Pour commencer, il faut extraire backup.tar.xz et sysdiagnose_and_crashes.tar.xz sur sa propre machine (tar -xvf nom_fichier.tar.xz). Il faut également avoir sqlite3 d’installé (sudo apt install sqlite3)
En recherchant parmi les fichiers extraits, on peut repérer Manifest.db (index permettant de lier les fichiers extraits localement et leur correspondance dans le système iOS). On va pouvoir y trouver des fichiers du système iOS, et avec un peu de chance, ceux concernant les réseaux Wifi connus du téléphone et les comptes iCloud 😅
On va donc exécuter sqlite3 Manifest.db puis .sch pour voir les tables présentes.
Étape 1 : Récupérer les infos du réseau Wifi
Pour effectuer notre recherche, on va lancer la requête suivante :
SELECT * FROM Files WHERE relativePath LIKE '%wifi%';
qui va fouiller dans tous les fichiers indexés et ressortir ceux possédant la mention “wifi”.
Est-ce qu’un des fichiers pourrait nous intéresser ? Oui, bien évidemment ! com.apple.wifi.known-networks.plist contient la liste de tous les réseaux connus par le téléphone 🎉
Récupérer le nom du fichier local associé (0fa75546343ba224c9fe55adc73e8fdedc1029c3) puis l’ouvrir avec
cat 0f/0fa75546343ba224c9fe55adc73e8fdedc1029c3
Un peu brouillon n’est-ce pas ? On va se simplifier la vie avec plistutil qui va afficher les données binaires et ordonner le tout en XML
plistutil -f xml -i 0fa75546343ba224c9fe55adc73e8fdedc1029c3 -o decoded_wifi.xml
On récupère ainsi le SSID et le BSSID (au début du fichier XML)
Étape 2 : Récupérer le compte iCloud
De la même façon, on va rechercher dans le fichier .db en fonction de “account (compte)”
SELECT * FROM Files WHERE relativePath LIKE '%account%';
Dans les choix proposés, on a une deuxième base de données (Library/Accounts/Accounts3.sqlite), que l’on va ouvrir sqlite3 94/943624fd13e27b800cc6d9ce1100c22356ee365c
Et là, pas de bol, le fichier est corrompu et illisible… sauf si on lit le fichier de manière brute avec cat 94/943624fd13e27b800cc6d9ce1100c22356ee365c
Et voilà, on a l’email du compte iCloud !
Flag
Rappel du format du flag : FCSC{SSID|BSSID|compte_iCloud}.