dimanche 25 juillet 2010

RootBSD's Forensic 1

Hier nous avons eu droit à un challenge forensic proposé par RootBSD. C'était son premier challenge en tant qu'auteur :p. Le prix à gagner était mine de rien assez sympa : un tshirt GetDigital au choix ^^.
Le grand gagnant de ce challenge  est sh4ka.

Le principe était de trouver 10 flags :).

L'archive du challenge tout d'abord : RootBSD's challenge forensic 1 .

Après avoir décompressé l'archive on se retrouve avec 6 dossiers : .mozilla, Document, Download, Images, Musics, Private et 1 fichier : FS.dd.

En commençant par FS.dd on a trouvé 2 flags :
m101@m101 $ strings FS.dd | egrep "[0-9a-fA-F]{32}"
Joli : 2843062153121fed0558613602645f81

- Un peu de file carving :
m101@m101 $ scalpel -c /etc/scalpel/scalpel.conf
On trouve une image jpeg avec ce flag :
a84774bcf9e00b394d75e4367472e58e

Maintenant Documents/ :
m101@m101 $ strings World_of_Fractal.pdf | egrep "[0-9a-fA-F]{32}"
/ID[<7602e7851861cd4d7f20bfc78b7991d3><457df77bd980a6fd9607e57405f56152>]
/Author (f1809844eaa1ebe050bd4973a456b150)r 5.0 for Word)
/ID[<7602e7851861cd4d7f20bfc78b7991d3><457df77bd980a6fd9607e57405f56152>]
Après validation, seul le md5 pour Author est bon.

Dans le dossier Download/ on a un fichier .pcap, on l'ouvre sous WireShark et on voit un flux HTTP avec download d'une archive .rar.
Il suffit d'extraire le .rar concerné.
Pas de "chance", il est protégé par un mot de passe.
Etant sous Linux, j'essaie de péter l'archive avec rarcrack .... 50pw/sec, mouais trop lent à mon goût ...
Et si on essayait du password guessing?
Words tried : hack, hacking, hacker, forensic, security, secure, control, biere ... BINGO!
On extrait le fichier du .rar et hop un autre flag :
203ec6cfbff8288c0ebeec8ea1e70144.

Dans Images/ :
m101@m101 $ strings Images/fractale5.jpg | egrep "[a-fA-F0-9]{32}
"1dcd64e16d97507052d67a6d0557ee8d
Dans le reste des images, rien de particulier avec HexEdit et strings ....
Bon, y'a quoi dans les metadatas?
Bingo, on trouve quelque chose d'intéressant dans jpg_NDH080408ak.jpg.
m101@m101 $ exif -e jpg_NDH080408ak.jpg
Le flag : f2c7ec9225e9158deb7ca7aad0f3504b.
Ok dossier Images done :).


On passe au dossier Musics/ :
m101@m101 $ strings Musics/miel-de-vie.mp3
[...]
VW4gZGUgcGx1cyAzMzA2ZWMwOTdmYz
gzMDgxNzE4MTUxNmVhMjhkZWQzOA==
Oh ça ressemble à de la base 64 ça ... bingo :
3306ec097fc830817181516ea28ded38

Dossier Private/ :
On a un fichier texte priv.txt.
A première vu ça peut être du César, par guessing ça doit être quelque chose genre : Le flag est [flag].
Pour les feignasses, y'a des sites comme YellowPipe qui font le boulot pour vous ...
On regarde la table ASCII et on trouve un décalage de 19, on tente et bingo :
La flag est 55fe6c0f75c563099e3d332f5c64e690

m101@m101 $ cat Private/.facile
Pour commencer le plus facile : 8cd4525b78f0488581316bba7734e758

Bon on a fini?
Ah non j'oubliais le dossier .mozilla/.
Pour ça, on lance firefox de cette manière en console :
m101@m101 $ firefox -ProfileManager
On crée un nouveau profile (forensic par exemple).
On va dans le dossier correspondant dans notre home et on fout le profile de l'archive là :).
On trouve un lien dans l'historique : http://www.r00ted.com/forensics/flags.txt
Ok protégé par un .htaccess, voyons voir les mots de passes enregistrés. Oh le bougre protégé par mot de passe.
On bruteforce ça avec firemaster :] .
Bingo, on a le master password : hack.
Mot de passe enregistré : kevin:hKza62qCSTgq (bonne chance pour bruteforcer un mot de pass pareil ...).
Et encore un de plus :
4f88ae808c5cb93084bb4117b0452ca7


Voilà pour une petit challenge forensic somme tout assez sympa :).
Je tiens à remercier l'auteur du challenge RootBSD ainsi que d'autres participants : tryks, sh4ka, ZadyRee, shp et les autres si j'en oublie ;).

Have phun ;),

m_101

- lien : GetDigital
- lien : sh4ka
- lien : RootBSD's challenge forensic 1
- lien : StalkR's write-up
- lien : Tryks's write-up

1 commentaire :

  1. Pour le FS.dd il etait possible de le "reparer" pour pouvoir le monter de maniere classique : lancer hexedit et modifier a l'adresse 0x438 et mettre 0xEF53. A partir de la file nous retourne bien que le fichier est de l'ext2 et mount ne nous gueule plus dessus...

    RépondreSupprimer