Find Me

Énoncé

Vous avez accès à un fichier find_me qui semble renfermer un secret bien gardé, qui n'existe peut-être même plus. Retrouvez son contenu !
find_me

Étape 1 - Analyse du fichier

Le fichier find_me semble être une partition système :
[email protected]:/home/onosh/FCSC/FORENSIC/FINDME# file find_me
find_me: Linux rev 1.0 ext4 filesystem data, UUID=9c0d2dc5-184c-496a-ba8e-477309e521d9, volume name "find_me" (needs journal recovery) (extents) (64bit) (large files) (huge files)
Je décide de monter la partition :
# mkdir /mnt/fcsc && mount /home/bsi/vms-share/fcsc2/find_me /mnt/fcsc
# ls /mnt/fcsc/
lost+found pass.b64 unlock_me
2 fichiers et 1 dossiers apparaissent.
[email protected] -> /m/fcsc
# file *
lost+found: directory
pass.b64: ASCII text
unlock_me: LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: 220745be-23df-4ef8-bff0-a36ab5cd1eff
  • lost+found est un dossier, actuellement vide, il permet habituellement de récupérer des fichiers supprimés sous linux
  • pass.b64 est un fichier texte :
[email protected] -> /m/fcsc
# cat pass.b64
nothing here. password splited!
On apprend que le mot de passe a été séparé en plusieurs morceaux. - unlock_me est un volume chiffré Luks

Étape 2 - Récupération des fichiers

Pour récupérer les fichiers potentiellement supprimé sur la partition j'ai utilisé le très efficace Autopsy.
Il suffit d'importer la partition find_me dans le logiciel :
On voit rapidement que des fichiers ont été supprimés :
Chaque fichier partXX contient deux caractères :
Le fichier pass.b64 disait nothing here. password splited! , si on reconstitue une chaine grâçe aux caractères on obtient quelque chose qui ressemble étrangement à du base64
TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ
Rappelons nous, le nom du fichier contenu dans la partition find_me était pass.b64

Ouverture du volume Luks

J'essaye d'ouvrir le volume Luks avec la clé en base64, mais cela échoue :
# cryptsetup luksOpen unlock_me BRIOCHE
Enter passphrase for unlock_me: TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ
Bad passphrase !
J'essaye d'ouvrir le volume Luks avec la clé décodé, yes ! Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY
# cryptsetup luksOpen /unlock_me BRIOCHE
Enter passphrase for /unlock_me: Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY
[email protected] -> /m/fcsc
# mkdir /mnt/flag
[email protected] -> /m/fcsc
# mount /dev/mapper/BRIOCHE /mnt/flag/
[email protected] -> /m/fcsc
# ls /mnt/flag/
[email protected] -> /m/fcsc
# ls -Al /mnt/flag/
total 0
-r-------- 1 root root 70 Apr 1 19:54 .you_found_me
# cat /mnt/flag/.you_found_me
FCSC{750322d61518672328c856ff72fac0a80220835b9864f60451c771ce6f9aeca1}