Note de bas de page
Last updated
Last updated
CatÊgorie: Forensic - DifficultÊ: Difficile
Description:
Solution:
Pour ce challenge, il faut avoir du temps et de l'imagination. Mais ce challenge reste nÊanmoins très sympathique.
Nous avons à notre disposition un fichier .pst qui est une sauvegarde de mails Outlook. Tout d'abord nous allons donc l'importer dans Outlook pour voir son contenu :
Nous allons inspecter chaque dossier pour essayer de trouver quelque chose d'intÊressant. Il y a 3 mails de Microsoft, 1 brouillon vide, 2 mails de log concernant des erreurs de synchronisation des mails et 1 mail envoyÊ. Dans ce dernier mail, nous voyons qu'elle Êcrit à son ami en mettant en pièce jointe une capture d'Êcran d'un fichier Excel oÚ nous pouvons d'ailleurs voir le dÊbut du flag (en bas à droite) :
La seule chose que nous pouvons faire maintenant c'est passer à l'analyse de l'image pour voir s'il n'y a pas quelque chose cachÊ derrière. Avec l'outil exiftool nous voyons qu'il dÊtecte une erreur de IEND chunck dans l'image :
Avec ghex, nous allons pouvoir analyser ce qu'il se passe :
Nous voyons effectivement qu'il y a un souci car nous avons ÊnormÊment de contenu après la "balise" IEND qui normalement signifie la fin de l'image. D'ailleurs un autre IEND est bien prÊsent à la fin de cette image. Il n'empÃĒche que cela soit vraiment Êtrange d'avoir du contenu ajoutÊ après le IEND. Nous allons donc chercher pourquoi :
Le premier rÊsultat provenant d'un blog à l'air intÊressant. En lisant cet article, nous comprenons très rapidement qu''un bug a ÊtÊ dans un premier temps relevÊ sur les tÊlÊphones portables Pixel puis ensuite sur l'outil Snip & Sketch de Windows. Ce bug fait que lorsqu'une personne prend une capture d'Êcran, la recadre et l'enregistre SUR (ou à la place de) la capture d'Êcran initiale, les donnÊes qui ne sont plus visibles, sont enlevÊes et rajoutÊes après le IEND de la nouvelle image. Ce bug se nomme "Acropalypse" (CVE 2023-21036).
Maintenant que nous avons toutes ces informations, il faut trouver (ou dÊvelopper pour les plus dÊterminÊ(e)s) un outil qui permet de reconstruire l'image originale (avant le recadrage).
Pour ce faire, nous allons aller sur Github et simplement chercher "Acropolypse" pour trouver 17 repos parlant de bug. Tous proposent des outils plus ou moins bien, mais nous il nous faut un outil qui permet de rÊcupÊrer des images faites avec Windows et non seulement avec des tÊlÊphones Pixel. J'ai donc trouvÊ ce repo (après avoir testÊ les autres) qui propose un outil vraiment très intÊressant car nous avons simplement besoin d'uploader l'image et pas besoin de prÊciser les dimensions originales de l'image comme les autres demandaient.
Une fois tÊlÊchargÊ, nous allons lancer l'outil et ouvrir l'image souhaitÊe (la capture d'Êcran du dÊbut) :
Il suffit simplement d'uploader l'image et de sÊlectionner "Windows 11 Snipping Tool" et le rÊsultat est calculÊ automatiquement par l'outil :
Quand nous sauvegardons l'image rÊparÊe, nous pouvons voir le flag complet ainsi que l'Êcran de la personne en gÊnÊral :
Ce challenge Êtait vraiment intÊressant et un grand merci à @Smyler#7078 pour cette crÊation et les dÊcouvertes faites grÃĸce à ce challenge.
