Post

Lettres_volatile

Posted Updated
Preview Image
By Fxoverflow 1 min read

𝄞 Introduction

Intro

Nous avons Ă  notre disposition un fichier au format zip Ă  analyser.

𝄞 Fichier Zip

Le fichier zip contient plusieurs fichiers.

Files

Notre objectif est d’extraire le contenu du fichier .zip qui est protĂ©gĂ© par un mot de passe. Il existe diffĂ©rentes mĂ©thodes pour “cracker” ou “brute-forcer” le mot de passe d’un fichier .zip, mais cela n’est pas l’objectif de ce dĂ©fi.

𝄞 Solution

J’ai rapidement repĂ©rĂ© le fichier .zip protĂ©gĂ© par mot de passe, situĂ© dans le rĂ©pertoire /C311M1N1/Documents/perso/s3cR37.zip.

J’ai Ă©galement trouvĂ© un fichier .raw trĂšs intĂ©ressant dans le rĂ©pertoire /C311M1N1/Documents/JumpBag/C311M1N1-PC-20230514-200525.raw.

Le titre du dĂ©fi, “Lettres Volatiles”, m’a fait pensĂ© Ă  l’outil Volatility, qui permet d’analyser des dumps de mĂ©moire. J’ai donc dĂ©cidĂ© d’utiliser Volatility sur le fichier .raw.

J’ai utilisĂ© Volatility sur Windows, mais il est Ă©galement possible de rĂ©aliser les mĂȘmes Ă©tapes sur Linux.

𝄞𝄞 Volatility

Notre premier objectif est de dĂ©terminer le profil de l’image en exĂ©cutant la commande suivante :

1

volatility.exe -f C311M1N1-PC-20230514-200525.raw imageinfo

imageinfo

Le profil correspondant à notre image est généralement le premier que nous propose Volatility, donc le profil est Win7SP1x64.

Maintenant que nous avons le profil, nous pouvons utiliser diffĂ©rentes commandes et plugins pour interagir avec cette image. Ayant une grande affection pour Volatility, j’ai immĂ©diatement pensĂ© Ă  utiliser la commande clipboard pour vĂ©rifier s’il y avait du texte dans la mĂ©moire du presse-papiers.

1

volatility.exe -f C311M1N1-PC-20230514-200525.raw --profile=Win7SP1x64 clipboard

clipboard

Nous avons ainsi obtenu le mot de passe du fichier .zip : ‘F3eMoBon8n3GD5xQ’.

À l’intĂ©rieur du fichier .zip, Il y a un fichier PDF contenant le flag Ă  la fin !

flag

𝄞 FLAG : 404CTF{V0147i1I7y_W1Ll_N3v3r_Wr8_loV3_l3ttEr5} 𝄞

𝄞 Conclusion

GrĂące Ă  l’analyse du fichier .raw Ă  l’aide de l’outil Volatility, nous avons pu extraire le mot de passe du fichier .zip et obtenir le flag cachĂ© Ă  l’intĂ©rieur d’un fichier PDF. Ce dĂ©fi mettait en avant l’importance de l’analyse de la mĂ©moire volatile pour la rĂ©solution de problĂšmes de forensic.

404CTF_2023, Forensic_404
Volatility
This post is licensed under CC BY 4.0 by the author.