Discussione Sfida per pentester alle prime armi - Powershell (Microsoft Windows)

[Netcat]

Capire come un'applicazione processa gli input, è un passo fondamentale nel mondo del pentesting, che sia per scopi di debugging o altro.

Queste due stringhe fanno la stessa identica cosa, cioè aprire "calc.exe" attraverso Powershell in un comando codificato attraverso UTF-16, l'encoder predefinito. Tuttavia, Powershell accetterà in input solamente una delle due, la CTF consiste nell'identificare la stringa corretta AD OCCHIO NUDO senza testarla nel terminal di Windows.

1. powershell.exe -EncodedCommand AGMAYQBsAGMALgBlAHgAZQ==

2. powershell.exe -EncodedCommand YwBhAGwAYwAuAGUAeABlAA==

Buona fortuna.

 

[--- Ra ---]

Dovrebbe essere questo il comando corretto:

powershell.exe -EncodedCommand YwBhAGwAYwAuAGUAeABlAA==

Non l'ho testato, ma mi sono basato sul funzionamento dell'encoding di Powershell. Per passare un comando codificato alla powershell di Windows si segue questo schema di conversioni: stringa del comando in chiaro --------------> flusso di byte ------------------> stringa in base 64.

Dunque per verificare quale fosse il comando corretto sono partito dalla stringa in base64 ed ho fatto il processo di conversione inverso: stringa in base 64 -----> flusso di byte -----> stringa in chiaro. Se la stringa in base 64 è corretta alla fine delle conversioni dovresti trovare "calc.exe" come risultato. E' giusto il procedimento?

 

[Netcat]

UTF-16(LE) o Little Endian. Risposta corretta.

 

[--- Ra ---]

@Access Denied, hai provato a fare qualche challenge qui?

 

[Netcat]

IF{Getting_warmed_up_huh?}