🇫🇷 FCSC 2022 – Échec OP – CTF Write up

By : Li_in
FCSC

Échec OP 1/3

L’administrateur de ce serveur a chiffrĂ© son disque
Quelle est la date de la création du système de fichiers en UTC ?
Le flag est au format ISO 8601, tel que dans l’exemple suivant : FCSC{2022-04-22T06:59:59Z}

LUKS skywalker

Le premier challenge ici va ĂŞtre de monter la partition LUKS. Heureusement, c’est quelque chose que j’avais Ă©tĂ© amenĂ© Ă  faire peu auparavant ( car j’avais bidouillĂ© le système de fichier de mon ubuntu).

$ sudo kpartx -av fcsc.raw

$ sudo fdisk -l
$ ls /dev/mapper/ #verifier la presence des mappers

$ sudo cryptsetup luksOpen /dev/mapper/loop17p3  fcsc

$ sudo vgscan
> Found volume group "ubuntu-vg" using metadata type lvm2

$ sudo vgchange -a y ubuntu-vg
> 1 logical volume(s) in volume group "ubuntu-vg" now active

On peut trouver la date de création du système de fichier avec dumpe2fs :

$ sudo dumpe2fs /dev/ubuntu-vg/ubuntu-lv | grep create
> Filesystem created:       Sun Mar 27 05:44:49 2022

Sachant que dumpe2fs retourne l’heure en fonction du fuseau horaire du système, ici UTC+2 (france), on doit donc retirer 2h pour avoir l’heure en UTC+0. Le flag est donc FCSC{2022-03-27T03:44:49Z}

Échec OP 2/3

Retrouvez le mot de passe de l’utilisateur principal de ce serveur. La force ne rĂ©sout pas tout…
Le mot de passe correspond au flag, entouré de FCSC{}, par exemple : FCSC{password}.
Aussi, l’administrateur de ce serveur a chiffrĂ© son disque et le mot de passe est fcsc2022.
$ sudo mount /dev/ubuntu-vg/ubuntu-lv /mnt/fcsc

$ cd /mnt/fcsc

On va ensuite faire un chroot sur la nouvelle partition, et ainsi agir sur cette partition comme si j’Ă©tais l’utilisateur root.

$ sudo chroot /mnt/fcsc/ /bin/bash

Par rĂ©flexe, la première chose qui me vient Ă  l’idĂ©e est de faire un history pour voir les dernières commandes de l’utilisateur root.

$ history
1  exit
2  passwd obob
3  CZSITvQm2MBT+n1nxgghCJ
4  exit
5  ls
6  history

On voit donc ici que l’utilisateur root a changĂ© le mot de passe de obob. Ce qui est Ă©trange c’est la ligne qui se trouve en dessous. J’ai donc tentĂ© avec le flag FCSC{CZSITvQm2MBT+n1nxgghCJ} et BINGO !!

NĂ©anmoins cela est assez Ă©trange puisque le mot de passe demandĂ© par la commande passwd ne s’affiche gĂ©nĂ©ralement pas dans l’historique du terminal.

Sources :

https://tho-le.medium.com/linux-forensics-some-useful-artifacts-74497dca1ab2

https://france-cybersecurity-challenge.fr