Weird Shell Catégorie : forensics Difficulté : ⭐ Énoncé Un autre utilisateur a un comportement similaire à La gazette de Windows (catégorie intro). Mais cette fois, pour retrouver ce qui a été envoyé à l’attaquant il faudra peut-être plus de logs. SHA256(Microsoft-Windows-PowerShell%4Operational.evtx) = 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc SHA256(Security.evtx) = 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689 Solve On verifie l’intégrité des fichiers de logs : 1 2 3 4 5 6 7 8 sha256sum Microsoft-Windows-PowerShell4Operational.evtx | grep 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc Microsoft-Windows-PowerShell4Operational.

The Lost Key Difficulté : Facile Auteur: Zeecka Énoncé La clé USB d’un terroriste normand a été récupérée. Investiguez son support pour l’empêcher de passer à l’acte ! Solve 1 2 tar xzvf the_lost_key.tar.gz the_lost_key.img Un file & fdisk pour obtenir des informations sur le dump : 1 2 file the_lost_key.img the_lost_key.img: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x4,4,1), end-CHS (0x3ff,254,2), startsector 2048, 3909632 sectors 1 2 3 4 5 6 7 8 9 10 fdisk -l the_lost_key.

Pas Un Bon Nom Difficulté : Facile Énoncé J’étais là tranquillou sur mon PC, m’voyez ? Je télécharge des films et tout, m’voyez ? Et alors il y a ce message étrange que je dois payer Dogecoin pour > déchiffrer mes données. Je ne l’ai pas fait… donc maintenant mes données sont chiffrées :( Donc tiens, prends le disque dur, c’est pas comme si il était utile maintenant… Sauf si c’était possible de retrouver la clé utilisée par ce méchant hacker, m’voyez ?

Vivre pas cher Difficulté : Moyen Énoncé Notre serveur a été piraté. C’est une évidence. Ils dévoilent notre code source sans arrêt, dès que nous le mettons à jour. Vous devez trouver l’origine de cette backdoor dès que possible. Annie Massion, Services postaux Solve monter l’image : 1 2 3 sudo modprobe nbd sudo qemu-nbd -r -c /dev/nbd1 cheap-life.img sudo mount -o ro,noload /dev/nbd1p1 /mnt/tmp Solve 1 On cherche une backdoor :

Des deux côtés Auteur: Worty Format : BZHCTF{} Partie 1/2 Énoncé Voir les deux côtés de quelque chose, c’est toujours bon non? Vous êtes une APT et un de vos collègues a volé une machine chez une entreprise du CAC40, malheureusement, celle-ci ne veut plus démarrer.. Votre collègue étant un hacker en herbe, il a pensé à faire un dump mémoire avant que la machine rende l’âme ! Retrouvez le fichier qui contient des données confidentielles dans ce dump mémoire !

La livraison de pizza Enoncé Un nouvel employé travaille tranquillement à son bureau, quand quelqu’un se présente devant pour ‘Livraison de galettes saucisses’. Il est nouveau, mais il se dit qu’en Bretagne, après tout, cela doit arriver. Il est donc venu dans votre bureau vous demandez si vous aviez commandé, mais votre réponse est non. Il revient tout paniqué en vous disant que son anvitirus a enregistré un traffic USB inhabituel.