Forensic

Hi,
The url of level3 challenge file http://challenge01.root-me.org//forensic/ch3/ch3.php send us to the challenge 2 :
http://challenge01.root-me.org/forensic/ch2/
Could you update the link / ch3.php file ?
Thanks

C’est normal, c’est le même dump...juste l’énoncé qui change ;)

ok merci :)

Bonjour
la somme de contrôle MD5 en minuscule du chemin d’accès absolu vers l’exécutable
j ai trouvé le chemin , j ai calculé sont md5 mais je n’est pas compris que faut il faire pour la somme de contrôle ....
Merci

Bonjour yassinovak,

"La somme de contrôle MD5" = le MD5 que tu as calculé. Donc en principe le pass, tu n’as plus qu’a (tenter de) valider. :)

Good luck !

Salut,

Quand j’extrais du dump de la RAM et je colle le process suspect sur le disque de ma machine mon AV s’affole, le comportement "louche", les dépendances et d’autres trucs (pas spoolier ...) observés par Volatility confirme tout ça. J’ai donc bien à priori trouvé le malware, son chemin absolu, mais le MD5 calculé ne valide pas.

Est-ce que je peux filer en PM la démarche et résultat à kk1 qui a déjà validé l’exo ? Des fois que ça soit un faux positif et que je sois à coté de la plaque, comme j’y connais rien en Windoz ... c’est de l’ordre du possible :).

Merci,

Phil

Salut Phil,

Mon antivirus a eu la même réaction face au méchant process 😡
Contacte moi en pm pour en discuter.

Salut,

Merci pour la proposition de vérification, tu as le résultat de ma recherche sur ton PM.

A+

Phil

Un truc qui fera gagner du temps à tous les galériens :) :
Les outils de calcul de HASH MD5 online déconnent quasiment tous avec le caractère -> \ <-, en fait l’encodage de la requête HTTP et/ou des paramètres le substitue par -> \ <-.

Pour tester votre outil de HASH MD5 :
Bon HASH MD5 pour le simple char \ = 28d397e87306b8631f3ed80d858d35f0
Mauvais HASH MD5 le plus courant pour le char \ = 7f8137798425a7fed2b8c5703b70d078

Ne pas oublier que le site Root-me en propose un, frame de gauche, menu "Outils", "coder - decoder", "HASH Calculator" et il est bon ;)

Et merci Notdef pour avoir pris le temps de me confirmer mes résultats et me permettre de compendre où ça merdait sur la partie validation du chall.

++

Phil

Tout le plaisir est pour moi camarade 😉 !

Salut,

Je viens de finir le chall et j’ai un peu ’perdu’ mon temps en prenant au pied de la lettre l’énoncé :

Le mot de passe de validation est la somme de contrôle MD5 en minuscule du chemin d’accès absolu vers l’exécutable.

Pour aller plus vite j’ai fais un strtolower() sur le path de validation qui s’est avéré erroner... Donc TOUTES les lettres du path ne doivent pas être en minuscule. Si le malware se trouve sur un disque ’D’, la path de validation sera ’D :\mon\Path\de\vValidation\mal.exe’.

J’espère que ca pourra vous aider !

Bon courage,

Correction : Epreuve validée à l’instant et toutes les lettres ne doivent pas être mises en minuscule !!!!

Il faut faire le MD5 du path comme vous le trouvez dans le dump. Aucun changement de casse !

C’est exactement ce que Newn00b explique plus haut.

L’énoncé était peut-être légèrement ambigu, mais soyons clairs : le flag de validation est bien le hash md5 (en hexadécimal... et en minuscule) du chemin trouvé.
En revanche, le chemin n’est pas à mettre en minuscules, il faut le laisser tel que vous l’avez trouvé dans la mémoire.

L’énoncé a été tourné différemment :)

Bonjour,
pour accelerer mes recherches dans le dump et ne sachant pas trop ou chercher, j’ai entendu parler du plugin vscan, (virus total), qui scan les fichiers et process à la recherche de signature et affiche un MD5 dans volatility, donc je voudrais l’installer mais je ne trouve pas de lien valide, quelqu’un saurait ou trouver le plugin ??
Merci :)

Le hash MD5 de md5sum sous linux et le tool de hash de root-me ne donne pas la même chose pour le même path ... Argh j’ai perdu so soooo much time à cause de ça !

Bonne épreuve btw

DarkPanda, l’outil en ligne fonctionne très bien.
Attention, une erreur fréquente avec md5sum est d’ajouter (inconsciemment...) un "\n" dans la chaîne.
Par exemple, la commande echo ajoute par défaut un retour à la ligne à la chaîne en argument... ce qui n’est pas souhaité si tu fais un "echo test|md5sum" ;)

Attention aux gens qui utilisent un autre shell que bash celui ci peut avoir un comportement différent lors du echo ;)

Bonjour,

j’ai bien trouvé la path du malware.. par contre impossible de la valider...
jai utiliser encode MD5 du site mais rien y fait..
quelqu’un pour m’aider ? ? =)
merci !

@ Phil

Un truc qui fera gagner du temps à tous les galériens :) :
Les outils de calcul de HASH MD5 online déconnent quasiment tous avec le caractère -> \ <-, en fait l’encodage de la requête HTTP et/ou des paramètres le substitue par -> \ <-.

Pour tester votre outil de HASH MD5 :
Bon HASH MD5 pour le simple char \ = 28d397e87306b8631f3ed80d858d35f0
Mauvais HASH MD5 le plus courant pour le char \ = 7f8137798425a7fed2b8c5703b70d078

printf ’\’ | md5sum ou echo -n ’\’ | md5sum donnent 28d397e87306b8631f3ed80d858d35f0 pour ’\’
Les tools en ligne genre (http://www.fileformat.info/tool/hash.htm) donnent aussi 28d397e87306b8631f3ed80d858d35f0 pour ’\’.

Par contre echo -n ’C :\Windows\explorer.exe’ | md5sum donne a918faff8c1672d08de231061326478e pour un chemin X la où les tools en ligne me donnent tous 1db84dd95752eb70c6507e740a4beb77 pour le même chemin.
Je pense que cela vient du ’\e’ car echo -n ’\e’ | md5sum donne f616c83f2f0f188265c7004d81d45723 et FireLormat donne b0d055b0eb71654b74e1ac2b4a8a646d.

Biensur le hash donné ici n’est pas le bon. Mais ducoup je ne sais pas qui croire. Qui a raison ? Qui à tort ? Je préfererais utiliser une méthode hors ligne.

echo -n 'path' | md5sum ne donne pas le même output sous bash et zsh (c’est bash qui a raison). Car zsh utilise son propre echo. Il faut alors utiliser /bin/echo ou alors utiliser l’option -E si on utilise le echo de zsh. Mais echo n’est pas fiable lui même car il peut changer selon les plateformes. Le plus sûr est d’utiliser la commande suivante printf %s 'hash' | md5sum

Hello,
Je pense aussi avoir trouvé le bon chemin mais impossible de valider le challenge avec le md5
Donc soit finalement je n’ai pas trouvé le bon chemin (mais je pense que si) ou soit mon calcul md5 n’est pas bon, je ne comprends pas pourquoi l’outil en ligne de root-me rajoute des \ lorsqu’il y en a déjà ?!

Suggestion : il faudrait que l’enoncé soit plus clair car j’ai perdu du temps en mettant le path en minuscules
là c’est pas clair que c’est le hash qui doit être en minuscules

il faut penser à bien échapper les ’\’ dans le chemin :

printf 'D:\\MON\\BEAU\\CHEMIN\\FILE' |md5sum