L’énnoncé nous apprend que le flag est dans un fichier qui a été supprimé. Il doit donc être dans l’unes des couches de l’image.
Je commande par récupérer l’image et la sauver dans une archive locale ainsi :
docker pull anssi/fcsc2024-forensics-layer-cake-2
docker save anssi/fcsc2024-forensics-layer-cake-2 > fcsc2024-forensics-layer-cake-2.tar
Je décompresse ensuite l’archive:
mkdir fcsc2024-forensics-layer-cake-2
tar -xvf fcsc2024-forensics-layer-cake-2.tar -C fcsc2024-forensics-layer-cake-2
Je constate que mon image est composée de plusieurs couches, ici 3.
Je décide alors de chercher de manière brutale la chaine FCSC dans toute l’arborescence, au cas où :
grep -aR FCSC fcsc2024-forensics-layer-cake-2/
En regardant les résultats je découvre l’existence d’un fichier /tmp/secret contenant le flag.