Desafío 10 de ESET

Un cliente acaba de enviarnos un archivo comprimido con clave y nos dice que las pistas para encontrar dicha contraseña de 9 caracteres se encuentra oculto de alguna forma en este otro par de archivos (MD5: 159aa63c90c0a2692562d3414a39eaca).

Se debe determinar cual es la contraseña buscada sin realizar ataques de fuerza bruta sobre ningún archivo y dejarla en los comentarios de este post. La primera persona en describir la forma de llevar a cabo el proceso para obtener dicha clave, se llevará una Licencia del Antivirus de ESET.

Cristian Borghello
Director de Educación

Autor , ESET

  • ELKCLONER
    Dentro del .rar hay dos archivos que si los abris con un editor de textos vez que el mime type es png, por lo cual los abrís con cualquier visor de imagenes y en la foto dice eso.

    • Hola Gonzalo Muñoz,

      “ELKCLONER” también tiene 9 caracteres pero esta vez no es tan sencillo.
      Sigue intentando que queda camino por recorrer.

      Cristian

  • Paulo
  • Emiliano

    La clave es ISOSCELES, el apodo del creador de la animación Elk Cloner. Las dos imagenes contendias en el archivo zip eran la portada del sitio oficial, http://www.elkcloner.com/

    • Hola Emiliano,

      No, no es esa y como dije anteriormente no es tan sencillo e involucra un poco más de técnica.

      Cristian

  • Programa Utilizado: Camouflage.
    Cifrado: XOR.

    Contraseña – Imagen 1: 5ec12c8a4f2942c1043dfbe774b284a5
    Contraseña – Imagen 2: 4ec12c8a4f2942c1043dfbe774b284a4
    (Es posible eliminarlas mediante edición hexadecimal)

    Contenido – Fichero de Texto:
    MD5: b9c095c5e07361c00c54ddf7a4f062d5
    SHA1: e38ad214943daad1d64c102faec29de4afe9da3d

    SHA1 – Hash Decode.
    Contraseña Buscada: password1

  • Comparando los dos archivos a nivel bit he encontrado que la linea 353 o la ultima del archivo “uno” es diferente a la del “dos”…Estos son en hexadecimal los datos de la ultima linea.

    F6 5C 23 90 AE CA 01 86-E2 04 40 67 F9 11 0C 78 |ö#®Ê†âgù x|
    DE 60 20 20 20 20 20 20-20 20 20 20 20 20 20 20 |Þ` |
    20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20 | |
    20 20 20 20 20 20 20 20-20 20 67 F9 11 41 60 C9 | gùA`É|
    7A 84 93 E1 CF 0B 47 20-20 20 20 20 20 20 20 20 |z„“áÏ G |
    20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20 | |
    20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20 | |
    20 20 20 20 20 20 20 20-20 55 | U |

    Lo que no consigo ni pasandolo a hex, dec, oct o binario obtener los 9 digitos… Solo preguntar, ¿voy bien encaminado?
    Un saludo y gracias por los retos…

  • benkei

    password1

  • Hay una mínima diferencia entre los archivos si los analizamos a nivel byte, supongo que hay algo mas escondido en esos bits que le sobran al final del primer archivo… algo codificado tal vez?

    • Hola:

      A todos los que están mirando el archivo en hexadecimal, es un buen comienzo.

      Cristian

  • Emiliano

    Despues de observar el archivo en un editor hexadecimal noto que el “chunk” IEND con el cual especifica el fin de una imagen PNG no estaba al final del archivo sino un par de lineas antes, por lo que todo lo que estaba después de IEND podría llegar a ser un mensaje oculto, comparando los dos archivos me doy cuenta de que son similares solo cambian algunos bytes, buscando un poco de información en internet descubro que el mensaje esta ocultado con una herramienta que se llama camouflage, la cual esconde archivos dentro de otros, pero tiene la particularidad de no usar la password suministrada para encriptar el archivo escondido, por lo que la password se puede eliminar de manera muy fácil (Cambiando el valor de los 255 bytes que estan antes que “74 A4 54 10 22 97” a 20 ) Luego se puede ver el contenido oculto con la herramienta camouflage, donde aparece el archivo elk.txt el cual contiene un hash MD5 y uno SHA-1, este ultimo es la palabra password1. La cual supongo es la respuesta al desafío.

  • jorge garcia

    mm no se podria ser este? : CR5yxSfednxIk

  • jorge garcia

    mmmm o esta.. mmm CR0onee19/oEs

  • andres moreno

    si tomo
    6ð7ð

    donde
    6ð(uno)7ð(dos)
    me daria 36 f0 37 f0 en hex
    y al pasarlo a MD5 me da CRvwZQBbBBT4o
    es esto correcto?

  • jorge garcia

    jajajaja disculpen la insistencia pero hasta ahora entro al mundo de la informatica y pues…blabla
    6 7 -> g

    b2f5ff47436671b6e533d8dc3614845d

    • Hola:

      Recuerden que la clave buscado debe tener 9 caracteres.
      Por otro lado mirar MD5 y SHA1 puede ser una buena alternativa.

      Cristian

  • (completo)
    abbdc83790ca883b2bc4208296b07cc4faffac3f – sha1 zip
    c9669d512130669c88893f0fbc6bb4e7b9645f53 – sha1 uno
    ded80646d2c7694820e730eecd23606ad2ecc92f – sha1 dos
    159aa63c90c0a2692562d3414a39eaca – md5 zip
    81366dd67ba31b6e787b6c776fb908d3 – md5 uno
    209d2916b216c0d7b2018a69a86a9796 – md5 dos

    (solo letras)
    aaccadaeaca – md5 del zip
    ddbabebcfbd – md5 del uno
    dbcdbaaa – md5 del dos

    abbdccabbcbccaac – sha1 del zip
    cdcffbcbbebf – sha1 del uno
    deddceeecdadeccf – sha1 del dos

  • abbdc83790ca883b2bc4208296b07cc4faffac3f – sha1 zip
    c9669d512130669c88893f0fbc6bb4e7b9645f53 – sha1 uno
    ded80646d2c7694820e730eecd23606ad2ecc92f – sha1 dos
    159aa63c90c0a2692562d3414a39eaca – md5 zip
    81366dd67ba31b6e787b6c776fb908d3 – md5 uno
    209d2916b216c0d7b2018a69a86a9796 – md5 dos

    (solo letras)
    aaccadaeaca – md5 del zip
    ddbabebcfbd – md5 del uno
    dbcdbaaa – md5 del dos

    abbdccabbcbccaac – sha1 del zip
    cdcffbcbbebf – sha1 del uno
    deddceeecdadeccf – sha1 del dos

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Solución del décimo desafío de ESET()

Síguenos