HackademINT

Club de cybersécurité de Telecom SudParis

N3tC4p

Auteur : patate

----------------------------------

> Enoncé

Vous avez réussi à mettre la main sur une clé USB contenant des fichiers qui n’auraient pas dû sortir de l’entreprise. Il va falloir en tirer le meilleur.

> Résolution

Monter le disque

Dans un premier temps, on va monter l’image de la clé USB qu’on nous fournit dans un répertoire qu’on crée.

mkdir USB
sudo mount -o loop -t auto USB.iso USB/
cd USB

Explorer le contenu

En explorant le contenu de la clé, on tombe dans le répertoire document/ une archive zip qu’on décompresse. On obtient deux fichiers: challenge_network.pcapng et challenge_network.keys.

Analyser la capture réseau

On ouvre la capture réseau challenge_network.pcapng avec Wireshark. En suivant le flux TCP (clic droit > Suivre > Flux TCP). On récupère la discussion IRC suivante entre pixis et J0hnD0e:

irc

On apprend que pixis veut récupérer un mot de passe que J0hnD0e a récemment changé. Ce mot de passe se trouve apparemment dans une archive secret.zip qu’on va chercher à récupérer.

Récupérer l’archive

On constate que pixis récupère l’archive sur une adresse https, il va donc falloir déchiffrer la communication SSL grâce à la clé fournie. Dans Editer > Préférences > Protocols > SSL, on sélectionne dans le champ “(Pre)-Master-Secret log filename” notre fichier challenge_network.keys avant de cliquer sur OK.

On observe qu’une requête HTTP a été déchiffrée:

http

En suivant le flux HTTP, on récupère les données communiquées (clic droit > Suivre > HTTP Stream > Save data as Brut > Save as…). On ouvrir le fichier enregistré dans un éditeur de texte pour retirer la partie correspondant à l’entête de la requête (notre archive commence par son magic number PK..) afin de récupérer l’archive secret.zip que l’on recherchait.

Décompresser l’archive

Un mot de passe nous est demandé pour décompresser l’archive. Un coup de fcrackzip avec la wordlist rockyou.txt nous donne le mot de passe du fichier:

$ fcrackzip -u -D -p rockyou.txt secret.zip


PASSWORD FOUND!!!!: pw == thuglife

On obtient en décompressant l’archive un fichier texte newpassword.txt qui contient le flag!

Flag

SCE{Th1s_1s_our_n3w_k3y-w0rd}