Jump to content
zmeutz

Inlaturare parola arhiva zip

Recommended Posts

Buna seara!

 

De ceva timp ma chinuie o arhiva zip, are 1.44gb...

Am incercat BruteForce si alte siteuri de inlaturare parola online, dar fara success...

 

Am incercat si inlocuirea blocurilor de caractere, dar fara success(conform tutorialelor de pe net).

 

Arhiva este deschisa de un program, care l-am dezasamblat cu IDA, nu gasesc codul care il foloseste, e posibil sa il preia de pe server sau e criptat... nu sunt utilizator expert pe IDA...

 

Alte idei?

Ce as mai putea incerca?

 

Multumesc!

Link to comment
Share on other sites

Daca este o arhiva zip normala, poti incerca zip2john (program utilitar din suita JohnTheRipper). Cam in felul acesta:

zip2john test.zip > test.zip.hash

Acum, daca ai noroc, poti folosi hashcat pentru a face partea de brute-force/dictionary-attack/etc folosind OpenCL/CUDA.

Daca hash-ul este de forma

test.zip:$pkzip2$1*2*2*0*1c*10*f30b8770*0*3e*0*1c*f30b*495b*14f1b9c5523b908446a836c0ee0f109fdf033eb16a8b360d528c3a4c*$/pkzip2$:::::test.zip

(adica apare acel $pkzip2$) vei fi nevoit sa te multumesti cu performanta cpu.

 

Cat despre IDA, ai incercat sa ii faci debgging in timp ce ruleaza, sa vezi cam ce si cum face?

Link to comment
Share on other sites

Am incercat zip2john si primesc urmatoarea eroare:

0 [main] zip2john 7308 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer.  Please report this problem to
the public mailing list cygwin@cygwin.com
! test.zip : No such file or directory

am instalat si cygwin, de unde am luat fisierele .dll dar tot nu vrea ...

Rulez windows 10 x64 - voi incerca mai tarziu pe windows 7 x86

 

IDA in debugging nu am incercat, dar voi incerca, nu stiu cat ma ajuta deoarece executabilul este arhivat ...

ma si atentioneaza IDA cand il deschid...

 

Am testat si cu SmartSniff si am vazut ca odata selectat fisierul apeleaza un ip, la care raspunde un blog a unei persoane ... :D

Am testat ProcessMonitor si ProcessActivity si am vazut ca aplicatia dezarhiveaza fiserele mici in memoria ram, iar pe cel mare de 1.4gb l-am gasit...

Pot face cu ProcessActivity un dump la proces dar nu ma ajuta sa le reconstruiesc, este vorba de 5 fisiere :(

 

Voi incerca si aceste 2 lucruri si voi reveni cu un update.

 

Multumesc!

Link to comment
Share on other sites

Ca sa inlatur orice fel de dubiu, l-am redenumit test.zip, iar command prompt e rulat ca si adiministrator.

 

Am cautat pe net, google aceasta erosre si mai multa lume se plange de ea... problema porneste de la cygwin1.dll deoarece cu cel din noua versiune imi da o alta eroare.

”Program failed to start”

 

scuze, asta e defapt eroarea :D

0 [main] zip2john 9304 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer.  Please report this problem to
the public mailing list cygwin@cygwin.com

 

multumesc!

Edited by zmeutz
am dat paste unei alte errori
Link to comment
Share on other sites

7 minutes ago, zmeutz said:

Ca sa inlatur orice fel de dubiu, l-am redenumit test.zip, iar command prompt e rulat ca si adiministrator.

 

Am cautat pe net, google aceasta erosre si mai multa lume se plange de ea... problema porneste de la cygwin1.dll deoarece cu cel din noua versiune imi da o alta eroare.

”Program failed to start”

 

scuze, asta e defapt eroarea :D


0 [main] zip2john 9304 find_fast_cwd: WARNING: Couldn't compute FAST_CWD pointer.  Please report this problem to
the public mailing list cygwin@cygwin.com

 

multumesc!

rezolvare https://github.com/dscho/msys2-runtime/releases/tag/fast-cwd-v1

cel mai bine instaleaza cygwin din sursa, cred ca e outdated in repo-ul pe care l-ai folosit pentru a-l instala.

