HackIt! Nivel 9: ¿dónde está el zip?
Tras oír la conversación, apuntamos los detalles. En algún lugar hay un fichero .zip con password. Dicho password empieza por f, contiene los caracteres r,v,k,n,1,3 (no tiene por qué ser en ese orden), y es de longitud 9.
La primera pregunta: ¿de qué fichero .zip estamos hablando? No puede ser el que contiene el archivo tampering.pcap, porque ese lo hemos descomprimido sin necesidad de password. Otra opción es que se encuentre en el mismo volcado tampering.pcap. Analizando tramas:
Vemos tramas HTTP, y el nombre hackit.zip . No tiene mala pinta… En concreto, se ve que una de las líneas pone: HTTP/1.1 200 OK (application/zip). Al desplegarla, en el campo Media Type, vemos que en la captura tenemos los bytes de un fichero de 1452 bytes que se transmitió por protocolo HTTP. Botón derecho sobre esa línea (Media Type) y elegimos “Export selected packet bytes”.
Elegimos la ruta del fichero a exportar y le damos un nombre. Por ejemplo: /tmp/payload.zip
Si ahora intentamos descomprimir:
sh-3.2$ unzip payload.zip
Archive: payload.zip
[payload.zip] hackit.rtf password:
¡Premio! ¿Algún buen crackeador de passwords zip en la sala?
on May 9th, 2008 at 7:10 pm
Yo utilicé un recurso alternativo. Extraje con tcpxtract los archivos de la captura:
$ tcpxtract -f tampering.pcap
Found file of type “zip” in session [10.12.208.20:20480 -> 10.12.208.4:8708], exporting to 00000000.zip
Y para la contraseña del zip en Linux tenemos fcrackzip que va de perlas ;-)
on May 11th, 2008 at 5:18 am
O sea que el archivo lo tenia a la mano y no lo miré, era el penúltimo que aparece en la imagen.
Ahh pero algun dia les ganaré. :-)
on May 11th, 2008 at 10:20 pm
@xabier: genial, no conocía esa aplicación (tcpxtract)
@yo: estoy seguro de ello ;-)
on May 11th, 2008 at 10:56 pm
xabier: la contraseña la pude obtener con el zip password recovery de Elcomsoft . Con fcrackzip probé pero no tuve éxito. ¿Qué opciones le has pasado a fcrackzip?