Capture The Talent — Forensic Write-ups

Du samedi 19 au dimanche 20 février 2022, s’est déroulé le CTF de Capture The Talent. 🏆Classement final: 1/52

Pour ce write-up, je vous expliquerai comment j’ai pu résoudre la série de challenges forensic du CTF (comportant également des challenges Web, Pwn, OSINT, Crypto, …)

Merci à egotistical pour la création des challenges et la gestion du CTF !

Ramp Cat

Pour cette première épreuve, nous disposons de l’image suivante :

Image comprise dans l’énoncé

Mon premier réflexe est de lancer l’outil exiftool, afin de me renseigner quant aux données Exif de l’image.

Données exif de l’image

Avec la commande juste au-dessus je fais ressortir les données exif comportant des données GPS.

Je renseigne donc les coordonnées GPS dans un premier site que je trouve plus intuitif :

J’entre les données DMS

Avec les coordonnées j’obtiens l’adresse 26 Clinton Street, New York , je la rentre dans Google Maps.

Koneko, café situé au 26 Clinton Street, New York

Si on regarde à cette adresse, nous avons un café appelé Koneko.
J’entre donc le flag Koneko qui valide le challenge !

Unk

Pour cette seconde épreuve, nous avons une consigne ainsi qu’un fichier nommé unk.

What the world is this file???

Tout de suite je pense à la commande file sous linux qui me permet de déterminer le type de fichier.

Commande file sur le fichier inconnu nommé unk

Nous pouvons donc déterminer que c’est une archive ZIP, j’extrais donc l’archive.

Extraction de l’archive unk

Je me rends dans le dossier docProps, j’ouvre le fichier thumbnail.jpeg

Fichier thumbnail.jpeg

Dans ce fichier, je tombe sur le flag, je le rentre et le challenge est validé !

Lost flash drive

Pour cette troisième épreuve, nous disposons d’un fichier au format zip nommé lost_flash_drive.zip ainsi que la consigne suivante.

I found a flash drive in the street...

Premièrement , je décompresse l’archive, puis je lance l’utilitaire testdisk (outil permettant l’analyse et la réparation de partitions de disque). Je dump tous les fichiers présents sur la clé pour travailler plus facilement.

Utilitaire testdisk sur la clé perdue

Je me rends dans le dossier Documents, après un tour sur les fichiers, je trouve une archive zip appelée passwords.txt.zip, je la décompresse et en lisant le fichier j’obtiens une chaîne de caractère intéressante.

Lecture du fichier obtenu après extraction de l’archive

Je rentre flag{its_adventure_time_yee_boi!!!} pour valider le challenge !

pdfcrypt

Pour cette nouvelle épreuve, nous avons un fichier, accompagné de la consigne suivante :

Hmm.... this PDF file is encrypted. I can't open it... Can you?

Lorsqu’on ouvre le fichier PDF, nous avons effectivement une demande de mot de passe. Je décide donc de passer le PDF au dictionnaire.
Pour ça j’utilise pdf2john pour extraire un hash du fichier pdf.
Enfin, je lance JohnTheRipper avec la wordlist par défaut.

Les deux actions permettant de cracker le mot de passe.

Après quelques minutes on obtient le mot de passe hacked que l’on va utiliser pour ouvrir le fichier PDF.

Fichier pdf ouvert avec le mot de passe hacked

Une fois le fichier PDF ouvert, je récupère le flag qui valide le challenge !

A Friend

Pour cette dernière épreuve, nous avons une archive ZIP, ainsi que la consigne suivante :

My friend has been acting a little weird lately. He sent me a weird message. Can you figure out what's up?

Premièrement, j’extrais l’archive et j’obtiens un document docx. Une fois ouvert je trouve un texte caché (ici en rouge) qui confirme que la personne cache sa localisation quelque part.

Docx, contenant le message caché

Par la suite, après quelques recherches infructueuses sur le docx, je me rends compte que le fichier docx est plus léger que l’archive ZIP

a_friend.zip : 19M | a_friend.docx : 25K

J’en conclus donc qu’il est plus intéressant de fouiller du côté de l’archive directement. Je fais un binwalk et bingo !

Binwalk de l’archive ZIP

Il y’a notamment une image au format PNG. Je l’extrais à l’aide de la commande suivante :

binwalk -D 'png image:png' a_friend.zip

J’ouvre l’image :

Image extraite

Et bim ! J’entre le flag et je valide le dernier challenge.

--

--

French CTF team

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store