zmeutz Posted February 28, 2018 Report Posted February 28, 2018 Buna seara! De ceva timp ma chinuie o arhiva zip, are 1.44gb... Am incercat BruteForce si alte siteuri de inlaturare parola online, dar fara success... Am incercat si inlocuirea blocurilor de caractere, dar fara success(conform tutorialelor de pe net). Arhiva este deschisa de un program, care l-am dezasamblat cu IDA, nu gasesc codul care il foloseste, e posibil sa il preia de pe server sau e criptat... nu sunt utilizator expert pe IDA... Alte idei? Ce as mai putea incerca? Multumesc! Quote
u0m3 Posted February 28, 2018 Report Posted February 28, 2018 Daca este o arhiva zip normala, poti incerca zip2john (program utilitar din suita JohnTheRipper). Cam in felul acesta: zip2john test.zip > test.zip.hash Acum, daca ai noroc, poti folosi hashcat pentru a face partea de brute-force/dictionary-attack/etc folosind OpenCL/CUDA. Daca hash-ul este de forma test.zip:$pkzip2$1*2*2*0*1c*10*f30b8770*0*3e*0*1c*f30b*495b*14f1b9c5523b908446a836c0ee0f109fdf033eb16a8b360d528c3a4c*$/pkzip2$:::::test.zip (adica apare acel $pkzip2$) vei fi nevoit sa te multumesti cu performanta cpu. Cat despre IDA, ai incercat sa ii faci debgging in timp ce ruleaza, sa vezi cam ce si cum face? Quote
zmeutz Posted March 1, 2018 Author Report Posted March 1, 2018 Am incercat zip2john si primesc urmatoarea eroare: 0 [main] zip2john 7308 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer. Please report this problem to the public mailing list cygwin@cygwin.com ! test.zip : No such file or directory am instalat si cygwin, de unde am luat fisierele .dll dar tot nu vrea ... Rulez windows 10 x64 - voi incerca mai tarziu pe windows 7 x86 IDA in debugging nu am incercat, dar voi incerca, nu stiu cat ma ajuta deoarece executabilul este arhivat ... ma si atentioneaza IDA cand il deschid... Am testat si cu SmartSniff si am vazut ca odata selectat fisierul apeleaza un ip, la care raspunde un blog a unei persoane ... Am testat ProcessMonitor si ProcessActivity si am vazut ca aplicatia dezarhiveaza fiserele mici in memoria ram, iar pe cel mare de 1.4gb l-am gasit... Pot face cu ProcessActivity un dump la proces dar nu ma ajuta sa le reconstruiesc, este vorba de 5 fisiere Voi incerca si aceste 2 lucruri si voi reveni cu un update. Multumesc! Quote
u0m3 Posted March 1, 2018 Report Posted March 1, 2018 3 hours ago, zmeutz said: ! test.zip : No such file or directory In general, daca fisierul tau zip nu se numeste test.zip, e normal sa se planga ca nu il gaseste. Zic si eu. 1 Quote
zmeutz Posted March 1, 2018 Author Report Posted March 1, 2018 (edited) Ca sa inlatur orice fel de dubiu, l-am redenumit test.zip, iar command prompt e rulat ca si adiministrator. Am cautat pe net, google aceasta erosre si mai multa lume se plange de ea... problema porneste de la cygwin1.dll deoarece cu cel din noua versiune imi da o alta eroare. ”Program failed to start” scuze, asta e defapt eroarea 0 [main] zip2john 9304 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer. Please report this problem to the public mailing list cygwin@cygwin.com multumesc! Edited March 1, 2018 by zmeutz am dat paste unei alte errori Quote
