descifrar payload

[WHK]

Hola, me han enviado un payload a modo de reto pero soy muy malo para la criptografía, no lo he podido sacar, alguien me da una mano?

El payload es el siguiente:

Código [Seleccionar] Expandir

aDs5OzloAloCFmgMXwBFaFtSU
kNoDkREVWgfVF5aaFcFRVRoXl
VCd2hFWAtdaFxWWFuJ5onnMcA
x2zHJMdIEBIDDAbIoAdeQkJDr
RFlvdSBhcmUgZ2V0dGluZyBjb
G9zZXIsIGJ1dCBub3QgdGhlcm
UgeWV0Li4uIEYyVEMgaXMgd2F
0Y2hpbmcgeW91ISEKuUwAAACy
RM2A65uQkJCBNjE3MTeDxgT+w
YP5CnXwieHNgOuCidjNgA==

El base64 saca un payload con texto binario y un mensaje, alguien me puede dar luces sobre lo que realmente existe dentro del mensaje?

Código [Seleccionar] Expandir

whk@machine:~$ echo 'aDs...NgA==' | base64 -d | xxd
00000000: 683b 393b 3968 025a 0216 680c 5f00 4568  h;9;9h.Z..h._.Eh
00000010: 5b52 5243 680e 4444 5568 1f54 5e5a 6857  [RRCh.DDUh.T^ZhW
00000020: 0545 5468 5e55 4277 6845 580b 5d68 5c56  .ETh^UBwhEX.]h\V
00000030: 585b 89e6 89e7 31c0 31db 31c9 31d2 0404  X[....1.1.1.1...
00000040: 80c3 01b2 2801 d790 9090 eb44 596f 7520  ....(......DYou
00000050: 6172 6520 6765 7474 696e 6720 636c 6f73  are getting clos
00000060: 6572 2c20 6275 7420 6e6f 7420 7468 6572  er, but not ther
00000070: 6520 7965 742e 2e2e 2046 3254 4320 6973  e yet... F2TC is
00000080: 2077 6174 6368 696e 6720 796f 7521 210a   watching you!!.
00000090: b94c 0000 00b2 44cd 80eb 9b90 9090 8136  .L....D........6
000000a0: 3137 3137 83c6 04fe c183 f90a 75f0 89e1  1717........u...
000000b0: cd80 eb82 89d8 cd80                      ........


La pagina real es: http://f2tcmrxuoxmw7uvl.onion/

Saludos.

[@XSStringManolo]

Encontre un post en reddit https://www.reddit.com/r/codes/comments/apazqq/seemed_like_base64_to_me_but_what_now/

El texto que se lee buscando en google me lleva a un programador y a su github con varios codigos en c++ javascipt, etc.

Comprobe todos los fuentes a ver si suele utilizar alguma funcion o libreria para cifrar, pero no encontre  nada.

Mas tarde lo mirare en profundidad.
Puedes pasar.captura de la web? Tengo problemas de red en el pc, lo uso offline y en este disposotivo (no mio) no puedo instalar el orbot.
Si el contenido es mas texto puedes probar a sustituir comprobando la frecuencia de letras usadas en el castellano.

La url de onion no es al azar f2tc es la empresa mr xuoxm es el nombre del programador o el grupo de prpgramacion al que le revise los cpdogos fuente en github.

[cpu2]

Hola, a simple vista en el texto binario, me suenan un monton los bytes cd 80 son interrupciones de linux.

Un saludo.

[MCKSys Argentina]

Es codigo ASM:

