rc140 – Recon1

Home / Wiki / rc140 – Recon1

rc140 – Recon1

Revision for “rc140 – Recon1” created on 9 de dezembro de 2015 às 20:51:17

Título
rc140 - Recon1
Conteúdo
<blockquote> <p id="pergunta" style="text-align: justify">Someone has attacked your site. We have attached a log collected from the time of the attack. This task is split into two parts. The end goal (Recon 2) is to find the full name of the attacker. The flag for Recon 1 is not the name of the attacker. Recon 1 flag will appear as 9447{...} on your screen when you find it. Hint! The attacker has gone on vacation, and won't be reading or responding to emails. You do not need to email anyone for this challenge.</p> </blockquote> &nbsp; <h2>Solução</h2> Analisando o log percebemos dois ip's 192.241.254.77 acessando pelo navegador apenas era apresentado a frase "go away". Analisando o outro IP 192.241.254.77 e acessando pelo navegador havia uma página corporativa -&gt; <a href="http://www.williestoleyour.pw/">http://www.williestoleyour.pw/</a> Depois de perder bastante tempo analisando o site fazendo scan de vulnerabilidade, análise do código fonte. Bastava acessar o web.archive.org para verificar o histórico de modificação do domínio, o site tinha uma modificação no dia 15/11. <a href="https://web.archive.org/web/20151115002534/http://www.williestoleyour.pw/">https://web.archive.org/web/20151115002534/http://www.williestoleyour.pw/</a> Única modificação que tinha era o e-mail: info@dynamiclock.pw Acessando o domínio: dynamiclock.pw a flag era revelada. <h3>Flag</h3> <code>9447{YouAreStalKey}</code> <h3>Criado por</h3> RTFM
Resumo


OldNewDate CreatedAuthorActions
9 de dezembro de 2015 às 20:51:17 RTFM
9 de dezembro de 2015 às 19:46:51 RTFM
9 de dezembro de 2015 às 17:59:49 RTFM
9 de dezembro de 2015 às 17:58:41 RTFM
9 de dezembro de 2015 às 17:57:47 [Salvamento automático] RTFM
9 de dezembro de 2015 às 17:56:37 RTFM
9 de dezembro de 2015 às 17:54:15 RTFM
9 de dezembro de 2015 às 17:43:01 RTFM
Recent Posts