Find Me

Énoncé

Vous avez accès à un fichier find_me qui semble renfermer un secret bien gardé, qui n'existe peut-être même plus. Retrouvez son contenu !

find_me

Étape 1 - Analyse du fichier

Le fichier find_me semble être une partition système :

onosh@kali:/home/onosh/FCSC/FORENSIC/FINDME# file find_me
find_me: Linux rev 1.0 ext4 filesystem data, UUID=9c0d2dc5-184c-496a-ba8e-477309e521d9, volume name "find_me" (needs journal recovery) (extents) (64bit) (large files) (huge files)

Je décide de monter la partition :

root@siftworkstation -> /h/bsi 
# mkdir /mnt/fcsc && mount /home/bsi/vms-share/fcsc2/find_me /mnt/fcsc
root@siftworkstation -> /h/bsi 
# ls /mnt/fcsc/
lost+found  pass.b64  unlock_me

2 fichiers et 1 dossiers apparaissent.

root@siftworkstation -> /m/fcsc 
# file *
lost+found: directory
pass.b64:   ASCII text
unlock_me:  LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: 220745be-23df-4ef8-bff0-a36ab5cd1eff

• lost+found est un dossier, actuellement vide, il permet habituellement de récupérer des fichiers supprimés sous linux

• pass.b64 est un fichier texte :

On apprend que le mot de passe a été séparé en plusieurs morceaux. - unlock_me est un volume chiffré Luks

Étape 2 - Récupération des fichiers

Pour récupérer les fichiers potentiellement supprimé sur la partition j'ai utilisé le très efficace Autopsy.

Il suffit d'importer la partition find_me dans le logiciel :

On voit rapidement que des fichiers ont été supprimés :

Chaque fichier partXX contient deux caractères :

Le fichier pass.b64 disait nothing here. password splited! , si on reconstitue une chaine grâçe aux caractères on obtient quelque chose qui ressemble étrangement à du base64

TWYtOVkyb01OWm5IWEtzak04cThuUlRUOHgzVWRZ

Rappelons nous, le nom du fichier contenu dans la partition find_me était pass.b64

Ouverture du volume Luks

J'essaye d'ouvrir le volume Luks avec la clé en base64, mais cela échoue :

J'essaye d'ouvrir le volume Luks avec la clé décodé, yes ! Mf-9Y2oMNZnHXKsjM8q8nRTT8x3UdY