ARUBA Posted March 1, 2018 Report Posted March 1, 2018 7 minutes ago, zmeutz said: Ca sa inlatur orice fel de dubiu, l-am redenumit test.zip, iar command prompt e rulat ca si adiministrator. Am cautat pe net, google aceasta erosre si mai multa lume se plange de ea... problema porneste de la cygwin1.dll deoarece cu cel din noua versiune imi da o alta eroare. ”Program failed to start” scuze, asta e defapt eroarea 0 [main] zip2john 9304 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer. Please report this problem to the public mailing list cygwin@cygwin.com multumesc! rezolvare https://github.com/dscho/msys2-runtime/releases/tag/fast-cwd-v1 cel mai bine instaleaza cygwin din sursa, cred ca e outdated in repo-ul pe care l-ai folosit pentru a-l instala. Quote
zmeutz Posted March 1, 2018 Author Report Posted March 1, 2018 am reusit fara probleme pe windows 7 x86 test.zip:$zip2$*0*3*0*55580c0012200c5a8f4ef25900000000*9c24*fffffff0*ZFILE*test.zip*5a486e6c*5a486ec5*0c0012200c5a8f4ef259*$/zip2$:::::test.zip Quote
theandruala Posted March 1, 2018 Report Posted March 1, 2018 2 hours ago, zmeutz said: am reusit fara probleme pe windows 7 x86 test.zip:$zip2$*0*3*0*55580c0012200c5a8f4ef25900000000*9c24*fffffff0*ZFILE*test.zip*5a486e6c*5a486ec5*0c0012200c5a8f4ef259*$/zip2$:::::test.zip De curiozitate... Poți spune cât a durat? Și cât de mare era parola, ce caractere conținea? Alpha upper/lower / numerice / special chars / etc? Quote
zmeutz Posted March 2, 2018 Author Report Posted March 2, 2018 (edited) Pai de aseara de cand am scos hash-ul cu johntheripper, am dat drumul la hashcat / dictionary attack, am descarcat cativa gb de fisiere pentru dictionar, calculatorul e inca deschis si lucreaza. nu am reusit sa extrag parola ... daca nu reusesc cu dictionary attack voi incerca brute force parola ar trebui sa aibe 16caractere asa am vazut in executabilul deschis cu IDA.. L.E. mi se pare destul de dificil sa aflu parola arhivei in acest mod, cred ca mai multe sanse voi avea cu IDA... Edited March 2, 2018 by zmeutz Quote
QuoVadis Posted March 2, 2018 Report Posted March 2, 2018 Daca ai nevoie de putere de procesare sunt ceva trial-uri, in special cel de Google care iti da $300 credit si poti baga 96 vCPUs sa iti lucreze. 1 Quote
zmeutz Posted March 4, 2018 Author Report Posted March 4, 2018 este destul de greu, chiar imposibil sa aflu parola arhivei ... dupa o formula de calcul de la JohnTheRipper pentru cele 16caractere ale mele, BruteForce are nevoie de 4ani si 9 luni ca sa afle parola... L-am deschis cu IDA decompiler si cand ii rulez in debug mode, are un fel de protectie si spune sa inchid programele de decompilare si sa restartez aplicatia ... Voi incerca si zipdump. Multumesc! Quote
