sábado, 21 de enero de 2017

Resolviendo El Crackme1 De EnigmaGroup

Ahora vengo con la solución del crackme1 de EnigmaGroup y si se preguntan que es enigmaGroup
pues es un foro dedicado a la seguridad informática, donde se exponen diversos retos y cada reto tiene un valor, como por ejemplo el reto que vamos a resolver hoy tiene un valor de 100 créditos y dirán ustedes de que sirven los créditos pues los créditos es una moneda virtual del foro y sirve para poder comprar regalos y enviárselos a un amigo o comprar mercancía en la tienda, aun no se exactamente que tipo de regalos son ya que no e revisado mucho esta web.

Bueno el crackme lo podrán descargar desde aquí: https://www.enigmagroup.org/pages/cracking
y como verán hay varios crackmes a ver si los resuelvo todos jajajaja.

ya que lo hallan descargado pasaremos a abrirlo con el ollydbg  y nos situaremos en esta parte



ahora pasaremos a ejecutarlo para saber si corre sin problemas y presionamos la tecla F9 de nuestro teclado y nos aparece el siguiente formulario



aquí nos pide un serial pero como no me lo se así que pondré uno al asar y sera "123456" y doy clic en submit y me manda el cartelito de incorrecto


Nota: no necesitas detener el programa para el siguiente paso

así que buscaremos en las string a ver que encontramos y para eso volveré al ollydbg y daré clic derecho y luego doy clic en las opciones que se muestran en la imagen


en la siguiente ventana nos aparece el cartelito de contraseña incorrecta



si damos clic sobre el nos enviara a las instrucciones donde se ejecuta este mensaje, y si observan un poco verán que abajo del string de contraseña incorrecta se encuentra el mensaje de felicitaciones o sea el mensaje de contraseña correcta el que buscamos, así que daremos clic sobre el y nos aparecerá lo siguiente


ahora ya que sabemos donde ase la comparación, nuestro siguiente paso es poner un break-point en dicha api y eso lo aremos posicionando nos en dicha linea para luego presionar la tecla F2 y nos quedara así


ya que pusimos el break-point y como el programa esta en ejecución ingresaremos otra ves 123456 y presionamos submit y se detiene justo en el break-point y si buscan para arriba de la pila verán que se repite mucho esta palabra "WAY2EASY"


creo que esa es la clave correcta pero si quieren asegurarse mejor entraremos al call de la linea donde pusimos el break-point con F7, solo presionando F7 hasta llegar hasta aquí


y como verán en la pila se ve que toma la clave 123456 que ingresamos para compararlas en el call siguiente con la clave correcta.

así que la clave es "WAY2EASY" y si presionamos F9 para luego  teclear la clave correcta nos manda el siguiente mensaje




bueno saludos Flamer y espero les halla gustado


jueves, 19 de enero de 2017

Des-instalar Aplicaciones y No Dejar Archivos Basura En El Sistema

Esta ves vengo con un programa que me gusto hace ya mucho tiempo y ahora se los vengo a mostrar aquí es el "Revo Uninstaller" y se preguntaran que es y para que sirve.

Pues bueno este sirve para des-instalar aplicaciones y con la ventaja de que no deja archivos basura que comúnmente pasa al des-instalar aplicaciones donde llegan a quedar archivos regados por el sistema o en el registro donde quedan entradas que no sirven de nada.

Lo podrán descargar desde aquí http://www.revouninstaller.com/   la cual cuenta con una versión gratis y portable.

ya que la hallan descargado les aparecerá una ventana como esta


Yo des-instalare el el tercero en la lista para mostrarles como funciona, para eso daremos clic en Uninstall



después aparecerá una pantalla diciendo que esta creando un punto de restauración y luego empezara a ejecutarse el des-instalador del programa, ami me a pareció esto y le doy que si


y a empezado a des-instalarse el programa



y por ultimo me dice que a terminado, después de eso nos vamos al revo donde nos parecerá 3 opciones nosotros elegiremos la tercera esta




y daremos clic en Scan, donde empezara a buscar primero las entradas en el registro de windows que dejo el des-instalador del programa que quitamos


y como verán dejo varias entradas en el registro así que para seleccionarlas daremos clic en Select All
para seleccionarlas todas


ya que las tenemos seleccionadas daremos clic en Delete para borrarlas y daremos clic en si, si nos aparece un mensaje de confirmación

y por ultimo parece que solo dejo un archivo en el sistema este



así que aremos el mismo procedimiento daremos clic en Select All y después en Delete, bueno ami me apareció un mensaje que este archivo se borrara después de que reinicie la maquina pero eso no pasa con todos los programas que des-instalen es raro

bueno saludos Flamer y creo que eso es todo por hoy

martes, 10 de enero de 2017

Identificar Programas De 32 y 64 bits

Me encontrado por hay que muchos usuarios quieren saber si X programa es de 64 o de 32 bits, y eso es muy importante a la hora de reversear algún programa.

