Pour commencer notre projet Forensics, il faut tout d’abord trouver l’adresse IP de la machine SH.

Premièrement on doit mettre les deux machines (kali linux et machine SH) en NAT :

Puis sur kali, on doit redémarrer le service réseau car on a modifié les paramètres des cartes réseau
avec la commande :

sudo service network restart

Ensuite pour trouver l’@IP de la machine SH il faut tout d’abord savoir son adresse MAC, donc on
clique sur le bouton droit sur l’entête de cette machine puis, dans l’adaptateur réseau, on clique sur
advanced :

Donc 00 :50 :56 :33 :7E :7C est l’adresse MAC.

Maintenant pour trouver son adresse IP on recourt à l’outils netdiscover pour faire un scan des
machines accessibles : (192.168.58.0 est notre adresse réseau)

sudo netdiscover -r 192.168.58.0

Donc 192.168.58.133 est notre adresse IP qu’on cherche.

On lance un scan nmap pour découvrir les ports ouverts :

nmap -sV -sC 192.168.58.134

D’après ce scan on conclut qu’il y a deux ports ouverts :

 Port 21/tcp : Il s'agit d'un port FTP (File Transfer Protocol) ouvert exécutant vsftpd 3.0.3.

 Port 22/tcp : Il s'agit d'un port SSH (Secure Shell) ouvert exécutant OpenSSH 7.6p1 sur un
système Ubuntu. Il permet un accès distant sécurisé au serveur (Les clés d'hôte SSH pour
RSA, ECDSA et ED25519 sont fournies).

 Port 25/tcp : Il s'agit d'un port SMTP (Simple Mail Transfer Protocol) ouvert exécutant le
serveur SMTP Postfix. Il est utilisé pour la communication par e-mail (Le certificat SSL associé
à ce service est pour un hôte nommé "ubuntu").

 Port 80/tcp : Il s'agit d'un port HTTP ouvert exécutant Apache httpd 2.4.29 sur un système
Ubuntu. Il héberge un serveur web avec le titre "HA: Sherlock".

 Port 110/tcp : Il s'agit d'un port POP3 (Post Office Protocol) ouvert exécutant le serveur POP3
Dovecot. Il est utilisé pour la récupération des e-mails (Le certificat SSL associé à ce service
est pour un hôte nommé "ubuntu").
  Port 143/tcp : Il s'agit d'un port IMAP (Internet Message Access Protocol) ouvert exécutant le
serveur IMAP Dovecot sur un système Ubuntu. Il est utilisé pour l'accès et la gestion des e-
mails (Le certificat SSL associé à ce service est pour un hôte nommé "ubuntu").

 Port 993/tcp : Il s'agit d'un port IMAP SSL chiffré exécutant le serveur IMAP Dovecot.

 Port 995/tcp : Il s'agit d'un port POP3 SSL chiffré exécutant le serveur POP3 Dovecot (Les
certificats SSL des deux ports sont associés à un hôte nommé "ubuntu").

En premier temps, on s’intéresse au port http ouvert, alors on navigue vers http://192.168.58.133 :

Après avoir fait un examen sur la page Web, on découvre ce message, son contenu est « Harshit, un
pirate informatique renommé, est décédé. Son mentor, un inspecteur principal, a réuni une équipe
de spécialistes en forensique pour résoudre le meurtre. »

Ensuite on décide d’examiner la page source ou on trouve un autre message :

D’après l’indice qu’on a trouvé, on sait qu’il y a un ficher mp4 caché (irene.mp4) :
Pour extraire les fichiers cachés dans le fichier irene.mp4, on utilise l’outil oursecret, ainsi pour
installer son fichier exécutable on utilise l’outil wine :

wine oursecret.exe

It didnt work !

On s’intéresse maintenant au port ouvert dédié à pop3 qui est un protocole de communication par e-
mail, avec un outil de crackage de mots de passe comme Hydra, on essaye de brute forcer, on sait
déjà que le nom est Harshit :

hydra -l Harshit -P /usr/share/wordlists/rockyou.txt 192.168.58.133 pop3s

Donc on trouve que le mot de passe est superman.

Maintenant on se connecte au port pop3 :

openssl s_client -connect 192.168.58.133:110 -starttls pop3

On trouve des messages menacant envoyés par le tueur au pirate informatique :
Dans le troisieme message, on remarque le mot epoch qui fait référence à un point spécifique dans le
temps, souvent utilisé comme référence de départ pour mesurer le temps ou dater des événements,
ce qui attire notre attention.