Link to comment
Share on other sites

2 hours ago, zmeutz said:

am reusit fara probleme pe windows 7 x86

 


test.zip:$zip2$*0*3*0*55580c0012200c5a8f4ef25900000000*9c24*fffffff0*ZFILE*test.zip*5a486e6c*5a486ec5*0c0012200c5a8f4ef259*$/zip2$:::::test.zip
 

 

De curiozitate... Poți spune cât a durat? Și cât de mare era parola, ce caractere conținea?  Alpha upper/lower / numerice / special chars / etc? 

Link to comment
Share on other sites

Pai de aseara de cand am scos hash-ul cu johntheripper, am dat drumul la hashcat / dictionary attack, am descarcat cativa gb de fisiere pentru dictionar, calculatorul e inca deschis si lucreaza.

 

nu am reusit sa extrag parola ...

daca nu reusesc cu dictionary attack voi incerca brute force

 

parola ar trebui sa aibe 16caractere asa am vazut in executabilul deschis cu IDA..

 

L.E.

mi se pare destul de dificil sa aflu parola arhivei in acest mod, cred ca mai multe sanse voi avea cu IDA...

Edited by zmeutz
Link to comment
Share on other sites

este destul de greu, chiar imposibil sa aflu parola arhivei ...

dupa o formula de calcul de la JohnTheRipper pentru cele 16caractere ale mele, BruteForce are nevoie de 4ani si 9 luni ca sa afle parola...

 

L-am deschis cu IDA decompiler si cand ii rulez in debug mode, are un fel de protectie si spune sa inchid programele de decompilare si sa restartez aplicatia ... :D

 

Voi incerca si zipdump.

Multumesc!

Link to comment
Share on other sites

Schimbai numele din ida.exe in orice.exe, prima data uite te in stringuri dupa chestii interesante"Shift+F12"

 

p.s.

Exista sanse ca parola sa fie plain text in fisier/memorie

- ruleaza programu

- deschide procexp, click dreapta pe procesul tau > Properties >Strings

- alegi Image si dai save (salvezi stringurile din fisier)

-alegi Memory si dai save (salvezi stringurile din memorie)

uitate prin cele 2 fisiere dupa orice poate semana a parola (plain text, hex, base64)

 

Daca crezi ca isi ia parola de pe server te poti uita dupa conxiunile procesului din procexp>TCP/IP, pentru a vedea ce trimite/primeste cauta wireshark

 

 

 

 

 

 

  • Upvote 4
Link to comment
Share on other sites

On 3/4/2018 at 10:59 AM, Usr6 said:

Schimbai numele din ida.exe in orice.exe, prima data uite te in stringuri dupa chestii interesante"Shift+F12"

 

p.s.

Exista sanse ca parola sa fie plain text in fisier/memorie

- ruleaza programu

- deschide procexp, click dreapta pe procesul tau > Properties >Strings

- alegi Image si dai save (salvezi stringurile din fisier)

-alegi Memory si dai save (salvezi stringurile din memorie)

uitate prin cele 2 fisiere dupa orice poate semana a parola (plain text, hex, base64)

 

Daca crezi ca isi ia parola de pe server te poti uita dupa conxiunile procesului din procexp>TCP/IP, pentru a vedea ce trimite/primeste cauta wireshark

 

 

 

 

 

 

am gasit pachetele TCP/IP dar sunt cryptate...

 

