Reto RootByte01
Páginas: 3 (684 palabras)
Publicado: 22 de julio de 2015
Reto Rootbyte : Solucion paso a paso
Se conocen los siguientes datos :
Ip Origen (192.168.1.158) = RootByte
Uso del Software IM para establecer una conversacion por chat
Se busca :
*Nombre deusuario IP=192.168.1.158 de IM
*Nombre de archivo enviado por RootByte
*Numero Magico
*MD5 del archivo
*Contenido del archivo
Tools/Soft Utilizado
WIRESHARK(GUI)/TSHARK
TCPFLOW
Linux
Empezando...
Loprimero que hice fue empezar por hacerme una idea de la situacion, por lo tanto me enfoque en
buscar las apariciones de la ip otorgada por RootByte.
Para lograrlo comenze con Tshark y asi aparecio unode los datos claves para resolver el reto...
5 0.918234 Vmware_b0:8d:62 -> Dell_4d:4f:ae ARP 60 Who has 192.168.1.159? Tell
192.168.1.10
6 0.918240 Dell_4d:4f:ae -> Vmware_b0:8d:62 ARP 60192.168.1.159 is at 00:21:70:4d:4f:ae
192.168.1.159 es la ip que obtuve, donde se identifica facilmente una computadora portatil o laptop
de la marca DELL que seguramente podemos chequear con el MACconseguido tambien en este
paquete, pero eso ya no me importa.
Continuo revisando el trafico cuando detecto otra computadora pero esta vez HP, con la famosa IP
192.168.1.158 que corresponde a RootByte. Wireshark Screenshot
Pero aun mas interesante e importante a la vez es que mediante el protocolo SSL la pc RootByte se
conecta con "64.12.24.50" la cual mediante un hostname lookup nos indica losiguiente
Pertenece a una direccion que nos indica que RootByte se conecta AIM.
Hasta ahí vamos bien, solamente que ahora para agilizar el proceso dí uso de la herramienta
TCPFLOW que se encuentra enlos repos de KALI, perfectamente funcionales en Debian Jessie
como es en mi caso.
Esta tool lo que hace es filtrar el archivo con el trafico (.pcap) y nos entrega un output que separa
paquetes dedatos en archivos que podemos luego leer en HEX.
Obtuve por lo tanto
Luego de analizar un momento me di cuenta que habia dos paquetes muy particulares
192.168.001.158.05190-192.168.001.159.01272...
Se conocen los siguientes datos :
Ip Origen (192.168.1.158) = RootByte
Uso del Software IM para establecer una conversacion por chat
Se busca :
*Nombre deusuario IP=192.168.1.158 de IM
*Nombre de archivo enviado por RootByte
*Numero Magico
*MD5 del archivo
*Contenido del archivo
Tools/Soft Utilizado
WIRESHARK(GUI)/TSHARK
TCPFLOW
Linux
Empezando...
Loprimero que hice fue empezar por hacerme una idea de la situacion, por lo tanto me enfoque en
buscar las apariciones de la ip otorgada por RootByte.
Para lograrlo comenze con Tshark y asi aparecio unode los datos claves para resolver el reto...
5 0.918234 Vmware_b0:8d:62 -> Dell_4d:4f:ae ARP 60 Who has 192.168.1.159? Tell
192.168.1.10
6 0.918240 Dell_4d:4f:ae -> Vmware_b0:8d:62 ARP 60192.168.1.159 is at 00:21:70:4d:4f:ae
192.168.1.159 es la ip que obtuve, donde se identifica facilmente una computadora portatil o laptop
de la marca DELL que seguramente podemos chequear con el MACconseguido tambien en este
paquete, pero eso ya no me importa.
Continuo revisando el trafico cuando detecto otra computadora pero esta vez HP, con la famosa IP
192.168.1.158 que corresponde a RootByte. Wireshark Screenshot
Pero aun mas interesante e importante a la vez es que mediante el protocolo SSL la pc RootByte se
conecta con "64.12.24.50" la cual mediante un hostname lookup nos indica losiguiente
Pertenece a una direccion que nos indica que RootByte se conecta AIM.
Hasta ahí vamos bien, solamente que ahora para agilizar el proceso dí uso de la herramienta
TCPFLOW que se encuentra enlos repos de KALI, perfectamente funcionales en Debian Jessie
como es en mi caso.
Esta tool lo que hace es filtrar el archivo con el trafico (.pcap) y nos entrega un output que separa
paquetes dedatos en archivos que podemos luego leer en HEX.
Obtuve por lo tanto
Luego de analizar un momento me di cuenta que habia dos paquetes muy particulares
192.168.001.158.05190-192.168.001.159.01272...
Leer documento completo
Regístrate para leer el documento completo.