Binwalk, dd, strings, pour trouver des fichiers dans un raw et les extraire

 

Nous avons un fichier Acissi_2k18.png mais il se peut que ce fichier contiennent en fait d'autres fichiers cachés...

binwalk Acissi_2k18.png

Nous voyons qu’il y a un .zip après l’image qui contient un .raw

Binwalk v2.1.1
Craig Heffner, http://www.binwalk.org

https://github.com/ReFirmLabs/binwalk/wiki/Usage

avec dd on extrait les 2 fichiers:

dd if=Acissi_2k18.png of=locky.zip bs=21710 skip=1

On dezipp le fichier zip avec 7zip

On trouve un fichier locky.raw

 

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

Strings

Faire un strings sur le fichier pour trouver des bouts de chaine

strings locky.raw | grep BOOT_IMAGE

On trouve “casper/vmlinuz” et en google nous dit que c’est un fichier boot linux Ubuntu

 

 

 

Une question? Posez-la ici

Aide pentest d'applications

On demande à Volatility s’il n’y a pas quelquechose dans ce raw qui ressemble à du Linux banner?

# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_banner

demander à volatility s’il y a du bash history

# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_bash | wc -l

Il donne toutes les commandes du bash:

3660 bash 2017-01-12 08:58:01 UTC+0000 ./init_
3660 bash 2017-01-12 08:58:05 UTC+0000 sudo ./init_
3660 bash 2017-01-12 08:58:26 UTC+0000 sudo su
3660 bash 2017-01-12 08:58:55 UTC+0000 sudo chmod 777 init_
3660 bash 2017-01-12 08:58:58 UTC+0000 ./init_
Demande à volatility les process
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_pstree

Demande à volatility les process
# vol.py -f locky.raw --profile=Linuxubuntu14x64 linux_procdump -D . -p 3704

ca donne les registres processeurs
chaque registre décodé en ascii donne un lettre du flag
FLAG!

 

 

  

Une question? Posez-la ici

Aide pentest d'applications