Ir al contenido principal

Solución al reto de sensepost.com - BlackHat Challenge

Descripción del Reto:

Una empresa crea su propio sistema de cifrado de comunicaciones y lo utiliza para que un cliente/empleado les envíe diariamente un mensaje.

Una de esas comunicaciones es interceptada por un 'intruso' y además copia el código fuente del software utilizado para dichas comunicaciones entrando en un servidor de la empresa.

Para resolver el reto se pide que obtengamos la password (shared secret) utilizada por ambas partes (cliente/servidor) para iniciar la autenticación, así como la clave usada para cifrar los mensajes.

Para ello nos dan un archivo PCAP con las tramas capturadas y, el código fuente del software de comunicación.

He de decir, que este reto me ha parecido muy sencillo debido principalmente, a la cantidad de información (pistas) proporcionadas, no obstante ha sido igualmente entretenido (gracias por prepararlo).

Primera Parte

Lo primero que hice fue echar un vistazo al PCAP con un tiburón. Rápidamente localizamos los protocolos que intervienen en las comunicaciones entre cliente y servidor y vemos como se envían una serie de 'comandos' tipo HELO, RESP, AUTH OK, etc

Echando un vistazo a los programas vemos que en uno de los paquetes se envía un número que es aleatorio, y un HASH que se crea a partir del número aleatorio y la password (shared secret).

Datos extraídos de uno de los paquetes: 52:45:53:50:20:cb:4e:fa:38:89:20:33:a4:34:3b:fe:c9:47:70:16:09

52=R, 45=E, 53=S, 50=P, 20=ESPACIO el resto cb:4e...16:09 es el hash de tipo MD5(valor_aleatorio:password)

Lo que hice fue aprovechar el propio código fuente proporcionado y utilizar su función HMAC(...) para ir generando hash "bruteforceando" la password, eso sí salían más de 78.000 millones de combinaciones posibles (36 caracteres alfanuméricos 'abcdefghijklmnopqrstuvwxyz0123456789' en grupos de 7 = 36^7 = 78.364.164.096), por lo tanto se podría recurrir a algún servicio en la nube para obtener el MD5.

Aquí el resultado de la ejecución del programa generador de pass:

Yo empezé generando passwords comenzando por 'aaaaaaa' con lo cual era cuestión de tiempo sacar la password original utilizada en la comunicación interceptada. La cual resultó ser: bm28lg1

Segunda Parte

Una vez que obtenemos la password, averiguar la clave de cifrado de mensajes fue más sencillo todavía. En mi caso, lo que hice fue utilizar los dos programas proporcionados AuthClient y AuthServer pero modificando el AuthServer para que en lugar de generar el número aleatorio, enviase siempre el número que saqué de la captura PCAP (448). De esta forma generaría el mismo hash:

MD5("448bm28lg1") = "cb4efa38892033a4343bfec947701609"

Puse a funcionar el servidor modificado utilizando como password 'bm28lg1'

A continuación, utilizando la misma password ejecute el cliente AuthClient:

Y ¡voilá! ya tenemos todos los datos que se pedían en el reto

Password: bmp28lg1
Session Key: 07e0f7a7cbc2d8b3dba6b7d3b69c3236

Realmente estuvo entretenido y si a alguien le sirve de algo pues me alegro.

Comentarios

Entradas populares de este blog

Como usar el TL431 (muy facil)

En este artículo, no vamos a entrar en el funcionamiento interno de este IC, ni tampoco en sus características técnicas, puesto que para esos fines ya existe su hoja de datos correspondiente. Más bien, lo que pretendo aquí es dejar constancia de como podemos utilizar este IC desde un punto de vista práctico, útil y sobre todo de una manera sencilla, con el objetivo de que cualquiera pueda utilizarlo. Si has llegado hasta aquí, probablemente ya sabes que por internet hay mucha información sobre este IC, pero también bastante confusa o excesivamente técnica, sin mostrar tan siquiera un ejemplo de funcionamiento, o como calcular sus pasivos. Pues se acabó, a partir de hoy y después de leer este post, ya te quedará claro como utilizar el TL431 para obtener una tensión de referencia estable y precisa. Vamos al grano y que mejor que empezar aclarando que el TL431 NO ES EXACTAMENTE UN ZENER como se empeñan en decir en muchos sitios, es verdad que se le conoce como el Zener Progra...

I designed a PCB Holder

If you're one of those people who like electronics, then you know how frustrating it can be when you need to hold a PCB for soldering a component. Download Link: https://www.thingiverse.com/thing:1103401 That was my case when I decided to make a stand PCB. First I was looking at what was available in the market (Weller by example), in order to have some reference on which to base my design. Finally, I decided on a type of support that allows to turn the PCB in order to be able to have easy access to both sides of it. The hardest part was to design the clamping mechanism. In the end I think I found a good solution, based on three springs that allow the PCB firmly secure but at the same time release with little effort, to rotate if necessary. Here you can download all files you need to make my PCB Holder: https://www.thingiverse.com/thing:1103401

El Robin Hood de los procesos pobres (Vamos de escalada)

Pues sí, has leído bien, hoy nos vamos de escalada, pero ojo! No nos vamos a las montañas, nos vamos al interior, al kernel del sistema operativo Windows 10 en esta ocasión, aunque es aplicable a otras versiones con algunos mínimos cambios. Hoy la cosa va de EoP (Elevation of Privilege), escalada de privilegios en el sistema. Vamos a ver cómo hacer de Robin Hood para "mangarle" el “Access Token” al usuario "NT AUTHORITY\SYSTEM" a través de la estructura _EPROCESS del proceso “System” para dárselo al pobre CMD.EXE. ¿Con qué fin? Pues darle poder absoluto sobre el sistema a un usuario limitado, por ejemplo para que pueda utilizar la calculadora, o el notepad sin limitaciones :) Venga vale, que es broma, que en realidad será para utilizarlo en una shellcode y un driver de dispositivo firmado por alguien :) Antes  de  comenzar  hay  que  dejar  claro  que  vamos  a  necesitar  algunas herramientas para realizar este proce...