/ rc3ctf

RC3CTF - Dtrump (FORENSIC400)

Pour ce chall Forensic nous diposons d'un fichier .img
La commande file nous ressort :

file drump.img
dtrump.img: ISO 9660 CD-ROM filesystem data 'CDROM'

On va donc essayer de monter le fichier :

root@zimmer:/home/zimmer/Bureau# mount dtrump.img /tmp/rc3/
mount: /dev/loop1 is write-protected, mounting read-only
root@zimmer:/home/zimmer/Bureau# cd /tmp/rc3/
root@zimmer:/tmp/rc3# ls -l
total 29
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Desktop
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Documents
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Downloads
-r--r--r-- 1 root root 8980 nov.  18 09:29 examples.desktop
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Music
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Pictures
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Public
dr-xr-xr-x 4 root root 2048 nov.  19 00:45 rr_moved
dr-xr-xr-x 3 root root 2048 nov.  19 00:20 secretfiles
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Templates
dr-xr-xr-x 2 root root 2048 nov.  18 23:45 Videos

On repère rapidement le répertoire "secret-files". A l'intérieur de ce répertoire, se trouve 3 fichiers :

  • README.md > supersecret
  • document.txt > passowrd123
  • Workbook1.xlsx.gpg

On pense directement que le flag doit se trouver dans le fichier Workbook1.
Il faut trouvé la clé et déchiffré ce fichier.
Un petit ls -la à la racine du répertoire monté nous ressort le répertoire ".gnupg".

root@zimmer:/tmp/rc3# ls -l .gnupg/
total 17
-r--r--r-- 1 root root 9398 nov.  18 23:47 gpg.conf
-r--r--r-- 1 root root 1059 nov.  18 23:55 pubring.gpg
-r--r--r-- 1 root root  622 nov.  18 23:48 pubring.gpg~
-r--r--r-- 1 root root  600 nov.  18 23:59 random_seed
-r--r--r-- 1 root root 2042 nov.  18 23:55 secring.gpg
-r--r--r-- 1 root root 1280 nov.  18 23:48 trustdb.gpg

La clé secring.pgp à l'air intéressante. On va donc l'importer

gpg --import secring.gpg
gpg --decrypt Workbook1.xlsx.gpg > flag.xlsx

On ouvre le fichier, il nous demande un mot de passe, on essaye "password123" trouvé dans document.txt. Bingo :)
alt
Le flag se trouve dans la feuille 2.

Flag : RC3-2016-SNEAKY21