User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 
Details

 

Analyser l'mage d’une clé USB testdisk undelete

 

file USB_Partition.img

USB_Partition.img: DOS/MBR boot sector, code offset 0x58+2, OEM-ID "mkfs.fat", Media descriptor 0xf8, sectors/track 62, heads 125, hidden sectors 2048, sectors 102400 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 788, serial number 0x8a252437, label: " "

-testdisk
-undelete

 

 

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

avec undelete, on peut retrouver un fichier effacé, comme un keepass par exemple.

On monte le .img dans un repertoire linux et on affiche le contenu

$ mkdir mnt
$ sudo mount USB_Partition.img mnt
$ cd mnt
$ ls -larht

 

Une question? Posez-la ici

Aide pentest d'applications

On voit le contenu de la clé et les repertoires

Le unzip du docX donne un fichier image QRCODE.
Le QRCODE scanné est le password du keypass effacé
Flag!

 

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

 

 

 

Renseigner le résultat dans le champ ci-dessous (Pour concaténation et rapport à la fin)

Analyser, se poser des questions sur le résultat. Noter aussi les remarques sur le résultats s'il semble étrange

et passer à la phase suivante