Usr6 Posted March 4, 2018 Report Posted March 4, 2018 Schimbai numele din ida.exe in orice.exe, prima data uite te in stringuri dupa chestii interesante"Shift+F12" p.s. Exista sanse ca parola sa fie plain text in fisier/memorie - ruleaza programu - deschide procexp, click dreapta pe procesul tau > Properties >Strings - alegi Image si dai save (salvezi stringurile din fisier) -alegi Memory si dai save (salvezi stringurile din memorie) uitate prin cele 2 fisiere dupa orice poate semana a parola (plain text, hex, base64) Daca crezi ca isi ia parola de pe server te poti uita dupa conxiunile procesului din procexp>TCP/IP, pentru a vedea ce trimite/primeste cauta wireshark 4 Quote
zmeutz Posted March 5, 2018 Author Report Posted March 5, 2018 On 3/4/2018 at 10:59 AM, Usr6 said: Schimbai numele din ida.exe in orice.exe, prima data uite te in stringuri dupa chestii interesante"Shift+F12" p.s. Exista sanse ca parola sa fie plain text in fisier/memorie - ruleaza programu - deschide procexp, click dreapta pe procesul tau > Properties >Strings - alegi Image si dai save (salvezi stringurile din fisier) -alegi Memory si dai save (salvezi stringurile din memorie) uitate prin cele 2 fisiere dupa orice poate semana a parola (plain text, hex, base64) Daca crezi ca isi ia parola de pe server te poti uita dupa conxiunile procesului din procexp>TCP/IP, pentru a vedea ce trimite/primeste cauta wireshark am gasit pachetele TCP/IP dar sunt cryptate... 00000000 16 03 03 00 35 02 00 00 31 03 03 5A 9C C3 C8 B8 ....5... 1..Z.... 00000010 8D E1 CB FD 45 95 5B 1A 69 FC EB B1 54 0A 84 2E ....E.[. i...T... 00000020 05 8A F1 94 14 55 E7 4F AD 12 68 00 00 9D 00 00 .....U.O ..h..... 00000030 09 FF 01 00 01 00 00 23 00 00 16 03 03 02 6F 0B .......# ......o. 00000040 00 02 6B 00 02 68 00 02 65 30 82 02 61 30 82 01 ..k..h.. e0..a0.. 00000050 CA A0 03 02 01 02 02 01 00 30 0D 06 09 2A 86 48 ........ .0...*.H 00000060 86 F7 0D 01 01 04 05 00 30 30 31 0F 30 0D 06 03 ........ 001.0... 00000070 55 04 0A 13 06 52 65 43 61 53 65 31 0C 30 0A 06 U....ReC aSe1.0.. 00000080 03 55 04 0B 13 03 31 2E 30 31 0F 30 0D 06 03 55 .U....1. 01.0...U 00000090 04 03 13 06 52 65 43 61 53 65 30 1E 17 0D 30 36 ....ReCa Se0...06 000000A0 30 32 30 33 31 33 34 32 30 38 5A 17 0D 32 34 30 02031342 08Z..240 000000B0 35 30 35 31 33 34 32 30 38 5A 30 30 31 0F 30 0D 50513420 8Z001.0. 000000C0 06 03 55 04 0A 13 06 52 65 43 61 53 65 31 0C 30 ..U....R eCaSe1.0 000000D0 0A 06 03 55 04 0B 13 03 31 2E 30 31 0F 30 0D 06 ...U.... 1.01.0.. 000000E0 03 55 04 03 13 06 52 65 43 61 53 65 30 81 9F 30 .U....Re CaSe0..0 000000F0 0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 81 ...*.H.. ........ 00000100 8D 00 30 81 89 02 81 81 00 B6 1D 0A A3 5F 9C 68 ..0..... ....._.h 00000110 C7 88 61 C4 05 45 5C 95 85 73 DC 75 4F B4 79 C4 ..a..E\. .s.uO.y. 00000120 00 93 BA D8 CC 05 EE 1B EA 4A 09 5B 08 EE C2 04 ........ .J.[.... 00000130 3D 9F 4B 38 62 93 B7 59 FF 37 2F E2 A3 3D 25 2B =.K8b..Y .7/..=%+ 00000140 08 62 A2 EE AD 9D 59 7F 32 43 7A B4 1D FC A9 43 .b....Y 2Cz....C 00000150 95 0C 88 FD 00 B4 70 AE 20 B0 1C 93 33 95 7A 87 ......p. ...3.z. 00000160 6B 2E 54 4E C8 93 9F 6B 42 23 E7 DC 65 5B 15 31 k.TN...k B#..e[.1 00000170 0A D2 76 6A 3A 95 39 C0 69 82 7E C7 42 D9 A8 CD ..vj:.9. i.