Find Me

ÉnoncĂ©

Vous avez accĂšs Ă  un fichier find_me qui semble renfermer un secret bien gardĂ©, qui n'existe peut-ĂȘtre mĂȘme plus. Retrouvez son contenu !

find_me

Étape 1 - Analyse du fichier

Le fichier find_me semble ĂȘtre une partition systĂšme :

onosh@kali:/home/onosh/FCSC/FORENSIC/FINDME# file find_me
find_me: Linux rev 1.0 ext4 filesystem data, UUID=9c0d2dc5-184c-496a-ba8e-477309e521d9, volume name "find_me" (needs journal recovery) (extents) (64bit) (large files) (huge files)

Je décide de monter la partition :

root@siftworkstation -> /h/bsi 
# mkdir /mnt/fcsc && mount /home/bsi/vms-share/fcsc2/find_me /mnt/fcsc
root@siftworkstation -> /h/bsi 
# ls /mnt/fcsc/
lost+found  pass.b64  unlock_me

2 fichiers et 1 dossiers apparaissent.

root@siftworkstation -> /m/fcsc 
# file *
lost+found: directory
pass.b64:   ASCII text
unlock_me:  LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: 220745be-23df-4ef8-bff0-a36ab5cd1eff
  • lost+found est un dossier, actuellement vide, il permet habituellement de rĂ©cupĂ©rer des fichiers supprimĂ©s sous linux

  • pass.b64 est un fichier texte :

root@siftworkstation -> /m/fcsc 
# cat pass.b64 
nothing here. password splited!

On apprend que le mot de passe a été séparé en plusieurs morceaux. - unlock_me est un volume chiffré Luks

Étape 2 - RĂ©cupĂ©ration des fichiers

Pour récupérer les fichiers potentiellement supprimé sur la partition j'ai utilisé le trÚs efficace Autopsy.

Il suffit d'importer la partition find_me dans le logiciel :

On voit rapidement que des fichiers ont été supprimés :

Chaque fichier partXX contient deux caractĂšres :

Le fichier pass.b64 disait nothing here. password splited! , si on reconstitue une chaine grùçe aux caractÚres on obtient quelque chose qui ressemble étrangement à du base64

TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ

Rappelons nous, le nom du fichier contenu dans la partition find_me Ă©tait pass.b64

Ouverture du volume Luks

J'essaye d'ouvrir le volume Luks avec la clé en base64, mais cela échoue :

root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen unlock_me BRIOCHE
Enter passphrase for unlock_me: TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ
Bad passphrase !

J'essaye d'ouvrir le volume Luks avec la clé décodé, yes ! Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY

root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen /unlock_me BRIOCHE
Enter passphrase for /unlock_me: Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY
root@siftworkstation -> /m/fcsc 
# mkdir /mnt/flag
root@siftworkstation -> /m/fcsc 
# mount /dev/mapper/BRIOCHE /mnt/flag/
root@siftworkstation -> /m/fcsc 
# ls /mnt/flag/
root@siftworkstation -> /m/fcsc 
# ls -Al /mnt/flag/
total 0
-r-------- 1 root root 70 Apr  1 19:54 .you_found_me
root@siftworkstation -> /m/fcsc
# cat /mnt/flag/.you_found_me
FCSC{750322d61518672328c856ff72fac0a80220835b9864f60451c771ce6f9aeca1}

DerniĂšre mise Ă  jour