00000000  16 03 03 00 35 02 00 00  31 03 03 5A 9C C3 C8 B8   ....5... 1..Z.... 
00000010  8D E1 CB FD 45 95 5B 1A  69 FC EB B1 54 0A 84 2E   ....E.[. i...T... 
00000020  05 8A F1 94 14 55 E7 4F  AD 12 68 00 00 9D 00 00   .....U.O ..h..... 
00000030  09 FF 01 00 01 00 00 23  00 00 16 03 03 02 6F 0B   .......# ......o. 
00000040  00 02 6B 00 02 68 00 02  65 30 82 02 61 30 82 01   ..k..h.. e0..a0.. 
00000050  CA A0 03 02 01 02 02 01  00 30 0D 06 09 2A 86 48   ........ .0...*.H 
00000060  86 F7 0D 01 01 04 05 00  30 30 31 0F 30 0D 06 03   ........ 001.0... 
00000070  55 04 0A 13 06 52 65 43  61 53 65 31 0C 30 0A 06   U....ReC aSe1.0.. 
00000080  03 55 04 0B 13 03 31 2E  30 31 0F 30 0D 06 03 55   .U....1. 01.0...U 
00000090  04 03 13 06 52 65 43 61  53 65 30 1E 17 0D 30 36   ....ReCa Se0...06 
000000A0  30 32 30 33 31 33 34 32  30 38 5A 17 0D 32 34 30   02031342 08Z..240 
000000B0  35 30 35 31 33 34 32 30  38 5A 30 30 31 0F 30 0D   50513420 8Z001.0. 
000000C0  06 03 55 04 0A 13 06 52  65 43 61 53 65 31 0C 30   ..U....R eCaSe1.0 
000000D0  0A 06 03 55 04 0B 13 03  31 2E 30 31 0F 30 0D 06   ...U.... 1.01.0.. 
000000E0  03 55 04 03 13 06 52 65  43 61 53 65 30 81 9F 30   .U....Re CaSe0..0 
000000F0  0D 06 09 2A 86 48 86 F7  0D 01 01 01 05 00 03 81   ...*.H.. ........ 
00000100  8D 00 30 81 89 02 81 81  00 B6 1D 0A A3 5F 9C 68   ..0..... ....._.h 
00000110  C7 88 61 C4 05 45 5C 95  85 73 DC 75 4F B4 79 C4   ..a..E\. .s.uO.y. 
00000120  00 93 BA D8 CC 05 EE 1B  EA 4A 09 5B 08 EE C2 04   ........ .J.[.... 
00000130  3D 9F 4B 38 62 93 B7 59  FF 37 2F E2 A3 3D 25 2B   =.K8b..Y .7/..=%+ 
00000140  08 62 A2 EE AD 9D 59 7F  32 43 7A B4 1D FC A9 43   .b....Y 2Cz....C 
00000150  95 0C 88 FD 00 B4 70 AE  20 B0 1C 93 33 95 7A 87   ......p.  ...3.z. 
00000160  6B 2E 54 4E C8 93 9F 6B  42 23 E7 DC 65 5B 15 31   k.TN...k B#..e[.1 
00000170  0A D2 76 6A 3A 95 39 C0  69 82 7E C7 42 D9 A8 CD   ..vj:.9. i.~.B... 
00000180  8E 0C 67 1D 88 CA 25 0A  71 02 03 01 00 01 A3 81   ..g...%. q....... 
00000190  8A 30 81 87 30 1D 06 03  55 1D 0E 04 16 04 14 6B   .0..0... U......k 
000001A0  51 EB 85 64 C1 DF 27 C9  C1 9F 72 18 67 CA 84 9B   Q..d..'. ..r.g... 
000001B0  F8 B1 55 30 58 06 03 55  1D 23 04 51 30 4F 80 14   ..U0X..U .#.Q0O.. 
000001C0  6B 51 EB 85 64 C1 DF 27  C9 C1 9F 72 18 67 CA 84   kQ..d..' ...r.g.. 
000001D0  9B F8 B1 55 A1 34 A4 32  30 30 31 0F 30 0D 06 03   ...U.4.2 001.0... 
000001E0  55 04 0A 13 06 52 65 43  61 53 65 31 0C 30 0A 06   U....ReC aSe1.0.. 
000001F0  03 55 04 0B 13 03 31 2E  30 31 0F 30 0D 06 03 55   .U....1. 01.0...U 
00000200  04 03 13 06 52 65 43 61  53 65 82 01 00 30 0C 06   ....ReCa Se...0.. 
00000210  03 55 1D 13 04 05 30 03  01 01 FF 30 0D 06 09 2A   .U....0. ...0...* 
00000220  86 48 86 F7 0D 01 01 04  05 00 03 81 81 00 5D 30   .H...... ......]0 
00000230  3A C0 A8 BF BC 4D 8F 95  8D 5A D8 37 FB D6 54 EE   :....M.. .Z.7..T. 
00000240  A5 96 B8 D0 97 AF 3A 44  8E 96 2B 2B 3F 06 5E 8B   ......:D ..++?.^. 
00000250  AE F8 3E 0E 61 B4 87 ED  B3 F7 12 6A C6 BF FE B1   ..>.a... ...j.... 
00000260  27 13 A0 21 61 75 33 62  5D 84 F4 66 24 40 17 57   '..!au3b ]..f$@.W 
00000270  68 25 5B 04 F2 45 C6 8E  DD 5A 4C AB E0 82 00 30   h%[..E.. .ZL....0 
00000280  8C E2 26 27 2C 7F F8 36  5E BD FB 5D F1 13 02 F8   ..&',.6 ^..].... 
00000290  EF AD D7 A2 D9 ED A4 2E  28 57 AC 1B 5E 08 DF 89   ........ (W..^... 
000002A0  A1 B4 A1 61 8D 9A FD BD  A2 BE A3 D6 1B C8 16 03   ...a.... ........ 
000002B0  03 00 04 0E 00 00 00                               .......
13    TCP    192.168.1.8    66.154.125.70    53362    9418                22    2.487 Bytes    3.583 Bytes        04.03.2018 22:12:57:987    04.03.2018 22:12:58:486    00:00:00.498 

la acel IP raspunde un blog... :D                   
 

Link to comment
Share on other sites

tie respectivul program iti dezarhiveaza arhiva da?