~.B... 00000180 8E 0C 67 1D 88 CA 25 0A 71 02 03 01 00 01 A3 81 ..g...%. q....... 00000190 8A 30 81 87 30 1D 06 03 55 1D 0E 04 16 04 14 6B .0..0... U......k 000001A0 51 EB 85 64 C1 DF 27 C9 C1 9F 72 18 67 CA 84 9B Q..d..'. ..r.g... 000001B0 F8 B1 55 30 58 06 03 55 1D 23 04 51 30 4F 80 14 ..U0X..U .#.Q0O.. 000001C0 6B 51 EB 85 64 C1 DF 27 C9 C1 9F 72 18 67 CA 84 kQ..d..' ...r.g.. 000001D0 9B F8 B1 55 A1 34 A4 32 30 30 31 0F 30 0D 06 03 ...U.4.2 001.0... 000001E0 55 04 0A 13 06 52 65 43 61 53 65 31 0C 30 0A 06 U....ReC aSe1.0.. 000001F0 03 55 04 0B 13 03 31 2E 30 31 0F 30 0D 06 03 55 .U....1. 01.0...U 00000200 04 03 13 06 52 65 43 61 53 65 82 01 00 30 0C 06 ....ReCa Se...0.. 00000210 03 55 1D 13 04 05 30 03 01 01 FF 30 0D 06 09 2A .U....0. ...0...* 00000220 86 48 86 F7 0D 01 01 04 05 00 03 81 81 00 5D 30 .H...... ......]0 00000230 3A C0 A8 BF BC 4D 8F 95 8D 5A D8 37 FB D6 54 EE :....M.. .Z.7..T. 00000240 A5 96 B8 D0 97 AF 3A 44 8E 96 2B 2B 3F 06 5E 8B ......:D ..++?.^. 00000250 AE F8 3E 0E 61 B4 87 ED B3 F7 12 6A C6 BF FE B1 ..>.a... ...j.... 00000260 27 13 A0 21 61 75 33 62 5D 84 F4 66 24 40 17 57 '..!au3b ]..f$@.W 00000270 68 25 5B 04 F2 45 C6 8E DD 5A 4C AB E0 82 00 30 h%[..E.. .ZL....0 00000280 8C E2 26 27 2C 7F F8 36 5E BD FB 5D F1 13 02 F8 ..&',.6 ^..].... 00000290 EF AD D7 A2 D9 ED A4 2E 28 57 AC 1B 5E 08 DF 89 ........ (W..^... 000002A0 A1 B4 A1 61 8D 9A FD BD A2 BE A3 D6 1B C8 16 03 ...a.... ........ 000002B0 03 00 04 0E 00 00 00 ....... 13 TCP 192.168.1.8 66.154.125.70 53362 9418 22 2.487 Bytes 3.583 Bytes 04.03.2018 22:12:57:987 04.03.2018 22:12:58:486 00:00:00.498 la acel IP raspunde un blog... Quote
Usr6 Posted March 5, 2018 Report Posted March 5, 2018 tie respectivul program iti dezarhiveaza arhiva da? - te-ai uitat in temp? ( fisierele dezarhivate trebuie depozitate, macar temporar, undeva), daca nu-s in temp, vezi tot din procexp uite te dupa un fisier din arhiva respectiva da prop pe el si vezi path - mai poti incerca sa atasezi ida pe procesul programului dupa ce termina de dezarhivat si sa te uiti iar dupa parola Nu cumva este vorba de un program cu licenta care trimite niste date de identificare (hwid) catre un server si iti deschide arhiva doar in cazul in care iti este recunoscut pc-ul? Quote
zmeutz Posted March 5, 2018 Author Report Posted March 5, 2018 (edited) 1 hour ago, Usr6 said: tie respectivul program iti dezarhiveaza arhiva da? - te-ai uitat in temp? ( fisierele dezarhivate trebuie depozitate, macar temporar, undeva), daca nu-s in temp, vezi tot din procexp uite te dupa un fisier din arhiva respectiva da prop pe el si vezi path - mai poti incerca sa atasezi ida pe procesul programului dupa ce termina de dezarhivat si sa te uiti iar dupa parola fisierele din arhiva sunt: Firmware\ ._058-86830-108.dmg 058-86587-108.dmg 058-86768-108.dmg 058-86830-108.dmg - acesta are 1.44gb nu il baga in memoria ram..., am gasit folderul lui ... respectiv fisierul