Analyse d’image disque (Echec OP 1-3)

Pour cette série de trois épreuves dans la catégorie Forensic proposée par le FCSC édition 2022, nous avions pour objectif de retrouver des informations dans un disque chiffré.

Introduction

On commence par obtenir des informations sur l’image disque avec l’outil fdisk et son option -l qui nous permet d’afficher les partitions d’une image.

Il y a donc trois partitions, dont 2 systèmes de fichier Linux. En essayant de monter l’image sur Ubuntu, on s’aperçoit que le dernier volume est protégé par un mot de passe (pas de bol ☹). 

Fort heureusement, ce dernier est fourni dans l’énoncé (voir page suivante). On monte donc l’image avec les commandes suivantes.

1ere partie

Tout est dit dans l’énoncé, il nous faut récupérer la date de création du système de fichier (aka filesystem) du disque chiffré. Maintenant que nous l’avons monté, c’est très facile, on se sert du logiciel utilitaire tune2fs.

sudo tune2fs -l /dev/mapper/ubuntu—vg-ubuntu–lv

On récupère la date, que l’on met au format ISO-8601, tout en enlevant 2 heures car en France l’heure est en UTC+2, ce qui donne FCSC{2022-03-27T03:44:49Z} 

😊

2ème partie

Maintenant que c’est fait, on se met en quête du deuxième flag :

Je commence par aller chercher le /etc/shadow et essayer de cracker le mot de passe avec John the Ripper, mais sans succès. Je cherche alors des fichiers intéressants, comme un .bash_history (fichier qui contient l’historique des commandes bash tapé par un utilisateur). On en trouve un dans /root/ et devinez quoi :

Il contient notre deuxième flag  : FCSC{CZSITvQm2MBT+n1nxgghCJ} 

😊😊

3ème partie

Je m’empresse alors tout naturellement d’aller checker son bon vieux fichier le log auth.log (situé dans le /var/log/auth.log), mais sans trop de surprise, il n’y est pas (ce qui concorde avec l’énoncé). On zieute alors les fichiers logs restants, en commençant par le fichier fail2ban.log, à la recherche d’explications :

Humm, il semblerait qu’il a été effacé. Je lance photorec, un outil permettant de restaurer des fichiers supprimés sur un disque, dans l’espoir de mettre la main sur le auth.log : 

sudo photorec /dev/mapper/ubuntu—vg-ubuntu–lv 

On sélectionne notre volume et ses caractéristiques.

En output on obtient un grand nombre de fichiers (dans lequel se trouve auth.log). On cherche alors un fichier contenant le termes « sshd »

On en ouvre quelques-uns, et on tombe rapidement sur notre auth.log

On détermine alors le troisième et dernier flag : FCSC{192.168.37.1}

😊 😊 😊


Publié

dans

, , ,

par