- te-ai uitat in temp? ( fisierele dezarhivate trebuie depozitate, macar temporar, undeva), daca nu-s in temp, vezi tot din procexp uite te dupa un fisier din arhiva respectiva da prop pe el si vezi path

- mai poti incerca sa atasezi ida pe procesul programului dupa ce termina de dezarhivat si sa te uiti iar dupa parola

 

Nu cumva este vorba de un program cu licenta care trimite niste date de identificare (hwid) catre un server si iti deschide arhiva doar in cazul in care iti este recunoscut pc-ul?

 

Link to comment
Share on other sites

1 hour ago, Usr6 said:

tie respectivul program iti dezarhiveaza arhiva da?

- te-ai uitat in temp? ( fisierele dezarhivate trebuie depozitate, macar temporar, undeva), daca nu-s in temp, vezi tot din procexp uite te dupa un fisier din arhiva respectiva da prop pe el si vezi path

- mai poti incerca sa atasezi ida pe procesul programului dupa ce termina de dezarhivat si sa te uiti iar dupa parola

 

 

 

fisierele din arhiva sunt:

Firmware\
._058-86830-108.dmg
058-86587-108.dmg
058-86768-108.dmg
058-86830-108.dmg - acesta are 1.44gb nu il baga in memoria ram..., am gasit folderul lui ... respectiv fisierul
BuildManifest.plist
kernelcache.release.watch2
Restore.plist

 

restul toate sunt in memorie, am creat un dump cu procexp64 si are 177,134kb

totalul arhivei are 1.526mb

 

am deschis acel dump si contine toate numele fisierelor, inclusiv ce ar trebui sa fie in interiorul imaginilor .dmg ...

 

Quote

Nu cumva este vorba de un program cu licenta care trimite niste date de identificare (hwid) catre un server si iti deschide arhiva doar in cazul in care iti este recunoscut pc-ul?

 

aici m-ai bagat in ceata ...

ar fi posibil cred. deoarece:

1.el ma pune sa ma autentific inainte de a-mi activa meniul respeciv, apoi apare buton de "restore"

2. nu ma pot autentifica daca nu vede dongle-ul

3. in codul sursa apare des :

BEGIN PRIVATE KEY

BEGIN CERTIFICATE

-----BEGIN DSA PRIVATE KEY-----
-----BEGIN RSA PRIVATE KEY-----
-----BEGIN EC PRIVATE KEY-----

 

iar la IDA nu pot atasa aplicatia, vede ca este deschis un decompiler, imi da eroare si o inchide fortat ...

 

 

In executabil de asemenea am gasit:

CIPSW::ExtractToFile
CIPSW::SetDecryptionPassword



CIPSW::Open
Out of memory
Setting default password



CIPSW::Open
Out of memory
CIPSW::ExtractToFile
zip_fread: %s
frite: %s



Setting decryption password to %s
CIPSW::ExtractToCMemFile

CIPSW::ExtractToBuffer
Server sent encryption key %s !

 

Edited by zmeutz
Link to comment
Share on other sites

hai sa mai incercam ceva

regshot (https://sourceforge.net/projects/regshot/postdownload?source=dlp)

ii dai la scan dir c:\, dai 1st shot, astepti sa termine,  deschizi programu ala astepti cateva minute, te intorci in regshot ii dai 2nd shot astepti sa termine si dupa dai compare.

 

ar trebui sa-ti ofere o lista cu toate fisierele care au aparut pe c:\ intre cele doua shoturi

 

 

Link to comment
Share on other sites

12 minutes ago, Usr6 said:

hai sa mai incercam ceva

regshot (https://sourceforge.net/projects/regshot/postdownload?source=dlp)

ii dai la scan dir c:\, dai 1st shot, astepti sa termine,  deschizi programu ala astepti cateva minute, te intorci in regshot ii dai 2nd shot astepti sa termine si dupa dai compare.