Primeramente identificaremos un ejecutable sin usar ninguna herramienta, para este ejemplo copie el archivo "wscript.exe" el de 32 y de 64 bits al escritorio.

Aclaro: yo estoy en windows 10 y me hice de las dos versiones por que windows 10 tiene soporte para las versiones de 32 bits y estos archivos son almacenados en el directorio:

c:\windows\syswow64\  

Así que copie el de la ruta

c:\windows\syswow64\wscript.exe     32 bits

y

c:\windows\system32\wscript.exe       64 bits

Al de 32 lo llame "viejo.exe" y al de 64 lo llame "nuevo.exe"

Ahora para identificarlos sin utilizar ningún programa lo are de la siguiente manera, solo ejecutare el de 32 bits ya que el de 64 bits no creo que tenga caso ya verán por que.

Y después abriremos el administrador de tareas presionando CTRL+ALT+SUPR o abrimos la ventanita de ejecutar y escribimos "taskmgr"


Y presionamos aceptar

Ahora nos iremos ala pestaña procesos y en aplicaciones nos fijamos en esto



El exe que llame viejo dirá 32 bits y a diferencia del nuevo que es el de 64 bits no dirá nada

Ahora bien otra forma de identificarlos sera usando el RDG Detector, si no lo tienen pueden descargarlo desde aquí: http://www.rdgsoft.net/


Para abrirlo con el solo daremos clic derecho sobre el y damos clic en




Y al escanearlo en la esquina superior derecha a parecerá la versión como en la imagen




Y en la captura de el viejo que es el de 32 bits dirá así





bueno saludos Flamer


lunes, 2 de enero de 2017

Esconder Script Encriptado En Un Enlace Html

Hoy les mostrare como esconder un script de javascript en un enlace o link y al presionarlo que este se ejecute.

Nota Importante: Esto me funciona en chrome, en Enternet Explorer no y en firefox no se no loe probado solo  en chrome e Internet Explorer

Bueno empecemos el script sera este como ejemplo


<script>alert('Hola mundo Hacking')</script>


Luego pasamos a codificarlo en base64, yo visite esta pagina pero en Internet hay varias paginas

https://www.base64encode.org/

Y el resultado es este:

PHNjcmlwdD5hbGVydCgnSG9sYSBtdW5kbyBIYWNraW5nJyk8L3NjcmlwdD4=


Ahora pasaremos a crear nuestro código html donde incrustaremos el link y el código sera este

<html>
<head><title>poc</title>
</head>
<body>
<a href="AQUI IRA EL SCRIPT">Ejecutar Script</a>
</body>
</html>


Ya tenemos nuestro código html y donde dice "AQUI IRA EL SCRIPT" es donde insertaremos el script codificado en base64 junto con estos parámetros:


"data:text/html;charset=utf-8;base64,PHNjcmlwdD5hbGVydCgnRXJlcyB2dWxuZXJhYmxlJyk8L3NjcmlwdD4="


Eso es lo que iría en la la sección href y todo el código html completo que daría así

<html>
<head><title>poc</title>
</head>
<body>
<a href="data:text/html;charset=utf-8;base64,PHNjcmlwdD5hbGVydCgnSG9sYSBtdW5kbyBIYWNraW5nJyk8L3NjcmlwdD4=">Download!</a>
</body>
</html>


Ahora pasaremos a aguardarlo con la extensión html y al ejecutarlo nos a parecerá la pagina así





Ahora daremos clic en el y nos mostrara el mensaje siguiente:




Bueno ahora si queremos descargar el script como archivo tendremos que remplazar lo siguiente


"data:text/html;charset=utf-8;"


Por


"data:application/octet-stream;"

Y al hiperviculo le añadiremos el atributo "Download" quedando así el código html


<html>
<head><title>poc</title>
</head>
<body>
<a href="data:application/octet-stream;base64,PHNjcmlwdD5hbGVydCgnSG9sYSBtdW5kbyBIYWNraW5nJyk8L3NjcmlwdD4=" download="archivo.js">Descargar</a>
</body>
</html>


En el atributo download pueden especificar la extensión que quieran yo puse ".js" solo para demostrar el ejemplo.

Y ahora si lo ejecutamos y presionamos el enlace descarga el archivo así:



Muestra ese mensaje ya que es una extensión peligrosa, pero si le cambian la extensión a "txt" no les mostrara ese mensaje.


Bueno es todo y esto también funciona con la etiqueta <img> de html para esconder las imágenes en el código html

Saludos Flamer