Outils d'utilisateurs
Ici, le but est de trouvé combien de bitcoin nous nous sommes fait voler. On nous fournit un fichier, HoldUp.img, de 16Mo.
La commande file nous apprend qu'il s'agit d'une image de type ext3 :
Il ne nous reste plus qu'à monter cette image avec la commande mount : mount -t ext3 Holdup.img ./MountFile
En explorant le point de montage nous trouvons un seul et unique fichier, une archive au format .zip. Après extraction nous nous retrouvons avec un dossier contenant 16387 fichiers portant l'extension .tc et un script python “splitter.py”.
Regardons le script de plus prêt, voici sont contenu :
import time
import hashlib
fic = open('CoinSteal.tc','r')
res = fic.read()
for i in range(16384):
time.sleep(2)
fic2 = open('coins/'+hashlib.md5(str(time.time())).hexdigest()+'.tc','wb')
index_deb=i*512
index_fin=index_deb+512
fic2.write(res[index_deb:index_fin])
fic2.close()
fic.close()
Nous pouvons voir qu'il s'agit d'un script qui a servit à découper un fichier en plusieurs sous fichiers, avec une temporisation de 2 ms entre chaque tour de boucle. Nous allons donc reconstruire le fichier original en listant tous les fichiers par date de création (grâce à l'option –full-time qui permet d'afficher les millisecondes) que nous enverrons ensuite à awk pour ne prendre que le nom des fichiers et on redirige le tout.
for file in $(ls -ltr –full-time | awk '{print $9}'); do cat $file » ../concat; done;
Nous nous retrouvons alors avec un fichier de 8Mo avec l'extension .tc : truecrypt. Nous utilisons maintenant truecrack pour tenter de crack tout ça, avec un dictionnaire anglais car tout est en anglais dans les épreuves.
truecrack -t concat -w dico
Et il nous trouve le mot de passe “iloveyou”.
Nous utilisons maintenant truecrypt pour décoder le tout et nous obtenons un fichier .obs que nous ouvrons avec LibreOffice. Le flag est dans un des onglet du fichier. :)
