on ANSSI | CTF | FCSC2022 | hack | Forensics

Echec OP 1/3

echec

Ce challenge est la suite de Echec OP 0/3

Présentation

Nous avons accès à ce fichier qui contient un .raw qui est une image disque.

Nous allons donc la monter pour tenter de trouver la date de création en UTC du système de fichiers.

──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# kpartx -a -v fcsc.raw                        
add map loop0p1 (254:0): 0 2048 linear 7:0 2048
add map loop0p2 (254:1): 0 1857536 linear 7:0 4096
add map loop0p3 (254:2): 0 19107840 linear 7:0 1861632

On utilise l'outil kpartx pour mapper les partitions de l'image raw vers des périphériques virtuels.

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# ls /dev/mapper/                              
control  loop0p1  loop0p2  loop0p3

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# cryptsetup luksOpen /dev/mapper/loop0p3 mount
Saisissez la phrase secrète pour /dev/mapper/loop0p3 :

On déchiffre la partition loop0p3 qui est chifrée, dans un repertoire mount avec cryptsetup luksOpen avec le mot de passe fcsc2022.

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# ls /dev/mapper                               
control  loop0p1  loop0p2  loop0p3  mount  ubuntu--vg-ubuntu--lv

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# mount /dev/mapper/ubuntu--vg-ubuntu--lv mount

Cryptsetup nous a créé un dossier ubuntu--vg-ubuntu--lv que nous allons monter dans un repertoire qu'on a nommé mount.

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# ls mount      
bin  boot  dev  etc  home  lib  lib32  lib64  libx32  lost+found  media  mnt  opt  proc  root  run  sbin  snap  srv  swap.img  sys  tmp  usr  var

On a bien accès au contenu du repertoire.

┌──(root㉿tyrell)-[/home/…/FCSC2022/Challenges/forensic/echecoop]
└─# dumpe2fs /dev/mapper/ubuntu--vg-ubuntu--lv | grep create
dumpe2fs 1.46.5 (30-Dec-2021)
Filesystem created:       Sun Mar 27 05:44:49 2022

Avec l'outil dumpe2fs on va regarder la date de création de la partition ubuntu--vg-ubuntu--lv.

On a donc la date Sun Mar 27 05:44:49 2022.

Au format ISO 8601 cela donne 2022-03-27T05:44:49Z

Le flag est donc :

FCSC{2022-03-27T03:44:49Z}
cat