1 - Recherche dans les logs
L’administrateur ayant cherché à dissimuler son IP, nous allons vérifier les logs dans le répertoire var\log. Le fichier auth.log enregistrant les connexions n’est pas présent mais cependant nous avons accès au fichier fail2ban.log .
En l’ouvrant à l’aide d’un simple sudo nano fail2ban.log une ligne nous est intéressante :
2022-03-27 21:51:44,839 fail2ban.filter [948]: INFO Removed logfile: '/var/log/auth.log
Le fichier auth.log a été supprimé, nous sommes sûrement sur la bonne piste.
2 - Récupération de fichier supprimés
Dorénavant, nous avons à récupérer les informations du fichier auth.log. Photo Rec semble être l’outil adéquat, nous le lançons donc :
- Nous sélectionnons la partition sortie de
cryptsetupque nous avions préalablement extrait lors d’Échec OP 1/3, soit>Disk /dev/mapper/ubuntu--vg-ubuntu--lv - 9764 MB / 9312 MiB (RO) - Ensuite, nous choisissons d’effectuer l’analyse sur le disque entier : ce sera peut être plus long, mais nous aurons peut être des fichiers intéressants :
> Unknown 0 0 1 19070975 0 1 19070976 [Whole disk]
- Le format de la partition étant en ext, nous sélectionnons
[ ext2/ext3 ] ext2/ext3/ext4 filesystem - Enfin, nous stockons les fichiers de sortie dans
~/Documents/Echec/output
3 - Quelques coups de ✨ grep ✨
Maintenant, plus qu’à se retrousser les manches et sortir son meilleur grep.
Premièrement, nous cherchons les access puisque nous cherchons l’IP.
Cependant, au vu du nombre de retour, nous refiltrons avec le noms d’utilisateur principal de la machine qui est obob (nous l’avons obtenu lors des parties précédentes du challenge) : grep -ir access | grep obob > ../grep_output. En ouvrant notre fichier de sortie du grep, une ligne attire l’attetion, recup_dir.77/f13226096.txt mentionne des permissions sudo.
Bingo, ça semble être le fichier sudo.log et nous avons quelqu’un qui s’est connecté en ssh puis qui s’est élevé ses privilèges avec sudo : c’est certainement l’administrateur. L’adresse ip de l’administrateur : 192.168.37.1
Flag : FCSC{192.168.37.1}