Hola,
Dices que has utilizado exiftool. Revisa de nuevo la informacion que obtienes, a ver si ves algo que te llame la atención.
Este reto tiene su complejidad.
Animo.
Un saludo.

Hola,
No sé si lo has conseguido ya, pero ten cuidado con el apóstrofe y las primeras letras de cada palabra son en mayúsculas. Yo tuve que intentarlo varias veces también.
Suerte.
Un saludo.

Hola,
Yo he utilizado 7zip-crack (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) y el rockyou.txt de Kali (/usr/share/wordlists/rockyou.txt), y funciona en menos de 30 minutos.
Un saludo.

Hola,
Si estáis en la imagen GIF sin movimiento, necesitareis una herramienta muy conocida de Stego para extraer "algo".
Un saludo.

Hola,
La idea es la correcta. Intenta con otro campo que hace algo similar, y se menciona previamente.
Un saludo.

Hola,
Fíjate en los "datos ocultos" de la foto.
Suerte.

Hola,
Con el rockyou.txt debería de funcionar.
Yo estoy atascado en el siguiente paso.
Suerte.

Hola WHK,
Muchas gracias por tu análisis. Revisando lo que mencionas en tu mensaje, he visto que las peticiones se envían alrededor de cada 15 segundos, como se indica en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Basado en tu información e investigando un poco mas, la vulnerabilidad que se estaba intentado explotar es la que tu mencionas, slowloris. En concreto CVE-2007-6750.

Muchas gracias por tu ayuda. También gracias al resto de aportaciones.
Un saludo.

Hola,
Comparto el fichero, por si alguien ve algo mas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por todas las aportaciones.

Hola,

Esto es un ejemplo de uno de los streams TCP:



Corresponde con:

GET /?1606 HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36
Accept-language: en-US,en,q=0.5
RKJcNHfThQI: 483
lCWLUznSf: 3628
mEuzcEeauUjrECh: 3724
wbZgmcAnAowLtSu: 3824
rzaqbxkZvqdi: 4419
oiPxdbFJyEiSBTf: 919
sHndmkXpoQVVxEu: 3
dYUvQOLfVvdT: 4660

Como se ve, mas allá del ACK no hay respuesta por parte del servidor.
Gracias.

Hola,
Una de mis ideas es que pudiese ser un DoS, como mencionas, pero no sé cuál. El servidor es un Apache/2.2.0 (Unix) DAV/2, y he revisado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sin ver nada convincente.

El servidor no devuelve respuestas, mas allá de los ACKs.

Muchas gracias por las aportaciones.

Hola,
El pcap es de un CTF que estoy intentando resolver. Contiene un intento de explotación a un Apache y hay que averiguar el CVE. No quiero saber la respuesta, si no algo que me permita continuar.
En el pcap se puede ver unos ping, un escaneo de puertos, la ejecución de DirBuster y 150 peticiones GET como las que se ven. Después de horas buscando en Google, no soy capaz de saber qué significa la cabecera.
Gracias.

He probado diferentes codificaciones en baseXX o ROTXX, etc. pero no soy capaz de saber cómo están codificados.
Gracias.

No es Base64. Son solo letras mayúsculas y minúsculas.

Hola,
Estoy analizando un pcap y he encontrado una serie de paquetes TCP (unos 150) que contienen unos campos en las cabeceras con unos caracteres y números que no soy capaz de entender. ¿Alguien sabe qué es?

El cliente manda unos "GET /? numero" al servidor Apache y el servidor no envía respuesta mas allá de los ACKs. Parece ser algún tipo de exploit.

Aquí hay un par de ejemplos:

        GET /?234 HTTP/1.1
   User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14
   Accept-language: en-US,en,q=0.5
   meRFiuHRKK: 1011
   lmXHXBKP: 1335
   CvLgljhIm: 4929
   wOPnLjldiMmuPI: 323
   bkyqNBZVBZtY: 776
   mKUfCLAjLpUims: 4914
   VwiOOBWhoGnZg: 3418
   HylDfOQSwHMve: 1966
   
   GET /?587 HTTP/1.1
   User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0
   Accept-language: en-US,en,q=0.5
   xshxoQjRo: 2368
   blXlMwQOuaLIKvHA: 383
   unFEBgIaOgTyjEv: 4268
   PaPIFTpgADq: 1932
   lPVecIHiaVBjqs: 108
   SvYTWxAnPgM: 1162
   HklrkTVq: 3438
   VaUTHBzRkibu: 445

¿Cómo están codificados los caracteres?
He buscado durante horas en Google para ver qué significan, pero no puedo encontrar algo que me oriente.

Muchas gracias.