Echec OP 1/3 (Forensics) - FCSC2022

Echec OP 1/3 (Forensics) - FCSC2022

Principe:
Montrer une image de partition et en trouver une méta donnée (date de création)

Le challenge

Le challenge demande de trouver des informations issues d'une image disque

fdisk

L'image disque est dispo ici (elle est identique entre les challenges Echec OP)

Calculer le MD5 d'un fichier raw de 10G, c'est long, alors, j'ai calculé le MD5 que du début

On trouve l'offset de la partition fdisk -l fcsc.raw
Et on monte les partitions sudo mount -o ro,loop,offset=$((512*4096)) fcsc.raw ./fcsc2022

ro pour Read Only, histoire de ne pas changer le contenu monté par mégarde
offset correspond à sectorSize * Start position

Deux échouent, l'une car il s'agit de la BIOS boot, et l'autre car elle est chiffrée (LUKS)

losetup

On change d'outil et on part sur losetup
On se retrouve avec les deux partitions de données montées, dont une chiffrée
Quand on essaie d'ouvrir la partition chiffrée (dont on a le mot de passe fcsc2022), nautilus plante

J'ai alors cru qu'il faudrait patcher l'image, ou qu'elle était corrompue d'une manière ou d'un autre, mais en fait, non

En revenant sur "autres emplatements", puis en réouvrant la partition, là, nautilus ne plante plus

La date de création

Un clic droit, et on a la date de création avec l'heure, mais le flag était refusé!
Sauf qu'il fallait l'entrer en UTC, et que la date affichée par nautilus est en UTC+2
FCSC{2022-03-27T03:44:49Z}

↩ Retour à la liste des challenges