N3tC4p
Auteur : patate
----------------------------------
> Enoncé
Vous avez réussi à mettre la main sur une clé USB contenant des fichiers qui n’auraient pas dû sortir de l’entreprise. Il va falloir en tirer le meilleur.
> Résolution
Monter le disque
Dans un premier temps, on va monter l’image de la clé USB qu’on nous fournit dans un répertoire qu’on crée.
mkdir USB
sudo mount -o loop -t auto USB.iso USB/
cd USB
Explorer le contenu
En explorant le contenu de la clé, on tombe dans le répertoire document/ une archive zip qu’on décompresse. On obtient deux fichiers: challenge_network.pcapng et challenge_network.keys.
Analyser la capture réseau
On ouvre la capture réseau challenge_network.pcapng avec Wireshark. En suivant le flux TCP (clic droit > Suivre > Flux TCP). On récupère la discussion IRC suivante entre pixis et J0hnD0e:
On apprend que pixis veut récupérer un mot de passe que J0hnD0e a récemment changé. Ce mot de passe se trouve apparemment dans une archive secret.zip qu’on va chercher à récupérer.
Récupérer l’archive
On constate que pixis récupère l’archive sur une adresse https, il va donc falloir déchiffrer la communication SSL grâce à la clé fournie. Dans Editer > Préférences > Protocols > SSL, on sélectionne dans le champ “(Pre)-Master-Secret log filename” notre fichier challenge_network.keys avant de cliquer sur OK.
On observe qu’une requête HTTP a été déchiffrée:
En suivant le flux HTTP, on récupère les données communiquées (clic droit > Suivre > HTTP Stream > Save data as Brut > Save as…). On ouvrir le fichier enregistré dans un éditeur de texte pour retirer la partie correspondant à l’entête de la requête (notre archive commence par son magic number PK..) afin de récupérer l’archive secret.zip que l’on recherchait.
Décompresser l’archive
Un mot de passe nous est demandé pour décompresser l’archive. Un coup de fcrackzip avec la wordlist rockyou.txt nous donne le mot de passe du fichier:
$ fcrackzip -u -D -p rockyou.txt secret.zip
PASSWORD FOUND!!!!: pw == thuglife
On obtient en décompressant l’archive un fichier texte newpassword.txt qui contient le flag!
Flag
SCE{Th1s_1s_our_n3w_k3y-w0rd}