Find Me

Énoncé

Vous avez accès à un fichier find_me qui semble renfermer un secret bien gardé, qui n'existe peut-être même plus. Retrouvez son contenu !

find_me

Étape 1 - Analyse du fichier

Le fichier find_me semble être une partition système :

onosh@kali:/home/onosh/FCSC/FORENSIC/FINDME# file find_me
find_me: Linux rev 1.0 ext4 filesystem data, UUID=9c0d2dc5-184c-496a-ba8e-477309e521d9, volume name "find_me" (needs journal recovery) (extents) (64bit) (large files) (huge files)

Je décide de monter la partition :

root@siftworkstation -> /h/bsi 
# mkdir /mnt/fcsc && mount /home/bsi/vms-share/fcsc2/find_me /mnt/fcsc
root@siftworkstation -> /h/bsi 
# ls /mnt/fcsc/
lost+found  pass.b64  unlock_me

2 fichiers et 1 dossiers apparaissent.

root@siftworkstation -> /m/fcsc 
# file *
lost+found: directory
pass.b64:   ASCII text
unlock_me:  LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: 220745be-23df-4ef8-bff0-a36ab5cd1eff

lost+found est un dossier, actuellement vide, il permet habituellement de récupérer des fichiers supprimés sous linux
pass.b64 est un fichier texte :

root@siftworkstation -> /m/fcsc 
# cat pass.b64 
nothing here. password splited!

On apprend que le mot de passe a été séparé en plusieurs morceaux. - unlock_me est un volume chiffré Luks

Étape 2 - Récupération des fichiers

Pour récupérer les fichiers potentiellement supprimé sur la partition j'ai utilisé le très efficace Autopsy.

Il suffit d'importer la partition find_me dans le logiciel :

On voit rapidement que des fichiers ont été supprimés :

Chaque fichier partXX contient deux caractères :

Le fichier pass.b64 disait nothing here. password splited! , si on reconstitue une chaine grâçe aux caractères on obtient quelque chose qui ressemble étrangement à du base64

TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ

Rappelons nous, le nom du fichier contenu dans la partition find_me était pass.b64

Ouverture du volume Luks

J'essaye d'ouvrir le volume Luks avec la clé en base64, mais cela échoue :

root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen unlock_me BRIOCHE
Enter passphrase for unlock_me: TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ
Bad passphrase !

J'essaye d'ouvrir le volume Luks avec la clé décodé, yes ! Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY

root@siftworkstation -> /m/fcsc
# cryptsetup luksOpen /unlock_me BRIOCHE
Enter passphrase for /unlock_me: Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY
root@siftworkstation -> /m/fcsc 
# mkdir /mnt/flag
root@siftworkstation -> /m/fcsc 
# mount /dev/mapper/BRIOCHE /mnt/flag/
root@siftworkstation -> /m/fcsc 
# ls /mnt/flag/
root@siftworkstation -> /m/fcsc 
# ls -Al /mnt/flag/
total 0
-r-------- 1 root root 70 Apr  1 19:54 .you_found_me
root@siftworkstation -> /m/fcsc
# cat /mnt/flag/.you_found_me
FCSC{750322d61518672328c856ff72fac0a80220835b9864f60451c771ce6f9aeca1}

PrécédentChapardeur de mots de passe SuivantCap ou pcap ?

Dernière mise à jour il y a 3 ans