Weird Shell Category: forensics Difficulty : ⭐ States Another user has similar behavior to Windows Gazette (intro category). But this time, to find what was sent to the attacker, you may need more logs. SHA256(Microsoft-Windows-PowerShell%4Operational.evtx) = 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc SHA256(Security.evtx) = 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689 Solve We check the integrity of the log files : 1 2 3 4 5 6 7 8 sha256sum Microsoft-Windows-PowerShell4Operational.evtx | grep 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc Microsoft-Windows-PowerShell4Operational.evtx sha256sum Security.evtx | grep 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689 Security.

The Lost Key Difficulty: Easy Author: Zeecka States The USB key of a Norman terrorist has been recovered. Investigate his support to prevent him from taking action! Solve 1 2 tar xzvf the_lost_key.tar.gz the_lost_key.img A file & fdisk to get information about the dump : 1 2 file the_lost_key.img the_lost_key.img: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x4,4,1), end-CHS (0x3ff,254,2), startsector 2048, 3909632 sectors 1 2 3 4 5 6 7 8 9 10 fdisk -l the_lost_key.

Pas Un Bon Nom Difficulté : Facile Énoncé J’étais là tranquillou sur mon PC, m’voyez ? Je télécharge des films et tout, m’voyez ? Et alors il y a ce message étrange que je dois payer Dogecoin pour > déchiffrer mes données. Je ne l’ai pas fait… donc maintenant mes données sont chiffrées :( Donc tiens, prends le disque dur, c’est pas comme si il était utile maintenant… Sauf si c’était possible de retrouver la clé utilisée par ce méchant hacker, m’voyez ?

Vivre pas cher Difficulté : Moyen Énoncé Notre serveur a été piraté. C’est une évidence. Ils dévoilent notre code source sans arrêt, dès que nous le mettons à jour. Vous devez trouver l’origine de cette backdoor dès que possible. Annie Massion, Services postaux Solve Mount the image : 1 2 3 sudo modprobe nbd sudo qemu-nbd -r -c /dev/nbd1 cheap-life.img sudo mount -o ro,noload /dev/nbd1p1 /mnt/tmp Solve 1 We are looking for a backdoor :

Des deux côtés Auteur: Worty Format : BZHCTF{} Partie 1/2 Énoncé Voir les deux côtés de quelque chose, c’est toujours bon non? Vous êtes une APT et un de vos collègues a volé une machine chez une entreprise du CAC40, malheureusement, celle-ci ne veut plus démarrer.. Votre collègue étant un hacker en herbe, il a pensé à faire un dump mémoire avant que la machine rende l’âme ! Retrouvez le fichier qui contient des données confidentielles dans ce dump mémoire !

La livraison de pizza Enoncé Un nouvel employé travaille tranquillement à son bureau, quand quelqu’un se présente devant pour ‘Livraison de galettes saucisses’. Il est nouveau, mais il se dit qu’en Bretagne, après tout, cela doit arriver. Il est donc venu dans votre bureau vous demandez si vous aviez commandé, mais votre réponse est non. Il revient tout paniqué en vous disant que son anvitirus a enregistré un traffic USB inhabituel.