Binwalk, dd, strings, pour trouver des fichiers dans un raw et les extraire
Nous avons un fichier Acissi_2k18.png mais il se peut que ce fichier contiennent en fait d'autres fichiers cachés...
binwalk Acissi_2k18.png
Nous voyons qu’il y a un .zip après l’image qui contient un .raw
Binwalk v2.1.1
Craig Heffner, http://www.binwalk.org
https://github.com/ReFirmLabs/binwalk/wiki/Usage
avec dd on extrait les 2 fichiers:
dd if=Acissi_2k18.png of=locky.zip bs=21710 skip=1
On dezipp le fichier zip avec 7zip
On trouve un fichier locky.raw
Une question? Posez-la ici
Strings
Faire un strings sur le fichier pour trouver des bouts de chaine
strings locky.raw | grep BOOT_IMAGE
On trouve “casper/vmlinuz” et en google nous dit que c’est un fichier boot linux Ubuntu
Une question? Posez-la ici
On demande à Volatility s’il n’y a pas quelquechose dans ce raw qui ressemble à du Linux banner?
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_banner
demander à volatility s’il y a du bash history
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_bash | wc -l
Il donne toutes les commandes du bash:
3660 bash 2017-01-12 08:58:01 UTC+0000 ./init_
3660 bash 2017-01-12 08:58:05 UTC+0000 sudo ./init_
3660 bash 2017-01-12 08:58:26 UTC+0000 sudo su
3660 bash 2017-01-12 08:58:55 UTC+0000 sudo chmod 777 init_
3660 bash 2017-01-12 08:58:58 UTC+0000 ./init_
Demande à volatility les process
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_pstree
Demande à volatility les process
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_procdump -D . -p 3704
ca donne les registres processeurs
chaque registre décodé en ascii donne un lettre du flag
FLAG!
Une question? Posez-la ici