# Lettres volatiles

**Catégorie:** Forensic - **Difficulté:** Moyen

Fichier : [Google Drive - Lettres volatiles](https://drive.google.com/drive/folders/1WOU7b58-nxiUyv5AEPDkcKifNnuQk6Vm?usp=share_link)

**Description:**

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2FbDGfnU2DYXyVJrek4uKo%2Fimage.png?alt=media&#x26;token=c1ff8a2c-b903-4e9b-bc6a-a81b2cbd3465" alt=""><figcaption></figcaption></figure>

**Solution:**

Pour ce challenge, il faut d'abord réussir à trouver quelque chose d'intéressant parmi tout les fichiers présents dans le .zip. Pour ce faire nous pouvons utiliser la commande `tree` et voir l'arborescence de notre dossier dézippé :&#x20;

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2F82D6gvk85KzJq2sSikX1%2FLettresVolatiles.png?alt=media&#x26;token=1aa067bf-45ec-45ae-8d50-915c1c49b6da" alt="" width="375"><figcaption><p>Il s'agit des résultats les plus intéressants</p></figcaption></figure>

Nous voyons donc que certains fichiers sont mis en avant avec des colorations différentes de celle des autres fichiers.\
Par curiosité nous allons checker les fichiers *fl4g.svg* et *flag.png*, qui bien entendu sont des fausses pistes mises ici pour nous piéger ^^

En remontant un peu plus, nous voyons un fichier *s3cR37.zip*. Quel nom spécial pour cacher quelque chose.\
En essayant de dézipper ce fichier, un mot de passe nous est demandé bien évidemment : <br>

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2FvuBmj1g7HWwFJgDWH9ky%2Fimage.png?alt=media&#x26;token=f15ff3ed-af8a-4c41-8146-9c1ea9c8acc1" alt="" width="305"><figcaption></figcaption></figure>

Nous testons avec John et la liste Rockyou mais ça ne matche pas...

Dans ce cas là, nous allons devoir regarder un peu plus les fichiers présents. En remontant un peu dans les résultats de la commande `tree`, nous voyons qu'il y a une image disque dans le dossier *Documents/JumpBag* nommée *C311M1N1-PC-20230514-200525.raw*.

Afin d'analyser cette image disque, nous allons utiliser l'outil [Volatility 2](https://github.com/volatilityfoundation/volatility) (et non la pas la V3 qui ne fonctionne pas très bien).\
Comme à chaque analyse de disque, il faut procéder par étapes :&#x20;

1\) Récupérer le profil (suggéré) de la machine :&#x20;

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2FmLjQ6Snrz0bHWcEJofxc%2Fimage.png?alt=media&#x26;token=6ebd5ef2-6a29-4347-9e76-f1086c7c52e8" alt=""><figcaption></figcaption></figure>

Nous découvrons qu'il s'agit d'une Windows 7 ou 8 en version 64bits. Maintenant nous allons pouvoir réellement commencer les investigations.

2\) Regarder les processus lancés et faire des recherches sur les "suspects" :&#x20;

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2FAR4bk2dSsKxtPSLPSMGf%2FProcess.png?alt=media&#x26;token=4bdc1ac1-297f-47f2-b371-2194aaee7426" alt="" width="375"><figcaption></figcaption></figure>

Ici pas de processus suspect, donc nous allons réfléchir à ce que nous cherchons pour essayer de trouver le bon endroit où chercher.\
Ici nous cherchons le mot de passe du fichier .zip trouvé plus tôt. Dans quoi pourrions nous le trouver ? Les logs du processus du programme des fichiers .zip (7-zip) ? Ce qui a été mis dans un bloc note ? Ce qui a été copié (presse-papier) ? Nous allons voir cela :&#x20;

Rien à récupérer ici (dans un bloc note) :&#x20;

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2Fr9wHeMP2QzXMjCscBNoa%2Fimage.png?alt=media&#x26;token=6560db51-1bc4-4cc0-bcb8-430c91cbf3de" alt=""><figcaption></figcaption></figure>

Par contre dans ce qui a été copié (clipboard) nous pouvons voir quelque chose de très intéressant

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2FZxHcpPz4jMJRxpPsSCf5%2Fimage.png?alt=media&#x26;token=221a3399-6ae1-4e8f-8e66-4a202290ecf6" alt=""><figcaption></figcaption></figure>

Nous récupérons le mot de passe du fichier .zip précédent. Ce que nous pouvons faire maintenant c'est récupérer le pdf contenu dans le fichier .zip :&#x20;

<figure><img src="https://4219205392-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fybn4btwQnvitOl9uXz9p%2Fuploads%2F6B9fgno6GAFAhJuygysr%2Fimage.png?alt=media&#x26;token=884d31ca-3922-4a3b-a97f-9e3a1faede3a" alt=""><figcaption></figcaption></figure>

Nous voyons donc le contenu du pdf mais surtout le flag en bas de page.

<details>

<summary>🚩 FLAG</summary>

```
404CTF{V0147i1I7y_W1Ll_N3v3r_Wr8_loV3_l3ttEr5}
```

</details>