On voit pas mal de lignes dans ce log, et surtout celles commençant par “node=backupfiler.jurisdefense.intra” (on nous disait dans l’énoncé que la machine cible était backupfiler).
Sur certaines de ces lignes, on peut voir de l’hexa dans “**proctitle=**”
On va donc récupérer tous les bouts d’hexa et les décoder.
grep "node=backupfiler" logs/linux/* | grep -oP 'proctitle=[0-9A-Fa-f]+' | \
grep -oP '[0-9A-Fa-f]+$' | sort -u | while read hex; do
decoded=$(echo "$hex" | xxd -r -p 2>/dev/null | tr '\0' ' ')
echo "$decoded"
done | sort -u | grep -v "^$"
Un de ces résultat est très intéressant : bash -c scp -f /tmp/smb_share.tar.gz.
On a donc l’outil (scp) et le nom du fichier exfiltré (/tmp/smb_share.tar.gz).
Il ne nous reste plus qu’à récupérer la date.
Qui dit préparation, dit création/modification d’un fichier, et dans le cas d’un .tar (archive), on parle alors de compression.
“tar cvzf smb_share.tar.gz /smb_share” est donc la commande ayant créé l’archive.
grep "node=backupfiler" logs/linux/* | grep"smb_share.tar.gz"
Elle a été créée au timestamp 1747213513.472 (soit le 14 mai 2025 à 09h05).
🚩 Rappel du flag : FCSC{tool-filepath-YYYY-MM-DDTHH:MM:SS}