Solution de PPF-Shaym pour Not so FAT

intro forensics disque

4 décembre 2023

Table des matières

Description

Le challenge nous met à disposition un fichier not-so-fat.dd qui contient un flag, à nous de le retrouver !

Solution

Dans un premier temps, on télécharge le fichier.

Les fichiers disposants de l’extension .dd sont, la plupart du temps des fichiers d’image disque.

On peut s’en assurer en utilisant la commande file :

$ file not-so-fat.dd
not-so-fat.dd: DOS/MBR boot sector, code offset 0x3c+2, OEM-ID "mkfs.fat", sectors/cluster 4, reserved sectors 4, root entries 512, sectors 32768 (volumes <=32 MB), Media descriptor 0xf8, sectors/FAT 32, sectors/track 32, heads 64, serial number 0x3be84c04, unlabeled, FAT (16 bit)

Pour les analysées, on peut utiliser l’outil FTK Imager qui est un outil d’acquisition et d’analyse d’image disque.

Comme on peut le voir sur cet image, nous disposons d’une arborescence de fichier simple, un zip et un fichier avec une drôle de chaîne de caractère !

Capture d&rsquo;écran 2023-12-04 002814

Le zip est malheureusement chiffré, on ne peut donc pas l’ouvrir directement.

Capture d&rsquo;écran 2023-12-04 004046

On va donc récupérer le zip et on l’ouvrir, un mot de passe est demander, vite notre drôle de chaîne de caractère !

$ unzip flag.zip
Archive:  flag.zip
[flag.zip] flag.txt password:
password incorrect--reenter:

Ce n’est visiblement pas ça…

Tentons donc un bruteforce avec fcrackzip :

$ fcrackzip -v -u -D -p /usr/share/wordlists/rockyou.txt flag.zip
found file 'flag.txt', (size cp/uc     59/    47, flags 9, chk 4eb7)
PASSWORD FOUND!!!!: pw == password

$ unzip flag.zip
Archive:  flag.zip
[flag.zip] flag.txt password:
 extracting: flag.txt

$ cat flag.txt
ECSC{eefea8cda693390c7ce0f6da6e388089dd615379}

We got it ! ;)