BuildManifest.plist kernelcache.release.watch2 Restore.plist restul toate sunt in memorie, am creat un dump cu procexp64 si are 177,134kb totalul arhivei are 1.526mb am deschis acel dump si contine toate numele fisierelor, inclusiv ce ar trebui sa fie in interiorul imaginilor .dmg ... Quote Nu cumva este vorba de un program cu licenta care trimite niste date de identificare (hwid) catre un server si iti deschide arhiva doar in cazul in care iti este recunoscut pc-ul? aici m-ai bagat in ceata ... ar fi posibil cred. deoarece: 1.el ma pune sa ma autentific inainte de a-mi activa meniul respeciv, apoi apare buton de "restore" 2. nu ma pot autentifica daca nu vede dongle-ul 3. in codul sursa apare des : BEGIN PRIVATE KEY BEGIN CERTIFICATE -----BEGIN DSA PRIVATE KEY----- -----BEGIN RSA PRIVATE KEY----- -----BEGIN EC PRIVATE KEY----- iar la IDA nu pot atasa aplicatia, vede ca este deschis un decompiler, imi da eroare si o inchide fortat ... In executabil de asemenea am gasit: CIPSW::ExtractToFile CIPSW::SetDecryptionPassword CIPSW::Open Out of memory Setting default password CIPSW::Open Out of memory CIPSW::ExtractToFile zip_fread: %s frite: %s Setting decryption password to %s CIPSW::ExtractToCMemFile CIPSW::ExtractToBuffer Server sent encryption key %s ! Edited March 5, 2018 by zmeutz Quote
Usr6 Posted March 5, 2018 Report Posted March 5, 2018 hai sa mai incercam ceva regshot (https://sourceforge.net/projects/regshot/postdownload?source=dlp) ii dai la scan dir c:\, dai 1st shot, astepti sa termine, deschizi programu ala astepti cateva minute, te intorci in regshot ii dai 2nd shot astepti sa termine si dupa dai compare. ar trebui sa-ti ofere o lista cu toate fisierele care au aparut pe c:\ intre cele doua shoturi Quote
zmeutz Posted March 5, 2018 Author Report Posted March 5, 2018 (edited) 12 minutes ago, Usr6 said: hai sa mai incercam ceva regshot (https://sourceforge.net/projects/regshot/postdownload?source=dlp) ii dai la scan dir c:\, dai 1st shot, astepti sa termine, deschizi programu ala astepti cateva minute, te intorci in regshot ii dai 2nd shot astepti sa termine si dupa dai compare. ar trebui sa-ti ofere o lista cu toate fisierele care au aparut pe c:\ intre cele doua shoturi am folosit ProcessMonitor am selectat doar fereastra aplicatiei, si vad exact cu ce fisiere lucreaza ... am gasit toate log-urile pe care le foloseste si plist files, cate 1 pe fiecare restaurare imi arata unde salveaza fisierul 058-86830-108.dmg si imi arata de fiecare daca cand foloseste arhiva, in rest nimic activitate cu fisierele ... adica: 7b1e9356c4dc9db35c4ef29a118e522aecd2e1b5.plist si MFC20180304 am gasit altceva interesant in arhiva, de unde am primit si pachetele TCP/IP FirmwareSHA1 protected: %s.lock %s.lock protected: > update size %d %s %08X %08X %08X > Receiving update usefulfor.me e un blog undercover Edited March 5, 2018 by zmeutz Quote
UnixDevel Posted March 5, 2018 Report Posted March 5, 2018 (edited) ce c:\ cand voi vb de MAC OS ? wtfk mai bine platesti programul decat sa te chinui atit ? @Nytro ? inchidem thread ? Edited March 5, 2018 by n3curatu Quote
