Capture The Talent — Forensic Write-ups
Du samedi 19 au dimanche 20 février 2022, s’est déroulé le CTF de Capture The Talent. 🏆Classement final: 1/52
Pour ce write-up, je vous expliquerai comment j’ai pu résoudre la série de challenges forensic du CTF (comportant également des challenges Web, Pwn, OSINT, Crypto, …)
Merci à egotistical pour la création des challenges et la gestion du CTF !
Ramp Cat
Pour cette première épreuve, nous disposons de l’image suivante :
Mon premier réflexe est de lancer l’outil exiftool, afin de me renseigner quant aux données Exif de l’image.
Avec la commande juste au-dessus je fais ressortir les données exif comportant des données GPS.
Je renseigne donc les coordonnées GPS dans un premier site que je trouve plus intuitif :
Avec les coordonnées j’obtiens l’adresse 26 Clinton Street, New York , je la rentre dans Google Maps.
Si on regarde à cette adresse, nous avons un café appelé Koneko.
J’entre donc le flag Koneko qui valide le challenge !
Unk
Pour cette seconde épreuve, nous avons une consigne ainsi qu’un fichier nommé unk.
What the world is this file???Tout de suite je pense à la commande file sous linux qui me permet de déterminer le type de fichier.
Nous pouvons donc déterminer que c’est une archive ZIP, j’extrais donc l’archive.
Je me rends dans le dossier docProps, j’ouvre le fichier thumbnail.jpeg
Dans ce fichier, je tombe sur le flag, je le rentre et le challenge est validé !
Lost flash drive
Pour cette troisième épreuve, nous disposons d’un fichier au format zip nommé lost_flash_drive.zip ainsi que la consigne suivante.
I found a flash drive in the street...Premièrement , je décompresse l’archive, puis je lance l’utilitaire testdisk (outil permettant l’analyse et la réparation de partitions de disque). Je dump tous les fichiers présents sur la clé pour travailler plus facilement.
Je me rends dans le dossier Documents, après un tour sur les fichiers, je trouve une archive zip appelée passwords.txt.zip, je la décompresse et en lisant le fichier j’obtiens une chaîne de caractère intéressante.
Je rentre flag{its_adventure_time_yee_boi!!!} pour valider le challenge !
pdfcrypt
Pour cette nouvelle épreuve, nous avons un fichier, accompagné de la consigne suivante :
Hmm.... this PDF file is encrypted. I can't open it... Can you?Lorsqu’on ouvre le fichier PDF, nous avons effectivement une demande de mot de passe. Je décide donc de passer le PDF au dictionnaire.
Pour ça j’utilise pdf2john pour extraire un hash du fichier pdf.
Enfin, je lance JohnTheRipper avec la wordlist par défaut.
Après quelques minutes on obtient le mot de passe hacked que l’on va utiliser pour ouvrir le fichier PDF.
Une fois le fichier PDF ouvert, je récupère le flag qui valide le challenge !
A Friend
Pour cette dernière épreuve, nous avons une archive ZIP, ainsi que la consigne suivante :
My friend has been acting a little weird lately. He sent me a weird message. Can you figure out what's up?Premièrement, j’extrais l’archive et j’obtiens un document docx. Une fois ouvert je trouve un texte caché (ici en rouge) qui confirme que la personne cache sa localisation quelque part.
Par la suite, après quelques recherches infructueuses sur le docx, je me rends compte que le fichier docx est plus léger que l’archive ZIP
J’en conclus donc qu’il est plus intéressant de fouiller du côté de l’archive directement. Je fais un binwalk et bingo !
Il y’a notamment une image au format PNG. Je l’extrais à l’aide de la commande suivante :
binwalk -D 'png image:png' a_friend.zipJ’ouvre l’image :
Et bim ! J’entre le flag et je valide le dernier challenge.
