Forensic
Command & Control - level 3
Hi,
The url of level3 challenge file http://challenge01.root-me.org//forensic/ch3/ch3.php send us to the challenge 2 :
http://challenge01.root-me.org/forensic/ch2/
Could you update the link / ch3.php file ?
Thanks
Command & Control - level 3
Bonjour
la somme de contrôle MD5 en minuscule du chemin d’accès absolu vers l’exécutable
j ai trouvé le chemin , j ai calculé sont md5 mais je n’est pas compris que faut il faire pour la somme de contrôle ....
Merci
Command & Control - level 3
Salut,
Quand j’extrais du dump de la RAM et je colle le process suspect sur le disque de ma machine mon AV s’affole, le comportement "louche", les dépendances et d’autres trucs (pas spoolier ...) observés par Volatility confirme tout ça. J’ai donc bien à priori trouvé le malware, son chemin absolu, mais le MD5 calculé ne valide pas.
Est-ce que je peux filer en PM la démarche et résultat à kk1 qui a déjà validé l’exo ? Des fois que ça soit un faux positif et que je sois à coté de la plaque, comme j’y connais rien en Windoz ... c’est de l’ordre du possible :).
Merci,
Phil
Command & Control - level 3
Salut Phil,
Mon antivirus a eu la même réaction face au méchant process 😡
Contacte moi en pm pour en discuter.
Command & Control - level 3
Un truc qui fera gagner du temps à tous les galériens :) :
Les outils de calcul de HASH MD5 online déconnent quasiment tous avec le caractère -> \ <-, en fait l’encodage de la requête HTTP et/ou des paramètres le substitue par -> \ <-.
Pour tester votre outil de HASH MD5 :
Bon HASH MD5 pour le simple char \ = 28d397e87306b8631f3ed80d858d35f0
Mauvais HASH MD5 le plus courant pour le char \ = 7f8137798425a7fed2b8c5703b70d078
Ne pas oublier que le site Root-me en propose un, frame de gauche, menu "Outils", "coder - decoder", "HASH Calculator" et il est bon ;)
Et merci Notdef pour avoir pris le temps de me confirmer mes résultats et me permettre de compendre où ça merdait sur la partie validation du chall.
++
Phil
Command & Control - level 3
Tout le plaisir est pour moi camarade 😉 !
Command & Control - level 3
Salut,
Je viens de finir le chall et j’ai un peu ’perdu’ mon temps en prenant au pied de la lettre l’énoncé :
Le mot de passe de validation est la somme de contrôle MD5 en minuscule du chemin d’accès absolu vers l’exécutable.
Pour aller plus vite j’ai fais un strtolower() sur le path de validation qui s’est avéré erroner... Donc TOUTES les lettres du path ne doivent pas être en minuscule. Si le malware se trouve sur un disque ’D’, la path de validation sera ’D :\mon\Path\de\vValidation\mal.exe’.
J’espère que ca pourra vous aider !
Bon courage,
Command & Control - level 3
C’est exactement ce que Newn00b explique plus haut.
Command & Control - level 3
L’énoncé était peut-être légèrement ambigu, mais soyons clairs : le flag de validation est bien le hash md5 (en hexadécimal... et en minuscule) du chemin trouvé.
En revanche, le chemin n’est pas à mettre en minuscules, il faut le laisser tel que vous l’avez trouvé dans la mémoire.
L’énoncé a été tourné différemment :)
Command & Control - level 3
Bonjour,
pour accelerer mes recherches dans le dump et ne sachant pas trop ou chercher, j’ai entendu parler du plugin vscan, (virus total), qui scan les fichiers et process à la recherche de signature et affiche un MD5 dans volatility, donc je voudrais l’installer mais je ne trouve pas de lien valide, quelqu’un saurait ou trouver le plugin ??
Merci :)
Command & Control - level 3
DarkPanda, l’outil en ligne fonctionne très bien.
Attention, une erreur fréquente avec md5sum est d’ajouter (inconsciemment...) un "\n" dans la chaîne.
Par exemple, la commande echo ajoute par défaut un retour à la ligne à la chaîne en argument... ce qui n’est pas souhaité si tu fais un "echo test|md5sum" ;)
Hash MD5
@ Phil
Un truc qui fera gagner du temps à tous les galériens :) :
Les outils de calcul de HASH MD5 online déconnent quasiment tous avec le caractère -> \ <-, en fait l’encodage de la requête HTTP et/ou des paramètres le substitue par -> \ <-.Pour tester votre outil de HASH MD5 :
Bon HASH MD5 pour le simple char \ = 28d397e87306b8631f3ed80d858d35f0
Mauvais HASH MD5 le plus courant pour le char \ = 7f8137798425a7fed2b8c5703b70d078
printf ’\’ | md5sum ou echo -n ’\’ | md5sum donnent 28d397e87306b8631f3ed80d858d35f0 pour ’\’
Les tools en ligne genre (http://www.fileformat.info/tool/hash.htm) donnent aussi 28d397e87306b8631f3ed80d858d35f0 pour ’\’.
Par contre echo -n ’C :\Windows\explorer.exe’ | md5sum donne a918faff8c1672d08de231061326478e pour un chemin X la où les tools en ligne me donnent tous 1db84dd95752eb70c6507e740a4beb77 pour le même chemin.
Je pense que cela vient du ’\e’ car echo -n ’\e’ | md5sum donne f616c83f2f0f188265c7004d81d45723 et FireLormat donne b0d055b0eb71654b74e1ac2b4a8a646d.
Biensur le hash donné ici n’est pas le bon. Mais ducoup je ne sais pas qui croire. Qui a raison ? Qui à tort ? Je préfererais utiliser une méthode hors ligne.
Hash MD5
echo -n 'path' | md5sum
ne donne pas le même output sous bash et zsh (c’est bash qui a raison). Car zsh utilise son propre echo. Il faut alors utiliser /bin/echo ou alors utiliser l’option -E si on utilise le echo de zsh. Mais echo n’est pas fiable lui même car il peut changer selon les plateformes. Le plus sûr est d’utiliser la commande suivante printf %s 'hash' | md5sum
Command & Control - level 3
Hello,
Je pense aussi avoir trouvé le bon chemin mais impossible de valider le challenge avec le md5
Donc soit finalement je n’ai pas trouvé le bon chemin (mais je pense que si) ou soit mon calcul md5 n’est pas bon, je ne comprends pas pourquoi l’outil en ligne de root-me rajoute des \ lorsqu’il y en a déjà ?!
Command & Control - level 3
il faut penser à bien échapper les ’\’ dans le chemin :
printf 'D:\\MON\\BEAU\\CHEMIN\\FILE' |md5sum