Mi ultimo twitt:

Mi ultima foto en instagram:

  • Domingueando

Mr. Robot: Easter Egg Sites

[ $date ]# 16 Julio 2016

El día de ayer decidí terminar la primera temporada de la aclamada serie Mr. Robot con mi esposa,  para decir verdad esta es una de las primeras series que veo sobre el tema de hacking y me han llamado la atención algunas técnicas, que pueden ser posible.. También hay unas técnicas durante la serie donde muestran cómo manipulan cuentas bancarias… aunque creo que mejor aprendo cómo Ganar Dinero Por Internet

En este capitulo Darlene, hace uso de SET {The Social-Engineer Toolkit}  la cual puedes encontrar en el repositorio de GitHub la empresa  TrustedSec, o en alguna distro de seguridad

SET - Mr Robot S2:1part

Seguido de esto me llamo la atención que Darlene ocupa un RAT  {específicamente RATTE Java Applet Attack (Remote Administration Tool Tommy Edition} el cual monta sobre una USB con un autorun, (me imagino que será para una víctima con windows).

Remote Administration Tool Tommy Edition w USB

De esta combinación de Java Applet Attack con SET y RATTE, también podemos observar la siguiente IP 192.251.68.254 la cual a simple vista pensamos que era una local, pero al lanzarle un  curl y por si las moscas checo si descarga algo y le pongo que ando en un windows:

Esta IP nos manda ala pagina i254.bxjy… por lo que decimos ver  nuevamente con curl :

En la primera IP nos manda a la siguiente pagina http://i254.bxjyb2jvda.net/  dentro de esta esta también la  url http://i239.bxjyb2jvda.net/ en la cual sale un mensaje de que mis archivos están encriptados (me dio algo de miedo luego recordé que es una serie y se me quito):

YOUR PERSONAL FILES ARE ENCRYPTED

En esta me pide esperar 24 horas para las siguientes instrucciones, al inspeccionar elemento me llevo una gran sorpresa, bueno dos la primera el comentario en html tan “j4x0r”:

you are not alone

E inspeccionado el js “web_analytics.js”, en el cual puedes controlar el contador, (pensé que era de google para ver las visitas), hay una variable que toma el valor del div, la variable q:

La Variable q, esta en b64 por lo que no es tan difícil desencriptarlo desde la terminal:

Nos da cómo resultado una frase :

“I sincerely believe that banking establishments are more dangerous than standing armies, and that the principle of spending money to be paid by posterity, under the name of funding, is but swindling futurity on a large scale.”
– Thomas Jefferson

.

Reverse IP.

Verificando el dominio i239.bxjyb2jvda.net me ha mostrado los siguientes dominios alojados bajo la misma IP:

Found 5 domains hosted on the same web server as i239.bxjyb2jvda.net (23.56.127.164).

  • i239.bxjyb2jvda.net:
    Ya Analizada
  • serverfarm.evil-corp-usa.com:
    No encontré nada
  • www.conficturaindustries.com:
    Esta  muy chistosa jaja bien old School
  • www.fsoc.sh:
    Tiene un form el cual pide una contraseña, dentro el js viene un b64  MzkzMzUzNTM5NTMzMzk1Mzc5OTUzNzMzMzM1MzUzOTM1Mw== a Puedes descriptarlo aquí,  este resultado 3933535395333953799537333353539353 a  eso a morse !!, puedes escuchar el morse aquí. };-)
  • www.whoismrrobot.com:
    una interfaz de shell algo chevere.

La idea es analizar todos los sitios para divertirse y encontrar Easter Egg, por lo que usaremos mucho a nuestro amigo curl todo poderoso para crear alguna t00l que en base al reverse saque del código fuente estas palabras, así nos ahorramos el estar buscando:

Me imagino que esta serie seguirá poniendo más Easter Eggs!!, esperemos que dejen el b64 en paz y pongan algo más chevere (lease cómo chavo ruco).

 

#HappyHacking

 

  • jailandrade

    Ya habia visto un post de explicaciónal s02e01 muy similar a este, pero este viene mejor explicado

    • Si me imagino que habrán muchos post, yo estaré testeando cada url jaja, estaría muy padre un “salón de la fama”

      • jailandrade

        DNS Name=www.racksure.com
        DNS Name=racksure.com
        DNS Name=*.serverfarm.evil-corp-usa.com
        DNS Name=www.e-corp-usa.com
        DNS Name=iammrrobot.com
        DNS Name=www.conficturaindustries.com
        DNS Name=www.iammrrobot.com
        DNS Name=*.seeso.com
        DNS Name=*.evil-corp-usa.com
        DNS Name=e-corp-usa.com
        DNS Name=*.bxjyb2jvda.net
        DNS Name=whoismrrobot.com
        DNS Name=seeso.com
        DNS Name=fsoc.sh
        DNS Name=www.fsoc.sh
        DNS Name=conficturaindustries.com
        DNS Name=whereismrrobot.com
        DNS Name=www.whoismrrobot.com
        DNS Name=www.whereismrrobot.com
        DNS Name=evil-corp-usa.com
        DNS Name=www.seeso.com

        estos he encontrado

        • Yeah, no había pensado en los SSL !! más que con la IP jaja del dominio

  • Iribe Fernando

    Buen trabajo bucio