Dirty Birdy[RC3CTF][forensics][400pts]

 

Dans ce challenge on télécharge un fichier .img  :

neolex@neolex-pc> dirty_birdy_forensics_400$file dtrump.img
dtrump.img: ISO 9660 CD-ROM filesystem data ‘CDROM’

Nous montons l’image , il y a plusieurs dossiers dont un qui nous intéresse « secretfiles ».

Listons les fichiers inclus dans ce dossier :

neolex@neolex-pc> secretfiles$ls -a
.  ..  document.txt  .git  README.md  Workbook1.xlsx.gpg

Comme vous pouvez le voir il y a un fichier de tableur signé avec une clé gpg , cependant on n’a pas la clé .

Dans le document  « document.txt » se trouve « password123 »

neolex@neolex-pc> secretfiles$cat document.txt
passowrd123

On ne sait pas encore quoi en faire…

Une autre chose interessant c’est la presence d’un dossier .git , faisons donc un git status

    neolex@neolex-pc> secretfiles$git status
    Sur la branche master
    Votre branche est à jour avec ‘origin/master’.
    Modifications qui ne seront pas validées :
    (utilisez « git add/rm <fichier>… » pour mettre à jour ce qui sera validé)
    (utilisez « git checkout — <fichier>… » pour annuler les modifications dans la copie de travail)

        supprimé :        private.key

    Fichiers non suivis:
    (utilisez « git add <fichier>… » pour inclure dans ce qui sera validé)

    README.md
    Workbook1.xlsx.gpg
    document.txt

    aucune modification n’a été ajoutée à la validation (utilisez « git add » ou « git commit -a »)

On a ici un fichier private.key , qui semble etre la clé GPG qui a servi a chiffrer le fichier tableur, qui a été supprimé .

Nous allons le restaurer a l’aide de la commande checkout de git  :

neolex@neolex-pc> secretfiles$sudo git checkout master private.key
neolex@neolex-pc> secretfiles$ls
document.txt  private.key  README.md  Workbook1.xlsx.gpg

Déchiffrons le fichier crypté avec la clé que l’on vient de récuperer

neolex@neolex-pc> secretfiles$gpg –import private.key
gpg: clef BD8B144E8FFDF6D6 : « ThugG (lolz) <nope@gmail.com> » n’est pas modifiée
gpg: clef BD8B144E8FFDF6D6 : clef secrète importée
gpg:       Quantité totale traitée : 1
gpg:                 non modifiées : 1
gpg:           clefs secrètes lues : 1
gpg:  clefs secrètes non modifiées : 1
neolex@neolex-pc> secretfiles$ gpg –output workbook1.xlsx -d Workbook1.xlsx.gpg
gpg: chiffré avec une clef RSA de 1024 bits, identifiant 51B94612E22CB12D, créée le 2016-11-18
« ThugG (lolz) <nope@gmail.com> »

Ouvrons le fichier crée avec libre office calc , un mot de passe est demandé , testons « password123 » qui est dans le fichier document.txt , il s’ouvre.

 

Une petite recherche « rc3 » dans la deuxieme page  et le flag est dans la case CF-7 :

RC3-2016-SNEAKY21

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.