Cyber 2021/2022 G10 : Différence entre versions

De Wiki d'activités IMA
Ligne 34 : Ligne 34 :
  
 
Ainsi, nous avons pus récupérer le mot de passe (en utilisant photorec) qui était dans un fichier, et ouvrir l'archive pour récupérer le numéro de carte.
 
Ainsi, nous avons pus récupérer le mot de passe (en utilisant photorec) qui était dans un fichier, et ouvrir l'archive pour récupérer le numéro de carte.
 +
 +
'''19/01/2022 : Filsss fait un sssssomme'''
 +
 +
La solution est effectivement quelque chose qui n'est pas technique : c'est un type d'attaque qui ne repose pas sur une faille technique (nous avons vu ceci en cours)

Version du 19 janvier 2022 à 12:10

18/01/2022 Travail sur Flocon

Après beaucoup de recherches (propriétés de la vidéo, messages de débuggage, cookies, erreures, etc) une première piste a été trouvée dans le fond de la vidéo

Première série de bits trouvée dans la vidéo (2 premières minutes déchiffrées, deux sinusoides contiennent les bits)

"101101001000011 ...." etc

Nous ne savons pas encore comment traduire cette suite de bits en phrase

19/01/2022 Espion dans le Bus

En ouvrant le fichier avec wireshark et en utilisant le filtre ((usb.transfer_type == 0x01) && (frame.len==72)) && !(usb.capdata == 00:00:00:00:00:00:00:00), il ne reste que les communications du clavier. On peut retrouver le mot de passe en regardant à quelle touche correspond un packet (caractères 5 et 6 du "Leftover Captured Data")

19/01/2022 : Flocon

En essayant plusieurs bases (7 bits, 8 bits, 9 bits) et essayant plusieurs possibilités (changer le bit de poids fort, en supprimer un dans chaque bloc, .. inverser les 0 et les 1 bit à bit) nous avons finis par trouver un mot, puis un début de phrase.

Nous avons traduit la suite de bits jusqu'à 3:06 de la vidéo, et traduit les packets de 9 bits en code ASCII.

Ainsi, nous avons pus valider la phrase complète une fois un bon début de la phrase décryptée.


19/01/2022 : Travail de Serrurerie

Nous nous sommes renseignés sur les "network block device" et nous avons installé qemu ([1]) pour monter l'image du disque data (située dans l'archive data.zip)

Une fois le disque monté, nous avons pus voir la liste des partitions (nbd0p1 et nbd0p2 dans le dossier /dev à la racine). Après les avoir monté, nous avons pus les parcourir (dans le dossier /mnt à la racine) et découvrir l'archive secret.zip dans la partition Linux nbd0p2, qui demandait un mot de passe pour être ouverte.

Dans cette même partition, il y avait un dossier caché "lost+found", qui est une "poubelle" indiquant que des choses ont été supprimées.

Nous avons cherché à récupérer les fichiers supprimés : nous avons installé le logiciel libre "photorec" qui permet de récupérer des fichiers supprimés.

Ainsi, nous avons pus récupérer le mot de passe (en utilisant photorec) qui était dans un fichier, et ouvrir l'archive pour récupérer le numéro de carte.

19/01/2022 : Filsss fait un sssssomme

La solution est effectivement quelque chose qui n'est pas technique : c'est un type d'attaque qui ne repose pas sur une faille technique (nous avons vu ceci en cours)