 

ar trebui sa-ti ofere o lista cu toate fisierele care au aparut pe c:\ intre cele doua shoturi

 

 

am folosit ProcessMonitor

am selectat doar fereastra aplicatiei, si vad exact cu ce fisiere lucreaza ...

 

am gasit toate log-urile pe care le foloseste si plist files, cate 1 pe fiecare restaurare

imi arata unde salveaza fisierul 058-86830-108.dmg

si imi arata de fiecare daca cand foloseste arhiva, in rest nimic activitate cu fisierele ...

 

adica:

7b1e9356c4dc9db35c4ef29a118e522aecd2e1b5.plist

si 

MFC20180304

 

am gasit altceva interesant in arhiva,

de unde am primit si pachetele TCP/IP

FirmwareSHA1
protected:
%s.lock
%s.lock
protected:
> update size %d
%s %08X %08X %08X
> Receiving update
usefulfor.me

e un blog undercover :))

Edited by zmeutz
Link to comment
Share on other sites

7 hours ago, n3curatu said:

ce c:\ cand voi vb de MAC OS ?  wtfk mai bine platesti programul decat sa te chinui atit ?

@Nytro ? inchidem thread ? 

sincer eu nu inteleg ce vor ei sa faca cu postarea:

"Inlaturare parola arhiva zip"

aveti aici versiunile iOS gratuit pentru restore:

https://ipsw.me/#!/platform

Folositi pentru restore http://www.libimobiledevice.org/

sau va da Albastrel ce aveti nevoie

MFC 2.51 care vreti voi sa il "spargeti" nu vine cu nici o arhiva zip sau ipsw doar pe site la ei gasesti cu plata sau mai sus linkul de pe ipsw.me gratuit la fel ca si firmware-ul 3 pentru apple watch.

MFC functioneaza doar impreuna cu dispozitivul usb deci daca nu puneti la dispozitie si dongle-ul usb nu cred ca o sa il cumpere nimeni ca sa va aranjeze aplicatia pentru decodare telefoane...

Nu asa se procedeaza baieti, data viitoare scrieti in titlu clar ce vreti chiar daca doriti sa-i fu**ti pe aia cu MFC-ul doar ca cer bani pe un firmware gratuit.

N3curatu, se poate inchide cred...si arunca la gunoi sau la WC ahaha

Edited by zeropoint
Link to comment
Share on other sites

6 hours ago, n3curatu said:

ce c:\ cand voi vb de MAC OS ?  wtfk mai bine platesti programul decat sa te chinui atit ?

@Nytro ? inchidem thread ? 

De cand doar MAC OS poate restaura dispozitivele de la Apple?

 

De cand MAC OS ruleaza cu fisiere .exe?

 

Daca nu era platit deja programul nu imi dadea voie sa il folosesc si sa aflu atat de multe, nu crezi?!?

 

instaleaza aplicatia si incearca sa vezi daca ai access la iMFC, simplu.

 

5 hours ago, zeropoint said:

sincer eu nu inteleg ce vor ei sa faca

aveti aici versiunile iOS gratuit pentru restore:

https://ipsw.me/#!/platform

Folositi pentru restore http://www.libimobiledevice.org/

sau va da Albastrel ce aveti nevoie

MFC 2.51 nu vine cu nici o arhiva zip sau ipsw doar pe site la ei gasesti cu plata sau mai sus linkul de pe ipsw.me gratuit

MFC functioneaza doar impreuna cu dispozitivul usb deci daca nu puneti la dispozitie si dongle-ul usb nu cred ca o sa il cumpere nimeni ca sa va aranjeze aplicatia pentru decodare telefoane...

Se poate inchide cred...

1. Scuze dar esti totul pe dinafara, nu cred ca stii nimic despre ipsw si dispozitivele de la apple. Acolo pentru apple watch gasesti doar updateuri, de cate ori ai vazut un firmware de la apple cu extensia zip? Cand ai vazut un firmware sa aibe cativa mb?!?!

2. MFC nu downloadeza automat firmware-ul, el trebuie descarcat de la ei de pe site, e gratis doar ca e protejat de parola si il poate folosi doar aplicatia lor.

3. Nu este vorba de decodarea telefoanelor, dupa cum am zis, firmware-ul pentru Apple Watch e gratis dar greu de gasit/ imposibil

 

L.E.

Nimeni nu vrea sa “aranjeze” aplicatia pentru a o vinde, iTunes face destul de bine acest lucru, doar daca are fisierele necesare...

Edited by zmeutz
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...