On essaye de convertir epoch en timestamp :

Du coup on trouve 192.168.58.133/1590577329

On trouve les fichiers 10_Points.txt et john.mem, on ouvre le fichier 10_Points.txt :

Et voici 10 points. Maintenant on telecharge le fichier john.mem.

On essaye l’extraction de mémoire avec volatility :

On trouve qu’il a été charge avec notepad :

On dechiffre le text trouvee Thcgpune avec rot13.com:

Du coup on trouve Guptchar.

Maintenant on essaye le port ftp :

Et voici le fichier 10_Points.txt :

Pour analyser le fichier mycroft.001 on recourt a l’outil Autopsy :

On cree une nouvelle case et on remplie les informations comme le nom du case et host, puis on
ajoute l’image :
Notre image est finalement montee et accessible, on appuie sur Analyze :

On remarque qu’il y a un repertoire qui semble important :

Ou on trouve le fichier 10_Points.txt ainsi que hint.jpg et mycroft.png.

On essaye de voir l’image hint.jpg, mais rien ne semble interressant :

Donc on essaye de l’explorer avec l’outil exiftool :

On a rien trouve du coup on decide d’explorer le fichier mycroft.png :

Le nombre 16 attire notre attention, lorsque on convertit 16 en valeur décimale, nous obtenons une
valeur de 22. Cela peut être une astuce pour nous.

Aussi les valeurs en vert attirent notre attention, on essaye de les convertir en texte :

La valeur 22 nous rappel le port ouvert qu’on a déjà trouve, donc on peut utiliser le mot qu’on a
trouve comme username et password, pour faire cela on aura besoin de metasploit avec la
commande :

msfconsole

Vu que le port 22 est un port ssh, on cherche les modules qu’on peut utiliser :

search ssh
On utilise le module : auxiliary/scanner/ssh/ssh_login

On utilise les commandes suivantes :

 msf6 > use auxiliary/scanner/ssh/ssh_login

 msf6 auxiliary(scanner/ssh/ssh_login) > set rhost 192.168.58.133
 msf6 auxiliary(scanner/ssh/ssh_login) > set rport 22
 msf6 auxiliary(scanner/ssh/ssh_login) > set username mycroft
 msf6 auxiliary(scanner/ssh/ssh_login) > set password Khufiya
 msf6 auxiliary(scanner/ssh/ssh_login) > exploit

La commande sessions -l est pour savoir si on a réussi d’avoir une session active.
Nous avons réussi à ouvrir une session sur notre cible puis on essaie de créer une session
meterpreter en nous connectant à la session 2 :

sessions -u 1

On a cree une session meterpreter avec succes. On trouve les documents qu’on veut et on les
telecharge dans /home/jihane/Downloads .

On ouvre le fichier 15_Points.txt :

L'autre fichier que nous avons trouvé est un fichier audio nommé jim.wav. Nous tentons de l’ouvrir
avec Audacity, nous obtenons l'indice qui dit Deep sound.
Lorsque nous ouvrons le fichier jim.wav avec l’outil DeepSound nous remarquons qu'il est chiffré et
nous demande un mot de passe :

Nous utilisons donc le script deepsound2john.py pour convertir le fichier .wav en fichier de hachage.

Puis nous utilisons l'outil John the Ripper pour cracker le mot de passe depuis le hash :

Donc le mot de passe du fichier jim.wav est : poohbear

Maintenant on essaye d’ouvrir jim.wav :

On trouve les fichiers suivants : 15_Points.txt et creds.txt

Le contenu du fichier 15_Points.txt :

Et le contenu du fichier creds.txt :

On remarque qu’il contient un encodage en base 64. Nous le décodons avec :

echo QmhlZGl5YQ== | base64 -d

Maintenent on essaye de se connecter au service ssh avec username : sherlock et password :

Bhediya :
On utilise le commande sudo -l pour lister les privilèges sudo accordés à l'utilisateur sherlock.
Puis La commande sudo bash pour lancer un shell interactif en tant que root ce qui nous donne un
accès complet aux privilèges du root, nous changeons le répertoire et listons le contenu qu'il
contient. Nous trouvons le fichier 25_points.txt dans le répertoire root :

Et finalement on ouvre le fichier final.txt :