Solution de alexCoding42 pour Not so FAT

intro forensics disk

3 décembre 2023

Table des matières

Description

Dans ce challenge on nous fournit un fichier no-so-fat.dd et on nous indique que le flag a été effacé par erreur et qu’il faut le retrouver.

Solution

INFO: Je vous conseille d’utiliser une machine Kali Linux ce sera un peu plus rapide pour résoudre le challenge.

1. Récupérer le fichier

D’abord procurez-vous le fichier not-so-fat.dd et placez-le sur la machine qui vous aidera à résoudre le challenge. Vous pouvez utiliser la commande scp :

scp not-so-fat.dd <utilisateur-de-la-machine>@<address-ip-de-la-machine>:/<path-de-votre-dossier>

Dans mon cas j’utilise une VM Kali Linux donc ça donne

scp not-so-fat.dd kali@<ip-de-la-vm-kali>:/home/kali/Desktop/Hackropole/not-so-fat

2. Installer et utiliser les outils

C’est la partie la plus longue du challenge, il faut trouver le bon outil pour exploiter ce fichier au format .dd On pense de suite à un fichier image, mais l’instruction du challenge nous donne aussi un indice : le flag a été effacé et il faut le retrouver.

Sur Kali Linux il existe PhotoRec qui est un outil de récupération de données, il peut aider à récupérer des fichiers supprimés ou perdus sur un support de stockage. Donc on l’utilise sur notre fichier pour tester

sudo photorec not-so-fat.dd

Choisir la seule option disponible

> Disk not-so-fat.dd - 16 MB / 16 MiB (RO)

Ensuite j’ai choisi la partition FAT16 en référence au nom du challenge

> P FAT16

Pareil Other car on aperçoit un FAT dans la description

> [Other] FAT/NTFS/HFS+/ReiserFS/...

Et enfin Whole pour extraire les fichiers de toute la partition

> [Whole] Extract files from all partition

Ensuite on choisit l’endroit où on souhaite sauvegarder le fichier récupéré et on appuie sur la touche C pour confirmer.

3. Cracker le fichier .zip

On peut fermer Photorec. On obtient un dossier recup_dir.1 dans lequel on voit un fichier f0000104_flag.zip si on fait un ls recup_dir.1

Malheureusement on ne peut pas unzipper le fichier car on nous demande un mot de passe

Pour trouver le mot de passe j’ai utilisé l’outil fcrackzip avec la wordlist célèbre rockyou.txt (qui se récupère dans /usr/share/worldlists pour Kali Linux)

fcrackzip -D -p rockyou.txt -v -u f0000104_flag.zip

On obtient très rapidement le mot de passe qui est : password

On peut donc maintenant unzipper le fichier .zip avec le bon mot de passe

unzip f0000104_flag.zip

L’extraction du .zip nous donne un fichier flag.txt et on a plus qu’à faire un cat flag.txt pour lire son contenu et récupérer le flag.