logo Homepage
+  NewbieContest
|-+  Divers» Cracking» Analyse de binaire
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Analyse de binaire  (Lu 5683 fois)
Ouroboros

Profil challenge

Classement : 649/53017

Membre Junior
**
Hors ligne Hors ligne
Messages: 52

Consultant infosec pour enfants /twitter:@On4r4p


Voir le profil
« le: 14 Avril 2016 à 00:33:52 »

Salut ça va ?
Ça fait un baille que je ne suis pas venu içi ^^,
C'est cool que le site soit toujours là .

Bref je me baladais tranquillement sur Twitter quand soudains je suis tombé sur ce mec .. :


Ce bot n'arrête pas de poster des tweets en binaire ....Et ça me rends fou   

Donc après avoir fini une bouteille de vodka j'ai écrit un script en python
pour télécharger tout ses tweets ...


Alors premier problème l'api de tweeter ne peut m'en donner au max les 3200 derniers tweets
alors que le bot en a posté plus de 800 mille ...

C'est pas grave je fais avec ..

Deuxieme problème la chronologie des tweets sur twitter .
En générale ça donne ça :

[Nouveau tweet]

[Presque nouveau tweet]

[Presque ancien tweet]

[ancien tweet]

Faut prendre ça en compte ...
Ou pas ...Mais on sait jamais.

Troisieme probleme qui est en faite la suite du premier:
Vu que je ne peux télécharger la totalité des données binaire,
et que je ne sais pas ou commencent et finissent les données .
Il se peut que je loupe un byte ou deux ...

Donc a cela j'ai décidé de rajouter des marqueurs au résultat hexadecimal
pour voir si ça change un truc ...

Ce qui me donne après exécution du script:

1 fichier binaire ( la concaténation de tout les tweets telechargés)
1 fichier binaire ( le même mais en suivant la chronologie de twitter)

1 conversion du binaire en ascii ( qui ressemble a de l'hexa)
1 conversion du binaire en ascii ( pareil mais avec la chronologie de twitter)

1 conversion en ascii + marqueur à la fin (Cinq F en faite "fffff")
''             ''                         ''                (Pareil mais avec la chronologie de twitter)
1 conversion en ascii + marqueur au début
''             ''                         ''                (Pareil mais avec la chronologie de twitter)

Et une tentative d'affichage en unicode pour tout les modes précédents ...

Je vous en donnes un bout ça ressemble à ça :

Code:
?����?���GLt��dZ �#�.�ݒ2m�$�H�������16i_B���EC��P4��V�n`�f��=mSj
Ɲ�T�C���W�~gӅ��"��g�"�n�]?Y�m�V��}<�6Z���y���0'���K�3b���R�>=���%�6B.AG璘��
             @0�2���PX�ɜ�����k��Et�`��vC���������6:��ᮛx�VT9S�<25�V�\�]Hx�,\yv�!YV.tqc�G��, �I�پ���Z��m���:�����VҺ���?h�=au��c�����i���tF��ڼ7���c���Y�&,L`}�*�9gt�������`I�z@^�X�$�kWʲ��R|ġ��S��sB{L�.�����Z�R��,+X3���co�=��e7Eٍ;�F(���Ȑy1s�SƄ�s���S�ˊ�Rp�m���愛�j��B2ܑ���=:9��}+�KF9�}I��9�{�/PQM�0ʟ��I�����|9�㔤-�/��j�)����T�]c�I��71�@N&��:�T�p2(!�n���-�W����E;={��0A���R��g��L��GB�AÑ!���"^�
��¿2ʩ��BS�k[�hQ{�����y�` ��h�K�ߌ
                                       9.?(z��t

Passionnant ...

Donc j'en suis la et j'aimerais vraiment savoir qu'est ce que j'ai en face de moi .

Alors comme tout le monde n'a pas de clé api pour twitter
j'ai laissé un exemple des fichiers créés par mon script :


Une idée ?
Journalisée

Rip infoshacker.com
the lsd
Administrateur

Profil challenge

Classement : 183/53017

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #1 le: 14 Avril 2016 à 13:51:59 »

Moi je commencerais par une analyse du tout premier tweet.

En supposant que le 1er tweet correspond au début d'un fichier, t'auras un magic number qui te permettra de savoir quoi en faire. Si c'est du texte, tu devrais avoir un truc un minimum compréhensible.

Enjoy

The lsd

Edit : la citation vient de Nietzsche, je sais pas si ça peut être utile oupa.
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
benjani13

Profil challenge

Classement : 84/53017

Membre Junior
**
Hors ligne Hors ligne
Messages: 52


Voir le profil
« #2 le: 14 Avril 2016 à 14:02:24 »

Ça me fait penser à cette chaine youtube : https://www.youtube.com/channel/UCsLiV4WJfkTEHH0b9PmRklw

Journalisée
Ouroboros

Profil challenge

Classement : 649/53017

Membre Junior
**
Hors ligne Hors ligne
Messages: 52

Consultant infosec pour enfants /twitter:@On4r4p


Voir le profil
« #3 le: 20 Mai 2016 à 17:38:39 »

Re...
La pêche ?

Moi chu mort ...
Je suis sur ce truc 24/24 depuis tout ce temps , j'en peux plus .
Dailleur ca va difficilement avec une vie de famille .

Mais je peux pas m'arrêter ca devient obsessionnel .


Voila ou j'en suis aujourdhui .

Donc comme tu m'as conseillé Lsd je suis allé voir du côté des signatures de fichiers .
La cmd files de linux ne me donnait absolument rien .

Mais il me fallait être sure que ce que j'avais devant moi n'était pas des fichiers binaire.
Alors j'ai chopper toutes les signatures que je pouvais et j'ai fait une petite fonction pour chercher
dans les résultats si il y avait des occurrences .

261664 lignes de code plus tard .

Je ne trouve que des faux positif,des signatures trop petites en taille pour être plus qu'une coincidence.
Des fois je tombe sur des trucs un peu bizarre mais rien de sérieux .

Ensuite je me suis dis que j'avais sûrement merdé quelques part que mes résultats étaient faux et que c'était pour cela que je ne trouvais rien .

J'ai donc décidé de recréer un bot similaire à  @pondeboard .

Il s'appel @pondeboard1 https://twitter.com/pondeboard1

Au départ il devait prendre des fichiers dans un dossier.
Récupérer les données ,transformer les bytes en hexa .
Ensuite convertir en binaire  et tronquer le tout en 140 char .

Mais il avait des problèmes de duplicata et twitter il aime pas quand ya 2 tweets identique .
Pour palier à ça je coupais le tweet en 2 à une position aléatoire .
Ca marchait bien Mais yavait quand même des problemes des fois .
Et du coup en tentant de decrypter tout ça je me retrouvais avec des données corrompu et illisible .

Donc je me suis dit que Twitter faisait chier ..
Et que j'aurais moins de problèmes si j'utilisais du texte pour le bot .

Donc il prends un fichier texte
Prends max 8 ascii char les convertis en hexa puis en binaire et envois le tweet .
Si duplicata le coupe en deux , si twitter et pas content on sen fou on continu avec les 8 prochains caractères.

Et ça marche ..

Mon script original recuperes les tweets de pondeboard1 mon bot
et me retrouve le texte que je lui ai balancé .


Après je me suis dis que c'était peut être un probleme d'encoding
alors j'ai testé tout les encodings et puis j'ai tenté de modifier le code binaire ,
le code hexa....bref ...ya plein d'autre truc j'ai même pas envie de finir ma phrase
tellement j'en ai bouffé (du code) ...


Je crois que le mieux c'est de vous montrer .

Alors je vous épargnes les tests qui prennent la nuit pour se terminer ...
Et je vous mets les résultats juste sur un échantillon de 600 tweets .

Voila les résultats pour pondeboard

https://mega.nz/#!9gFEBIrZ!lGx_Pm_mSnQ4PmhhekPobjuf8tU2QSk3An1e1U-JzS8

Et pour ceux de mon bot:

https://mega.nz/#!A1UhUDyB!o_K5caQq8wTlxvD-71kTx16i_dbIFrpRZjUchU2Nwyw


J'ai besoin d'idées alors je me tourne vers vous une dernière fois et après je vais demander directement au créateur de quoi il retourne et retrouver enfin ma vie .

Ah oui parceque je l'ai retrouvé ^ ^
Il est proche de ceux qui font la defcon apparemment ^^ la classe

 
« Dernière édition: 20 Mai 2016 à 18:23:14 par Ouroboros » Journalisée

Rip infoshacker.com
Ouroboros

Profil challenge

Classement : 649/53017

Membre Junior
**
Hors ligne Hors ligne
Messages: 52

Consultant infosec pour enfants /twitter:@On4r4p


Voir le profil
« #4 le: 23 Mai 2016 à 00:04:42 »

Je me suis rendu compte que c'était peut être un petit peu to much 3 megas de logs pour demander de l'aide ..
Enfin faut savoir que je me tape 200 megas réguliérement à la recherche de motifs singulier facilement reconnaissable ..

Bref je vous ai fait une version soft sans test d'encoding .
La voila https://mega.nz/#!1pFDUbIQ!-2Q-7mB7Co3EN08agXfNMJg-z7iy9yElf5dRXmMMNaY
Journalisée

Rip infoshacker.com
the lsd
Administrateur

Profil challenge

Classement : 183/53017

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #5 le: 23 Mai 2016 à 09:51:45 »

Tu me fais peur tu sais ! ^^

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
laxa

Profil challenge

Classement : 198/53017

Néophyte
*
Hors ligne Hors ligne
Messages: 34


Voir le profil WWW
« #6 le: 23 Mai 2016 à 10:15:49 »

Yop, je regarde vite fait ton histoire.
Juste pour apporter mon grain de sel, ce n'est pas forcément un format de fichier à trouver. Si le texte est encodé/chiffré, ta détection de signature ne marchera jamais et ne donnera que des faux-positifs.

Si tu veux t'amuser, je te conseil de regarder aussi au niveau des patterns voir s'il y a une certaine logique dans les tweets.

Sinon pour tester des chiffrements rapidement: regarde du côté du XOR.

Gl & HF .
Journalisée

Ouroboros

Profil challenge

Classement : 649/53017

Membre Junior
**
Hors ligne Hors ligne
Messages: 52

Consultant infosec pour enfants /twitter:@On4r4p


Voir le profil
« #7 le: 23 Mai 2016 à 11:10:45 »

Tu me fais peur tu sais ! ^^

Enjoy

The lsd

C'est ce que me dit ma femme depuis que j'ai commencé ce truc
quand elle croise mon regard à 5 heure du mat ..

Yop, je regarde vite fait ton histoire.
Juste pour apporter mon grain de sel, ce n'est pas forcément un format de fichier à trouver. Si le texte est encodé/chiffré, ta détection de signature ne marchera jamais et ne donnera que des faux-positifs.

Si tu veux t'amuser, je te conseil de regarder aussi au niveau des patterns voir s'il y a une certaine logique dans les tweets.

Sinon pour tester des chiffrements rapidement: regarde du côté du XOR.

Gl & HF .

Tu as tout à fait raison ce n'est pas forcément un format de fichier .
Dailleur dès le départ si j'avais compris que c'était crypté j'aurai pas bataillé plus que ça.

Après pour le xor j'ai pensé en faire une fonction mais finalement non cela ne m'aurait rien donné
je pense car le binaire une fois décodé en ascii me donne de l'hexadecimal.
Et ca ce n'est pas un hasard , j'imagine mal me retrouver avec de l'hexa après un xor .

De toute façon ça n'a plus d'importance .
J'ai trouvé la solution ya 15 minutes .
j'étais venu pour ça .

Et en parlant de sel ...

C'est des Fcking HASH !!!!!!

Ca fait 2 mois que je me casse le cul à trouver un sens a des hash en unicode !

Devinez des hash de quoi en plus ...

http://hashtoolkit.com/reverse-hash?hash=4b1886a2532c960a3bc7ceb42ed34aa5

C'est la Bible !!!!!

Je suis fou ...

Ce mec à convertie la bible en md5 , les md5 en binaire et à twitté le tout 850 milles fois .

A mon avis il a pas fini ...

J'avais calculé que pour que mon propre bot finisse de twitter L'ultime secret (de Bernard Werber)
en binaire il lui aurait fallut 158 ans à cause des limitation de l'api .

Enfin je vais pouvoir reprendre ma vie la ou je l'ai laissé ...

Je vais commencer par finir ce script pour qu'il decode tout ca une fois pour toute et ...
Puis j' irais voir un psy .

Merci encore les gars


« Dernière édition: 23 Mai 2016 à 11:15:37 par Ouroboros » Journalisée

Rip infoshacker.com
the lsd
Administrateur

Profil challenge

Classement : 183/53017

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #8 le: 23 Mai 2016 à 12:58:11 »

C'est un nouveau moyen pour dl des films piratés ? Deadpool en binaire sur twitter ?

Pas sur que ça soit le plus rapide ^^


Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
pixis
Administrateur

Profil challenge

Classement : 15/53017

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 664


Voir le profil WWW
« #9 le: 23 Mai 2016 à 13:45:35 »

Pour Deadpool, autant prendre un avion "Île de Paques => Santiago", t'as le film dans l'avion. C'est vachement plus simple, non ?
Journalisée

Newbie Contest Staff :
Pixis
Statut :
Administrateur
Blog :
hackndo
Pages: [1]
  Imprimer  
 
Aller à: