hash
      20fe5e664a6d485e67d0c850ab0a6355fb3220439c38ecada1598c243dbd99d0
      Que tipo de hash é essa? Havia uma dica escrita no título da página "256". Referencia a sha256.
      Decriptando a hash temos: processador
      Nível 5

      Ao ler o QRCode da imagem, temos:
      68 74 74 70 3a 2f 2f 69 2e 69 6d 67 75 72 2e 63 6f 6d 2f 79 63 64 67 39 56 71 2e 70 6e 67
      Hexadecimal que traduzido traz o link de uma imagem: http://i.imgur.com/ycdg9Vq.png

       
      Nível 6

      O arquivo ship está protegido por senha que não está tão na cara assim. O nome da imagem acima tem a senha (que é king no caso). Ainda havia uma dica no grupo do facebook "Only the king can enter in the ship".
      Dentro do rar temos uma imagem navio.jpg, basta fazer o processo de sempre, encontrar o arquivo escondido na imagem.

       
      O arquivo bau_do_tesouro.veracrypt deve ser aberto com o programa veracrypt

      Vai pedir uma senha para abrir o baú. A senha estava escondido na primeira imagem. Bastava usar o comando strings para vê-la:

       
      Use chavedeouro como senha e vai aparecer um "disco/partição virtual", basta abrir pra pegar o arquivo com a senha:

       
      Nível 7

       

      O nível te direcionava aos Anonynoobs. Use de sql injection... Tente um login e senha aleatórios e faça pelo sqlmap
      sqlmap -u "http://arkham.webcindario.com/cba1409e525174ecc13175862411cbcb.php?username=teste&password=123456&action=login" --dbs
      Não vou incluir os outros passos que vocês conhecem bem, no final:

       
      Use a conta de administrador no Anonynoobs e será lhe dado a senha do nível:

       
       
      Nível 8

       
      O nível 8 foi um vacilo meu, não era pra ser assim, mas basta fazer o comando strings:

      Senha: wire_shark_77a
       
      Nível 9

      Baixe a imagem corrompida, ao ler pelo strings, temos:

      Edite a imagem e apague a frase. Agora pode ver a imagem normalmente:

      Senha: kali_linux_krl
       
      Nível 10

      Baixe o arquivo 1000.tar.gz. Ao descompactar, vai ver o 999.tar.bz2 e depois 998.tar.gz e assim por diante...
      O nível 10 é muito parecido com o Segundo Desafio, a diferença é que temos arquivos tar.gz e bz2 intercalados. Você pode usar o mesmo script feito pro desafio 2, apenas modificando pra abrir tar.gz nos pares e tar.bz2 nos ímpares. Dentro de 1.tar.bz2, temos o arquivo com a senha: zig_zag_compac
       
      Nível 11

       
       
    • Por arkham_
      Nível 1

      O texto mostra algo "criptografado" e um link no fonte da página leva a imagem de Leonardo Fibonacci, referencia a Sequencia Fibonacci
      Aqui basta apenas seguir a sequencia de fibonacci e checar as devidas posições no texto:
      1,2,3,5,13... posição 1, posição 2, posição 3, posição 5,... do texto

      Assim formando a senha: fora_da_caixa
       
      Nível 2

       
      Uma pegadinha. A saída do programa é sua senha, então basta executar o código. A saída acaba sendo o próprio código. No fonte da página ainda havia uma dica: quine (programa cuja a saída é o próprio código fonte)
      Senha: x='x={};print(x.format(repr(x)))';print(x.format(repr(x)))
       
      Nível 3

       

       
      Você é levado a uma página onde não tem nenhuma pista sobre o login e senha. No fonte temos as dicas BISCOITO, BOLACHA e isAdmin, uma referencia a cookies (se não sabe o que é cookie, vá pesquisar).
      Vamos burlar o login, apenas alterando o cookie. Existem vários programas/extensões pra isso, eu usei uma extensão para o Firefox chamado Tamper Data.

       
      Clicando em iniciar alteração, entre com um login e senha aleatórios. Vai aparecer uma janela perguntando se deseja alterar.

       

      No campo cookie, note que user está como isnotAdmin, apenas mude para isAdmin e pronto, estará logado sem ter posto nenhum login e senha.

       
      Senha cuidado_cookie
       
      Nível 4

       
      Temos um arquivo em base64 e uma dica JPEG. O arquivo na verdade é uma imagem jpeg, precisamos apenas converter.


       
      Há um arquivo zipado nele (use unzip ou unrar x), aqui no caso zip.

       
      senha gala_xia_vizinha
       
      Nível 5

       
      Temos uma música e várias dicas: zip, uma cripto em base64 e "metade de 64 é 32"
      A cripto em base64, leva a uma base32 e só então temos um link: https://github.com/danielmiessler/SecLists/blob/master/Passwords/10k_most_common.txt que é uma wordlist
      Chegamos na mesma situação do nível 4, mas agora o arquivo é um mp3 e o arquivo zipado está protegido com senha (já que nos é passado uma wordlist).
      Você pode usar algum programa conhecido pra tentar quebrar a senha ou criar seu próprio script/programa. O que eu utilizei foi esse (em shell script), mas nada impede de vc fazer em python, c, perl, etc...
       
      #!/bin/bash while read l; do unzip -q -o -P $(echo $l | tr -d '\r') a-ha_Take_On_Me.mp3 if [ "$?" = "1" ]; then break fi done < wordlist.txt  

       
      Senha: hunting_high
       
      Nível 6

       
      Tem uma dica bem tosca no fonte da página "Ninguém Tá Ligando Mesmo... Windows" -> dica de que a hash é do tipo NTLM
      Mas dava pra simplesmente jogar a hash num hashkiller da vida e pegar a senha:

      Senha bookworm
       
      Nível 7

       
    • Por arkham_
      Informações sobre as leis do Código dos Desafios da FSociety podem ser encontradas no referido link: https://forum.fsocietybrasil.org/topic/463-explicações/.
      Desafio criado por Breno Rudsen (facebook.com/breno.dasilva.547)
       
      Primeira Parte

       
      A primeira parte é uma curiosidade, não há nada a se fazer aqui a não ser pesquisar no Google. A pergunta é uma referência ao "Guia do Mochileiro das Galáxias", a resposta para o sentido da vida, o Universo e tudo mais: 42.
       
      Segunda Parte
       

       
      Na segunda parte temos um poema. Dando uma olhada com atenção no fonte da página encontramos uma hash md5 3458680159c4c5ac3353b8adf0e16155. Utilizando o site (dica que foi dada), encontramos o seguinte código:
       
      data:image/jpeg;base64,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  
      É uma imagem codificada em base64, uma forma bem fácil de ver a imagem é colando o código na barra de endereço do navegador:
       

       
      Terceira Parte

       
      Existe, duas coisas a se pegar aqui, a primeira, mais óbvia, está no código-fonte da página:
      NB2HI4DTHIXS64DBON2GKYTJNYXGG33NF5MUMZLFIRFXA5I= Qual era o número da sorte?  
      O número da sorte é uma referência ao desafio anterior, onde o número da sorte é 32, e assim como no anterior, é uma dica de que está codificada em base32. Decodificando, teremos: https://pastebin.com/YFeeDKpu
       
      # -*- coding: utf-8 -*- produto = int(input("Insira o produto: ")) numeros = [int(i) for i in str(produto)] numeros2 = [c**2 for c in numeros] numeros3 = [c * 2 for c in numeros] string = [chr(c+65) for c in numeros3] print "A senha é:", ''.join(string).lower()  
      O programa vai te dar a senha, mas antes você precisa inserir o produto... Voltamos a página da terceira parte "O produto das dimensões é a chave do céu". O produto de que ele fala é o produto das dimensões da imagem:

      Utilizando o recurso de inspecionar elemento do navegador (ou qualquer outro método), encontramos as dimensões 272 x 320 cujo o produto é 87040. Inserindo o produto no programa temos a senha qoaia
       
      Quarta Parte
       

       
      Aqui existe uma dica dada pelo criador do desafio "Sempre olhe para Trás" e "Volte ao início de Tudo". Guarde isso em mente...
       
      Olhando o fonte, temos um servidor e canal IRC:
       

       
      Entrando lá vamos nos deparar com outra dica KEY picapau.
       

       
      Voltando ao "Sempre olhe para Trás" e "Volte ao início de Tudo" o criador estava se referindo a postagem inicial do Oitavo desafio aqui no fórum, onde tudo começou: https://forum.fsocietybrasil.org/topic/559-oitavo-desafio-fsociety-brasil/
       
      Onde havia um pequeno código escondido na postagem:

      --------------------------------------------------------------------------------

       
      Agora temos um código hwtttpogi e uma chave picapau, o que nos leva mais uma vez a cifra de Vigenere. Decodificando, encontramos a senha sortepura.
       
      Então chegamos na parte 5 onde você só deveria enviar o print da tela pra um dos responsáveis pelo desafio.

       
      Mais um desafio concluído.
    • Por arkham_
      Solução do 9º desafio da Fsociety Brasil
      Vencedor: Vitor Fernandes (https://www.facebook.com/vitor.fernandez.545)
      Nível 1

      Aqui não tem dica, nada... Mas uma coisa que vc pode sempre checar quando tá de olho num site: robots.txt
      http://desafio-fsociety.webcindario.com/robots.txt
       
      User-agent: * Disallow: / Disallow: /fsc-admin-login.php  
      O que nos leva ao nível 2: http://desafio-fsociety.webcindario.com/fsc-admin-login.php
       
      Nível 2

       
      A dica aqui é coletar informações pra chegar a um login, e qual lugar melhor pra coletar informações de alguém? Google e/ou Facebook.



      Não tem muitas informações (pra não dar trabalho d+), procurando coisas como apelidos, telefones, data do nascimento, emails, etc... com um pouco de paciência e algumas tentativas vc chega no login desejado
      login: quickman
      senha: 23071972
       
      Nível 3

      Uma frase escrita com várias criptografias:
      UGFyYSBhcXVlbGVz (bas64) = Para aqueles
      OF2WKIDCOVZWGYLNEBQQ==== (base32) = que buscam a
      c7efdebdb53a654eea336cb0f0d8520d (md5) = verdade
      612070616c617672612073656372657461(hexadecimal) = a palavra secreta
      01100101011100110111010011000011101000010010000001101111011011100110010001100101 (binário) = está onde
      155145156157163040163145040145163160145162141 (octal) = menos se espera
       
      Uma pegadinha, existe um link no código fonte que leva a https://goo.gl/Td5FSc, onde temos:
      UVLDZPFUPXGN SOL
      Uma cripto e uma palavra-chave, de novo Vigenere. Decriptografando: challengefsc
       
      Nível 4

      Mais uma cripto...
      Pesquisando verá que os nomes da segunda linha tem algo em comum: são sondas espaciais, cada uma enviada para um lugar específico:
      ulysses - sol
      messenger - mercurio
      venera - venus
      viking - marte
      juno - jupiter
      cassini - saturno
      new horizons - plutao
      Basta agora compara os nomes e as criptos, reveleando uma cripto de substituição:
      sol - fby -> f = s ; b = o ; y = l
      Fazendo isso com os demais, descobrimos a frase abaixo:
      n fraun qb cebkvzb aviry: cynargnreenagr = a senha do proximo nivel: planetaerrante
       
      Nível 5

      Esteganografia, basta usar o winrar pra abrir a imagem e revelar o arquivo com a senha. Use unrar ou unzip caso esteja no linux

      Senha: estega_nogra_fia
       
      Nível 6

      Mais uma de esteganografia. Esse tem uma dica no código-fonte da página: steghide. A senha? Está na frase - o guardado e o 78 ficam juntos = guardado78

      Senha: steg_hide_img_6
       
      Nível 7

       
      A primeira vista os dois arquivos parecem iguais. Mas pela citação do comando diff (que verifica a diferença entre dois arquivos), vamos checar se existe alguma diferença entre eles.

       
      Encontramos o md5 92f52e6e1014c8041228bdbc7173649f == moeda
       
      Nível 8

       
      Ao descompactar vemos que a imagem está dividida em 50 partes... Como juntá-las? Usando o comando cat (tá vendo, cat não serve só pra ler arquivos)
      Ao usar o comando file em fsociety00, vemos que se trata de um arquivo jpeg
      Fazemos: cat fsociety00 fsociety01 .... fsociety49 > fsociety.jpg
      Ou melhor:
      cat fsociety0* > fsociety.jpg

       
      Juntamos a imagem

       
      Nível 9

      Dicas no fonte:
      fsociety  6 19 15 3 9 5 20 25
      substituição de letras por números, logo a = 1, b = 2, etc. As letras devem ser trocadas por números: 178 79 134 250 (um IP)
      porta 22 é a mais comum (referência a ssh)
      boJ9jbbUNNfktd78OOpsqOltutMc3MY1 Não existe criptografia (senha, ela é assim mesmo, não está criptografada)

      bandit1 (usuário)
       
      Entramos no servidor, ao usar ls para listar os arquivos só vemos um com o nome "-". Ainda há essa dica no fonte da página: O tracinho guarda o segredo, mas ao tentar cat - não conseguimos nada.
      Existe uma maneira: usando cat ./-
      Por que? Veja o vídeo do Apoc sobre o OverTheWire, este desafio foi tirado de lá.
       
       
       

       
      Senha: CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9
       
      Nível 10

      Já temos duas dicas:
      !$% . !$ . !$$ . &$
      Um Ip, mas qual? Apenas olha pro seu teclado => 145.14.144.74
      e
      Use Filezilla FTP => Usar Filezilla pra acessar o servidor ftp
      Qual o login e senha? Baixe o jogo e saberá:
      Apenas deixe a cena inicial rolando.



       


       
      Temos os dados completos
      FTP 145.14.144.74
      login: olliver
      senha: alphafsociety

       
      Bom, temos 3 arquivos no servidor: hint.txt e guia_foca.txt na pasta secret e o arquivo guia_foca.pdf na pasta fsociety. O arquivo hint.txt diz:
      10.26
      O número total de palavras será sua saida para o próximo nível.
      Você terá que descobrir o número total de palavras no arquivo guia_foca.txt. Pra isso usará o comando wc (que está descrito na seção 10.26 do próprio guia_foca.txt)
      Se o guia_foca.txt aparecer bagunçado, use o guia_foca.pdf para ler melhor.
      No fim das contas, faça:

      Senha: 126985 
       
      Nível 11

       
      Você nem precisa executar o programa, basta usar o comando cat ou o comando strings (que acho melhor aqui) para ler o que está escrito no programa:

       
      Senha: file_c_8  
       
      Nível 12

       
      Mais um desafio completo!
    • Por Pedro
      Desafio criado por: 
      Samuel Paz (facebook.com/samuel.paz.1675275)
      Breno Rudsen (facebook.com/breno.dasilva.547)
       
      Link desafio.000webhostapp.com

      hwtttpogi
×

Informação Importante

Ao usar este site, você concorda com nossos Termos de Uso.