# Find Me
### Énoncé
Vous avez accès à un fichier find\_me qui semble renfermer un secret bien gardé, qui n'existe peut-être même plus. Retrouvez son contenu !
[find\_me](https://onosh.github.io/ctf/fcsc2020/download/find_me.dd)
### Étape 1 - Analyse du fichier
Le fichier find\_me semble être une partition système :
```
onosh@kali:/home/onosh/FCSC/FORENSIC/FINDME# file find_me
find_me: Linux rev 1.0 ext4 filesystem data, UUID=9c0d2dc5-184c-496a-ba8e-477309e521d9, volume name "find_me" (needs journal recovery) (extents) (64bit) (large files) (huge files)
```
Je décide de monter la partition :
```
root@siftworkstation -> /h/bsi
# mkdir /mnt/fcsc && mount /home/bsi/vms-share/fcsc2/find_me /mnt/fcsc
root@siftworkstation -> /h/bsi
# ls /mnt/fcsc/
lost+found pass.b64 unlock_me
```
2 fichiers et 1 dossiers apparaissent.
```
root@siftworkstation -> /m/fcsc
# file *
lost+found: directory
pass.b64: ASCII text
unlock_me: LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: 220745be-23df-4ef8-bff0-a36ab5cd1eff
```
* lost+found est un dossier, actuellement vide, il permet habituellement de récupérer des fichiers supprimés sous linux
* pass.b64 est un fichier texte :
```
root@siftworkstation -> /m/fcsc
# cat pass.b64
nothing here. password splited!
```
On apprend que le mot de passe a été séparé en plusieurs morceaux. - unlock\_me est un volume chiffré Luks
### Étape 2 - Récupération des fichiers
Pour récupérer les fichiers potentiellement supprimé sur la partition j'ai utilisé le très efficace [Autopsy](https://www.sleuthkit.org/autopsy/).
Il suffit d'importer la partition find\_me dans le logiciel :
On voit rapidement que des fichiers ont été supprimés :
Chaque fichier partXX contient deux caractères :
Le fichier pass.b64 disait **nothing here. password splited!** , si on reconstitue une chaine grâçe aux caractères on obtient quelque chose qui ressemble étrangement à du base64
`TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ`
Rappelons nous, le nom du fichier contenu dans la partition find\_me était `pass.b64`
### Ouverture du volume Luks
J'essaye d'ouvrir le volume Luks avec la clé en base64, mais cela échoue :
```
root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen unlock_me BRIOCHE
Enter passphrase for unlock_me: TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ
Bad passphrase !
```
J'essaye d'ouvrir le volume Luks avec la clé décodé, yes ! `Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY`
```
root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen /unlock_me BRIOCHE
Enter passphrase for /unlock_me: Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY
root@siftworkstation -> /m/fcsc
# mkdir /mnt/flag
root@siftworkstation -> /m/fcsc
# mount /dev/mapper/BRIOCHE /mnt/flag/
root@siftworkstation -> /m/fcsc
# ls /mnt/flag/
root@siftworkstation -> /m/fcsc
# ls -Al /mnt/flag/
total 0
-r-------- 1 root root 70 Apr 1 19:54 .you_found_me
root@siftworkstation -> /m/fcsc
# cat /mnt/flag/.you_found_me
FCSC{750322d61518672328c856ff72fac0a80220835b9864f60451c771ce6f9aeca1}
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://book.onosh.ovh/ctf/france-cybersecurity-challenge/find-me.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.