lunes, 3 de mayo de 2010

A Spotify no le gusta OllyDbg

Andaba yo tan feliz escuchando música en mi ordenador con Spotify cuando me dispuse a abrir OllyDbg para seguir los excelentes post de Eduardo Abril y ZAS! adiós Spotify. Lo vuelvo a arrancar y mira tu:

image

En la última actualización han incorporado medidas antidebug. Panda de paranoicos… ¿quien querría debugear Spotify para escuchar música sin publicidad? Y ahora ¿cómo voy a escuchar la mejor música y trastear con el Olly!!?

Habrá que desempolvar el viejo transistor :)
Saludos!

viernes, 30 de abril de 2010

Gané el desafío 11 de ESET

Leyendo RSS (los cuales me quitan gran parte de mi tiempo libre) me enteré de este nuevo reto del laboratorio ESET Latinoamérica:
http://blogs.eset-la.com/laboratorio/2010/04/27/desafio-11-eset/

Empiezas, te picas y al final no te lo quitas de la cabeza hasta que no se resuelve el acertijo. Esta vez hubo suerte y fui el primero en resolverlo :)

Aquí puede verse la solución que ha dado ESET:
http://blogs.eset-la.com/laboratorio/2010/04/30/solucion-desafio-11-de-eset/

Ya que estamos pongo la mía tal cual se la envíe a ellos.
Saludos!

Buenas,
expongo a continuación lo que creo que es la solución.

Lo primero que hice fue acceder al enlace que nos daban:
http://blogs.eset-la.com/laboratorio/wp-content/uploads/2010/04/desafio-11/
Al acceder al mismo vi que se mostraba un error 403 forbidden con solo texto.

Como sabia que había gato encerrado probé varias cosas. Mire el código fuente por si se había dejado alguna pista, examiné las cabeceras, nunca se sabe…

Tras un periodo de reflexión llegué a la conclusión de que al ser un reto relacionado con el malware es posible que solo respondiera con un exploit ante determinados User-Agents antiguos, así que probé con distintos valores. Así conseguí descubrir que con todos los UsersAgent de los navegadores mas conocidos se devolvía la misma página de 403 con solo texto, pero cuando desaparecía el User-Agent o contaba con un valor aleatorio se mostraba una página 404 personalizada, en html, siguiendo la estética del blog.

Tras muchos intentos y tras leer alguna pista en los comentarios ;) me dio por comparar la página 404 que da el blog de eset con esa que se mostraba. Y en efecto no eran iguales. Así llegue a encontrar un script que no se cargaba en la página 404 normal. Estaba en la siguiente URL:
http://blogs.eset-la.com/laboratorio/wp-content/uploads/2010/04/desafio-11/sendus.js
El contenido de la misma era este:
lrreaaisbtoeoo@t

A primera vista parecía casi una cadena válida pero le faltaba algo, probé con Rot13 y todos los XOR posibles pero nada no había forma. Así que pregunte en los comentarios y recibí la pista definitiva, “era una dirección de correo”. Sabiendo esto pensé en algún tipo de cifrado que jugaba con la transposición de caracteres. Así que conté los caracteres, 16, buen número. Después intentando hacer algún tipo absurdo de criptoanálisis me dio por dividir la cadena en dos partes, y hacer lo mismo con el resultado, logrando sorprendentemente el objetivo buscado:
lrre
aais
btoe
oo@t

Leyendo de arriba a abajo: laboratorio eset
Gracias por el reto. Un saludo!

jueves, 11 de febrero de 2010

Regalo de la Rooted CON

SDC10705

Regalo de la organización de la Rooted CON a los 100 primeros registrados. Una bonita camiseta jeje.

Que detallistas :)