Código (asm) [Seleccionar] Expandir



10031000 | 68 3B393B39                   | push 393B393B
10031005 | 68 025A0216                   | push 16025A02
1003100A | 68 0C5F2045                   | push 45205F0C
1003100F | 68 5B525243                   | push 4352525B
10031014 | 68 0E444455                   | push 5544440E
10031019 | 68 1F545E5A                   | push 5A5E541F
1003101E | 68 57054554                   | push 54450557
10031023 | 68 5E554277                   | push 7742555E
10031028 | 68 45580B5D                   | push 5D0B5845
1003102D | 68 5C56585B                   | push 5B58565C
10031032 | 89E6                          | mov esi,esp 
10031034 | 89E7                          | mov edi,esp 
10031036 | 31C0                          | xor eax,eax 
10031038 | 31DB                          | xor ebx,ebx 
1003103A | 31C9                          | xor ecx,ecx 
1003103C | 31D2                          | xor edx,edx 
1003103E | 04 04                         | add al,4     
10031040 | 80C3 01                       | add bl,1     
10031043 | B2 28                         | mov dl,28   
10031045 | 01D7                          | add edi,edx 
10031047 | 90                            | nop         
10031048 | 90                            | nop         
10031049 | 90                            | nop         
1003104A | EB 44                         | jmp 10031090
1003104C | 59                            | ascii Y     
1003104D | 6F                            | ascii o     
1003104E | 75                            | ascii u     
1003104F | 20                            | ascii       
10031050 | 61                            | ascii a     
10031051 | 72                            | ascii r     
10031052 | 65                            | ascii e     
10031053 | 20                            | ascii       
10031054 | 67                            | ascii g     
10031055 | 65                            | ascii e     
10031056 | 74                            | ascii t     
10031057 | 74                            | ascii t     
10031058 | 69                            | ascii i     
10031059 | 6E                            | ascii n     
1003105A | 67                            | ascii g     
1003105B | 20                            | ascii       
1003105C | 63                            | ascii c     
1003105D | 6C                            | ascii l     
1003105E | 6F                            | ascii o     
1003105F | 73                            | ascii s     
10031060 | 65                            | ascii e     
10031061 | 72                            | ascii r     
10031062 | 2C                            | ascii ,     
10031063 | 20                            | ascii       
10031064 | 62                            | ascii b     
10031065 | 75                            | ascii u     
10031066 | 74                            | ascii t     
10031067 | 20                            | ascii       
10031068 | 6E                            | ascii n     
10031069 | 6F                            | ascii o     
1003106A | 74                            | ascii t     
1003106B | 20                            | ascii       
1003106C | 74                            | ascii t     
1003106D | 68                            | ascii h     
1003106E | 65                            | ascii e     
1003106F | 72                            | ascii r     
10031070 | 65                            | ascii e     
10031071 | 20                            | ascii       
10031072 | 79                            | ascii y     
10031073 | 65                            | ascii e     
10031074 | 74                            | ascii t     
10031075 | 2E                            | ascii .     
10031076 | 2E                            | ascii .     
10031077 | 2E                            | ascii .     
10031078 | 20                            | ascii       
10031079 | 46                            | ascii F     
1003107A | 32                            | ascii 2     
1003107B | 54                            | ascii T     
1003107C | 43                            | ascii C     
1003107D | 20                            | ascii       
1003107E | 69                            | ascii i     
1003107F | 73                            | ascii s     
10031080 | 20                            | ascii       
10031081 | 77                            | ascii w     
10031082 | 61                            | ascii a     
10031083 | 74                            | ascii t     
10031084 | 63                            | ascii c     
10031085 | 68                            | ascii h     
10031086 | 69                            | ascii i     
10031087 | 6E                            | ascii n     
10031088 | 67                            | ascii g     
10031089 | 20                            | ascii       
1003108A | 79                            | ascii y     
1003108B | 6F                            | ascii o     
1003108C | 75                            | ascii u     
1003108D | 21                            | ascii !     
1003108E | 21                            | ascii !     
1003108F | 0A                            | ascii \n     
10031090 | B9 4C202020                   | mov ecx,2020204C
10031095 | B2 44                         | mov dl,44   
10031097 | CD 80                         | int 80       
10031099 | EB 9B                         | jmp 10031036
1003109B | 90                            | nop         
1003109C | 90                            | nop         
1003109D | 90                            | nop         
1003109E | 8136 31373137                 | xor dword ptr ds:[esi],37313731
100310A4 | 83C6 04                       | add esi,4   
100310A7 | FEC1                          | inc cl       
100310A9 | 83F9 0A                       | cmp ecx,A   
100310AC | 75 F0                         | jne 1003109E
100310AE | 89E1                          | mov ecx,esp 
100310B0 | CD 80                         | int 80       
100310B2 | EB 82                         | jmp 10031036
100310B4 | 89D8                          | mov eax,ebx 
100310B6 | CD 80                         | int 80       


Al menos, es lo que sale de pegar el codigo en el debugger... 

Saludos!

[cpu2]

Hola, si tenia toda la pinta, pasa que estaba con el cel y no podia usar nada, como ahora, luego en el pc la miro, todos esos push son una cadena cifrada por el xor de abajo, es lo que pinta.

Saludos.

[cpu2]

Hola, la cadena de push en ascii:

0x0e0x0a0x0e0x0a !3m3 rh= tcej bus? moc. ct2f @sbo j:ot liam

Ese es el resultado de la rutina del xor, ahora las jump no lo tengo muy claro y el mov a ecx.

No se si tiene alguna funcion oculta, pero cual es la finalidad de este reto? Hay que llegar alguna parte?

Saludos.

P.D: Perdon por poner la cadenaal reves  , hay se puede ver un mail..

mailto:jobs@f2tc.com

[WHK]

Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD

Muchas gracias por la ayuda cpu2 y MCKSys se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD