Community Ep3 – Hack The Planet

Challenge terminé

Description :

Joey a disparu… aidez-nous à le retrouver !

Voir la solution

Ouverture du fichier .cap

Les fichiers .cap sont une capture de trafic réseau entre plusieurs machines et s’ouvrent avec Wireshark. Il est possible de filtrer les protocoles en le précisant dans la barre de recherche en haut. Avec un filtre sur le protocole FTP, on remarque un transfert de fichier entre deux machines.

On trouve un utilisateur et un mot de passe.

mwallace:god

En rajoutant -data dans les filtres, deux requêtes intéressantes apparaissent.

 

Exfiltration des données

Il est possible d’extraire les données contenues dans la partie FTP-DATA en choisissant l’option Follow => TCP Stream.

On peut remarquer qu’au début de la transmission, on retrouve l’extension d’un fichier : Rar!

L’affichage des données est par défaut en ASCII, il est possible de changer l’affichage des données et d’utiliser Raw

On enregistre le contenu avec Save as…

Et on renomme le fichier en nom-fichier.rar

Crack de Mot de Passe d’archive avec JTR / Hashcat

On peut essayer d’extraire l’archive avec le mot de passe god trouvé précédemment dans les communications FTP, mais sans succès.

Prochaine étape, la manière forte !

On extrait le hash du mot de passe de l’archive avec rar2john.

Ensuite je récupère juste le hash dans le fichier h-file.txt (vous pouvez passer le fichier h-file.txt directement dans hashcat, mais je n’ai pas procédé de cette manière).

Puis on crack le hash, avec Hashcat. Cet outil utilise le GPU (processeur graphique / carte graphique) lui permettant donc d’être rapide.
Je repasse donc sous windows pour profiter du dit GPU.

Quelques secondes plus tard, on obtient le mot de passe plagueman

Crack de clé privée GPG

En ouvrant l’archive, on récupère 2 fichiers.

Le premier est un fichier .asc, résultat d’un chiffrement par GPG, alors que le second est un fichier .key, très certainement un fichier clé utilisé pour déchiffrer le premier.

En essayant d’utiliser la clé GPG, on voit qu’on nous demande de saisir un mot de passe que l’on ne connaît pas.

Pour le récupérer, il est possible d’utiliser JohnTheRipper et le script gpg2john.

On commence par récupérer le hash du mot de passe avec gpg2john.

Puis on crack le hash avec hashcat et un dictionnaire classique.

 

On trouve donc le mot de passe de la clé privée : hacker

 

Extraction du message

De retour sur GPG, l’import de la clé privée avec le mot de passe est un succès.

On ouvre et déchiffre le message, pour tomber sur une chaine de caractère en Base64. Une fois décodée, celle-ci donne ce qui ressemble fortement à une URL, mais altérée…

Un petit coup de ROT13 sur CyberChef et on trouve une URL valide :

https://raw.githubusercontent.com/kal-u/challenge/main/hackers.jpg

 

Miner l’image

En utilisant exiftool, on peut voir qu’une miniature est disponible pour cette image (propriété Thumbnail Image).

Avec l’option-b -ThumbnailImage , il est possible d’extraire cette miniature et d’inspecter son contenu.

Un code QR est visible sur le tee-shirt de Joey !

En le scannant via votre téléphone, vous récupérez le code de validation du challenge : Hack a Gibson For Fun and Profit

Boîte à outils :

Wireshark

John

CyberChef

Exiftool

Vous êtes prêt ?

Commencez le challenge !

Réponse du challenge

Hack a Gibson For Fun and Profit