zeropoint Posted March 5, 2018 Report Posted March 5, 2018 (edited) 7 hours ago, n3curatu said: ce c:\ cand voi vb de MAC OS ? wtfk mai bine platesti programul decat sa te chinui atit ? @Nytro ? inchidem thread ? sincer eu nu inteleg ce vor ei sa faca cu postarea: "Inlaturare parola arhiva zip" aveti aici versiunile iOS gratuit pentru restore: https://ipsw.me/#!/platform Folositi pentru restore http://www.libimobiledevice.org/ sau va da Albastrel ce aveti nevoie MFC 2.51 care vreti voi sa il "spargeti" nu vine cu nici o arhiva zip sau ipsw doar pe site la ei gasesti cu plata sau mai sus linkul de pe ipsw.me gratuit la fel ca si firmware-ul 3 pentru apple watch. MFC functioneaza doar impreuna cu dispozitivul usb deci daca nu puneti la dispozitie si dongle-ul usb nu cred ca o sa il cumpere nimeni ca sa va aranjeze aplicatia pentru decodare telefoane... Nu asa se procedeaza baieti, data viitoare scrieti in titlu clar ce vreti chiar daca doriti sa-i fu**ti pe aia cu MFC-ul doar ca cer bani pe un firmware gratuit. N3curatu, se poate inchide cred...si arunca la gunoi sau la WC ahaha Edited March 6, 2018 by zeropoint Quote
zmeutz Posted March 6, 2018 Author Report Posted March 6, 2018 (edited) 6 hours ago, n3curatu said: ce c:\ cand voi vb de MAC OS ? wtfk mai bine platesti programul decat sa te chinui atit ? @Nytro ? inchidem thread ? De cand doar MAC OS poate restaura dispozitivele de la Apple? De cand MAC OS ruleaza cu fisiere .exe? Daca nu era platit deja programul nu imi dadea voie sa il folosesc si sa aflu atat de multe, nu crezi?!? instaleaza aplicatia si incearca sa vezi daca ai access la iMFC, simplu. 5 hours ago, zeropoint said: sincer eu nu inteleg ce vor ei sa faca aveti aici versiunile iOS gratuit pentru restore: https://ipsw.me/#!/platform Folositi pentru restore http://www.libimobiledevice.org/ sau va da Albastrel ce aveti nevoie MFC 2.51 nu vine cu nici o arhiva zip sau ipsw doar pe site la ei gasesti cu plata sau mai sus linkul de pe ipsw.me gratuit MFC functioneaza doar impreuna cu dispozitivul usb deci daca nu puneti la dispozitie si dongle-ul usb nu cred ca o sa il cumpere nimeni ca sa va aranjeze aplicatia pentru decodare telefoane... Se poate inchide cred... 1. Scuze dar esti totul pe dinafara, nu cred ca stii nimic despre ipsw si dispozitivele de la apple. Acolo pentru apple watch gasesti doar updateuri, de cate ori ai vazut un firmware de la apple cu extensia zip? Cand ai vazut un firmware sa aibe cativa mb?!?! 2. MFC nu downloadeza automat firmware-ul, el trebuie descarcat de la ei de pe site, e gratis doar ca e protejat de parola si il poate folosi doar aplicatia lor. 3. Nu este vorba de decodarea telefoanelor, dupa cum am zis, firmware-ul pentru Apple Watch e gratis dar greu de gasit/ imposibil L.E. Nimeni nu vrea sa “aranjeze” aplicatia pentru a o vinde, iTunes face destul de bine acest lucru, doar daca are fisierele necesare... Edited March 6, 2018 by zmeutz Quote
