Solution de OliverSwift pour Échec OP 1/3

forensics mémoire linux

13 janvier 2025

Table des matières

Décompression

Fichier au format 7-zip. On le décompresse :

$ 7z x fcsc.7z

On obtient un fichier fcsc.raw. On essaye de savoir ce que c’est:

$ file fcsc.raw
fcsc.raw: DOS/MBR boot sector, extended partition table (last)

(on passe en root à partir d’ici)

Utilisation de fdisk/loopback

Visiblement un fichier dump d’un disque. Pour l’examiner de plus près, on utilise un périphérique de loopback qui permet de mettre un fichier à disposition sur forme de device block (nécessaire pour travailler sur les filesystems):

$ losetup --find --show fcsc.raw
/dev/loop39

Examen via fdisk

$ fdisk /dev/loop39
Commande (m pour l'aide) : p

Disque /dev/loop39 : 10 GiB, 10737418240 octets, 20971520 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : gpt
Identifiant de disque : 60DA4A85-6F6F-4043-8A38-0AB83853E6DC

Périphérique    Début      Fin Secteurs Taille Type
/dev/loop39p1    2048     4095     2048     1M Amorçage BIOS
/dev/loop39p2    4096  1861631  1857536   907M Système de fichiers Linux
/dev/loop39p3 1861632 20969471 19107840   9,1G Système de fichiers Linux

Commande (m pour l'aide) : q

Il contient plusieurs partitions, on utilise à nouveau losetup pour scanner les partitions :

$ losetup -d /dev/loop39
$ losetup --find --show -P fcsc.raw
/dev/loop39

Déchiffrement

Après quelques tentatives de montage des partitions, c’est la troisième qui se trouve être chiffrée avec LUKS.

On utilise cryptsetup pour la déchiffrer (via device mapper) :

$ cryptsetup luksOpen /dev/loop39p3 cryptpart

LVM2

Il se trouve que le filesystem est un membre (une portion) d’un groupe LV. En effet si on tente un montage direct:

$ mount /dev/mapper/cryptpart /mnt
mount: /mnt: type de système de fichiers « LVM2_member » inconnu.

On active LVM et on scanne, puis on affiche les informations :

$ lvscan
$ lvdisplay
  --- Logical volume ---
  LV Path                /dev/ubuntu-vg/ubuntu-lv
  LV Name                ubuntu-lv
  VG Name                ubuntu-vg
  LV UUID                W4Y1My-22pb-DbM1-o1IU-dBKO-pJ6O-FcE7sG
  LV Write Access        read/write
  LV Creation host, time ubuntu-server, 2022-03-27 05:44:49 +0200
  LV Status              NOT available
  LV Size                9,09 GiB
  Current LE             2328
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto

Nous avons notre date de création : 2022-03-27 05:44:49 +0200

Flag

Au format ISO 8106 sans timezone (UTC) on obtient donc le flag : FCSC{2022-03-27T03:44:49Z}