Principe:
Recherche, dans les events Windows, la connexion, l'élevation de privilèges, la persistence et la phase d'exécution d'une machine compromise
Infos (cf menu latéral):
🚩 Flaggué! +100 points gagnés —
💾 Téléchargez les fichiers du challenge
404CTF{10.66.77.88-4444-svc-x-WinUpdate_Check_75312-1747245628-Administrateurs}
Le challenge
Sans viewer?
Event viewer
libevtx-utils comme viewer
Étape par étape
Un élément en revanche n'est pas clair: timestamp. Mais de lequel? Le moment d'éxécution de la tâche? Sa création? La première compromission de la machine? On verra plus tard si cela s'éclaircit…
Remonter le fil
De cela, on tire toutes les informations du flag: IP et port de la machine qui s'est connectée (IP et port distants donc, pas ceux de la machine compromise car ces informations n'ont pas grand intérêt), nom de l'utilisateur sur la machine (là, étonnant d'avoir un - car ce caractère sert aussi de "séparateur" dans le flag, mais bon), nom de la tâche, et groupe auquel l'utilisateur a été rajouté (on retrouve l'information dans un autre évent concernant svc-x)
Il nous manque quand même le timestamp. Pour le coup, j'ai demandé à un admin s'il pouvait clarifier ce point. N'ayant eu qu'une réponse vague, histoire qu'il ne m'aiguille pas, j'ai tenté une première valeur: la date de première compromission sur la machine (la connexion au compte)
Comme l'admin m'avait évoqué qu'il s'agissait de la "date pivot", je tente alors un autre timestamp: celui de création de la tâche. En effet, cela s'azpproche le plus du "pivot" évoqué. Personnellement, je trouve que le timestamp le plus important aurait été la compromission sur la machine (connexion réussie) puis l'élevation de privilège (2e timestamp important), puis l'exécution du payload en lui-même (3e timestamp important). Je n'aurai placé la persistence qu'en 4e place.
Flag: 404CTF{10.66.77.88-4444-svc-x-WinUpdate_Check_75312-1747245628-Administrateurs}