Test Foro de elhacker.net SMF 2.1

Hola, me han enviado un payload a modo de reto pero soy muy malo para la criptografía, no lo he podido sacar, alguien me da una mano?

El payload es el siguiente:

aDs5OzloAloCFmgMXwBFaFtSU
kNoDkREVWgfVF5aaFcFRVRoXl
VCd2hFWAtdaFxWWFuJ5onnMcA
x2zHJMdIEBIDDAbIoAdeQkJDr
RFlvdSBhcmUgZ2V0dGluZyBjb
G9zZXIsIGJ1dCBub3QgdGhlcm
UgeWV0Li4uIEYyVEMgaXMgd2F
0Y2hpbmcgeW91ISEKuUwAAACy
RM2A65uQkJCBNjE3MTeDxgT+w
YP5CnXwieHNgOuCidjNgA==

El base64 saca un payload con texto binario y un mensaje, alguien me puede dar luces sobre lo que realmente existe dentro del mensaje?

whk@machine:~$ echo 'aDs...NgA==' | base64 -d | xxd
00000000: 683b 393b 3968 025a 0216 680c 5f00 4568  h;9;9h.Z..h._.Eh
00000010: 5b52 5243 680e 4444 5568 1f54 5e5a 6857  [RRCh.DDUh.T^ZhW
00000020: 0545 5468 5e55 4277 6845 580b 5d68 5c56  .ETh^UBwhEX.]h\V
00000030: 585b 89e6 89e7 31c0 31db 31c9 31d2 0404  X[....1.1.1.1...
00000040: 80c3 01b2 2801 d790 9090 eb44 596f 7520  ....(......DYou
00000050: 6172 6520 6765 7474 696e 6720 636c 6f73  are getting clos
00000060: 6572 2c20 6275 7420 6e6f 7420 7468 6572  er, but not ther
00000070: 6520 7965 742e 2e2e 2046 3254 4320 6973  e yet... F2TC is
00000080: 2077 6174 6368 696e 6720 796f 7521 210a   watching you!!.
00000090: b94c 0000 00b2 44cd 80eb 9b90 9090 8136  .L....D........6
000000a0: 3137 3137 83c6 04fe c183 f90a 75f0 89e1  1717........u...
000000b0: cd80 eb82 89d8 cd80                      ........


La pagina real es: http://f2tcmrxuoxmw7uvl.onion/

Saludos.

Encontre un post en reddit https://www.reddit.com/r/codes/comments/apazqq/seemed_like_base64_to_me_but_what_now/

El texto que se lee buscando en google me lleva a un programador y a su github con varios codigos en c++ javascipt, etc.

Comprobe todos los fuentes a ver si suele utilizar alguma funcion o libreria para cifrar, pero no encontre  nada.

Mas tarde lo mirare en profundidad.
Puedes pasar.captura de la web? Tengo problemas de red en el pc, lo uso offline y en este disposotivo (no mio) no puedo instalar el orbot.
Si el contenido es mas texto puedes probar a sustituir comprobando la frecuencia de letras usadas en el castellano.

La url de onion no es al azar f2tc es la empresa mr xuoxm es el nombre del programador o el grupo de prpgramacion al que le revise los cpdogos fuente en github.

Hola, a simple vista en el texto binario, me suenan un monton los bytes cd 80 son interrupciones de linux.

Un saludo.

Es codigo ASM:



10031000 | 68 3B393B39                   | push 393B393B
10031005 | 68 025A0216                   | push 16025A02
1003100A | 68 0C5F2045                   | push 45205F0C
1003100F | 68 5B525243                   | push 4352525B
10031014 | 68 0E444455                   | push 5544440E
10031019 | 68 1F545E5A                   | push 5A5E541F
1003101E | 68 57054554                   | push 54450557
10031023 | 68 5E554277                   | push 7742555E
10031028 | 68 45580B5D                   | push 5D0B5845
1003102D | 68 5C56585B                   | push 5B58565C
10031032 | 89E6                          | mov esi,esp 
10031034 | 89E7                          | mov edi,esp 
10031036 | 31C0                          | xor eax,eax 
10031038 | 31DB                          | xor ebx,ebx 
1003103A | 31C9                          | xor ecx,ecx 
1003103C | 31D2                          | xor edx,edx 
1003103E | 04 04                         | add al,4     
10031040 | 80C3 01                       | add bl,1     
10031043 | B2 28                         | mov dl,28   
10031045 | 01D7                          | add edi,edx 
10031047 | 90                            | nop         
10031048 | 90                            | nop         
10031049 | 90                            | nop         
1003104A | EB 44                         | jmp 10031090
1003104C | 59                            | ascii Y     
1003104D | 6F                            | ascii o     
1003104E | 75                            | ascii u     
1003104F | 20                            | ascii       
10031050 | 61                            | ascii a     
10031051 | 72                            | ascii r     
10031052 | 65                            | ascii e     
10031053 | 20                            | ascii       
10031054 | 67                            | ascii g     
10031055 | 65                            | ascii e     
10031056 | 74                            | ascii t     
10031057 | 74                            | ascii t     
10031058 | 69                            | ascii i     
10031059 | 6E                            | ascii n     
1003105A | 67                            | ascii g     
1003105B | 20                            | ascii       
1003105C | 63                            | ascii c     
1003105D | 6C                            | ascii l     
1003105E | 6F                            | ascii o     
1003105F | 73                            | ascii s     
10031060 | 65                            | ascii e     
10031061 | 72                            | ascii r     
10031062 | 2C                            | ascii ,     
10031063 | 20                            | ascii       
10031064 | 62                            | ascii b     
10031065 | 75                            | ascii u     
10031066 | 74                            | ascii t     
10031067 | 20                            | ascii       
10031068 | 6E                            | ascii n     
10031069 | 6F                            | ascii o     
1003106A | 74                            | ascii t     
1003106B | 20                            | ascii       
1003106C | 74                            | ascii t     
1003106D | 68                            | ascii h     
1003106E | 65                            | ascii e     
1003106F | 72                            | ascii r     
10031070 | 65                            | ascii e     
10031071 | 20                            | ascii       
10031072 | 79                            | ascii y     
10031073 | 65                            | ascii e     
10031074 | 74                            | ascii t     
10031075 | 2E                            | ascii .     
10031076 | 2E                            | ascii .     
10031077 | 2E                            | ascii .     
10031078 | 20                            | ascii       
10031079 | 46                            | ascii F     
1003107A | 32                            | ascii 2     
1003107B | 54                            | ascii T     
1003107C | 43                            | ascii C     
1003107D | 20                            | ascii       
1003107E | 69                            | ascii i     
1003107F | 73                            | ascii s     
10031080 | 20                            | ascii       
10031081 | 77                            | ascii w     
10031082 | 61                            | ascii a     
10031083 | 74                            | ascii t     
10031084 | 63                            | ascii c     
10031085 | 68                            | ascii h     
10031086 | 69                            | ascii i     
10031087 | 6E                            | ascii n     
10031088 | 67                            | ascii g     
10031089 | 20                            | ascii       
1003108A | 79                            | ascii y     
1003108B | 6F                            | ascii o     
1003108C | 75                            | ascii u     
1003108D | 21                            | ascii !     
1003108E | 21                            | ascii !     
1003108F | 0A                            | ascii \n     
10031090 | B9 4C202020                   | mov ecx,2020204C
10031095 | B2 44                         | mov dl,44   
10031097 | CD 80                         | int 80       
10031099 | EB 9B                         | jmp 10031036
1003109B | 90                            | nop         
1003109C | 90                            | nop         
1003109D | 90                            | nop         
1003109E | 8136 31373137                 | xor dword ptr ds:[esi],37313731
100310A4 | 83C6 04                       | add esi,4   
100310A7 | FEC1                          | inc cl       
100310A9 | 83F9 0A                       | cmp ecx,A   
100310AC | 75 F0                         | jne 1003109E
100310AE | 89E1                          | mov ecx,esp 
100310B0 | CD 80                         | int 80       
100310B2 | EB 82                         | jmp 10031036
100310B4 | 89D8                          | mov eax,ebx 
100310B6 | CD 80                         | int 80       


Al menos, es lo que sale de pegar el codigo en el debugger...  :P

Saludos!

Hola, si tenia toda la pinta, pasa que estaba con el cel y no podia usar nada, como ahora, luego en el pc la miro, todos esos push son una cadena cifrada por el xor de abajo, es lo que pinta.

Saludos.

Hola, la cadena de push en ascii:

Citar0x0e0x0a0x0e0x0a !3m3 rh= tcej bus? moc. ct2f @sbo j:ot liam

Ese es el resultado de la rutina del xor, ahora las jump no lo tengo muy claro y el mov a ecx.

No se si tiene alguna funcion oculta, pero cual es la finalidad de este reto? Hay que llegar alguna parte?

Saludos.

P.D: Perdon por poner la cadenaal reves  :P, hay se puede ver un mail..

Citarmailto:jobs@f2tc.com

Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD

Muchas gracias por la ayuda cpu2 y MCKSys :) se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD