Apprenti Carver [1/2]

Catégorie: Analyse forensique - Difficulté: Intro

Description:

Solution:

L'auteur de ce challenge nous mets à disposition un fichier de type .ova qui est un fichier contenant une VM. Il nous donne les creds de login si jamais nous voulons lancer la machine en GUI, mais cela est risqué car il se peut que pendant l'initialisation, des données soient écrasées.

Pour contrer cela, nous allons directement extraire le disque de cette machine avec l'outil WinRar ou une ligne de commande comme s'il s'agissait simplement d'une archive. Cela nous donne accès à 3 fichiers, dont celui qui nous intéresse :

Une fois que nous avons récupéré ce disque .vmdk, nous allons l'analyser avec Autopsy qui nous permettra de naviguer sur le disque comme s'il était sur notre machine. Étant donné qu'il est question de l'utilisateur root, nous allons directement voir ce qu'il a exécuté :

Et nous trouvons notre précieux 🎉

404CTF{hyp3rv1s0r_f0r_l1f3}