# Les Mystères du cluster de la Comtesse de Ségur \[1/2]

**Catégorie:** Forensic - **Difficulté:** Moyen

{% file src="/files/qeNIWo9GZCfZ6fPmCVQ4" %}

**Description:**

<figure><img src="/files/6vE0cPvLgYJWQ0hJSC0M" alt=""><figcaption></figcaption></figure>

**Solution:**

Pour ce challenge, nous avions à disposition une archive contenant des fichiers de log et des dump  de la machine de la victime.\
Nous savons que la machine infectée était un cluster Kubernetes contenant les créations personnelles dérobées par le pirate.

Maintenant il faut donc analyser les fichiers pour en extraire des infos importantes à notre enquête.\
Après analyse des différents fichiers, nous avons différents types de fichier dont un .log, des .dump, un fichier .tar regroupant quelques dossiers racines du Kubernetes et un fichier .LogPath dont nous ignorons son format :&#x20;

<figure><img src="/files/N98IWafwoysJgiPZpsQc" alt="" width="563"><figcaption></figcaption></figure>

En analysant les différents fichiers et le contenu de l'archive .tar nous ne trouvons rien de vraiment intéressant, sauf dans le fichier io.kubernetes.cri-o.LogPath qui contient ce qui a été exécuté sur (ou en arrière plan) de la machine :&#x20;

<figure><img src="/files/AfrEK81vgB2kpLLv7NGK" alt="" width="353"><figcaption></figcaption></figure>

Nous pouvons voir beaucoup de choses intéressantes, comme l'installation d'outil ou la mise à jour de la machine... Mais ce qu'il y a de plus intéressant se trouve vers la fin du fichier (lignes 1271 à 1314) avec ceci :&#x20;

<figure><img src="/files/pWc6icaOLOGoWP68JJTa" alt="" width="563"><figcaption></figcaption></figure>

Nous comprenons qu'il va chercher quelque chose sur cette URL : <https://agent.challenges.404ctf.fr> et qu'il enregistre cela dans un fichier .zip nommé agent.zip.

Lorsque nous nous rendons sur cette URL, un fichier agent.zip est directement téléchargé.\
Nous allons donc voir ce qu'il contient : <br>

<figure><img src="/files/Ml62gVeLevmKFjiC5JBs" alt="" width="563"><figcaption></figcaption></figure>

Il contient un fichier agent (un ELF) et un fichier flag.txt qui est surement très intéressant. Voyons donc son contenu : <br>

<figure><img src="/files/xhfVHxb3VBodL6V6yL3O" alt="" width="563"><figcaption></figcaption></figure>

Nous avons donc le flag et le fichier action (ELF) nous servira surement dans la partie 2/2 (reverse)

<details>

<summary>🚩 FLAG</summary>

```
404CTF{K8S_checkpoints_utile_pour_le_forensic}
```

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://writeups.ayweth20.com/2023/404ctf-2023/analyse-forensique/les-mysteres-du-cluster-de-la-comtesse-de-segur-1-2.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.