Académique Documents
Professionnel Documents
Culture Documents
Les étapes
Pour trouver l’adresse IP de la machine Pentest & forensics SH, on commence par une
découverte réseau.
D’abord, pour que les machines (la machine forensics et votre Kali par exemple) soient
visibles, pensez à les mettre en bridge.
N’oubliez pas de redémarrer le service réseau si vous modifier les paramètres des cartes
réseau notamment :
« Sudo service netwrking restart ».
Ensuite, lancer l’outil netdiscover par exemple pour faire un scan des machines
accessibles, avec Sudo Netdiscover –r ton_adresse_réseau, par exemple :
La machine SH doit être dans les résultats de netdiscover. Vérifier d’ailleurs grâce à
l’adresse MAC. Pour avoir une idée sur l’adresse MAC de la machine SH, clicker
boutton droit sur l’entête de cette VM puis, aller dans l’adaptateur réseau, puis
« advanced » …
Avec l’outil nmap (disponible sous Kali mais aussi téléchargeable pour
Windows), quels sont les ouverts sur notre machine cible.
Nous nous intéressons en premier au port HTT P ouvert, nous recherchons l'adresse IP cible
dans notre navigateur.
Nous trouvons sur la machine les informations selon lesquelles un pirate informatique
célèbre a été tué ainsi que les indices sur le tueur.
Inspectez le code source HTML de la page pour voir s'ily a plus d'indices.
Vous allez trouver un commentaire laissé par oublie par le progeammeur
de la page. Dans la réalité, avant de passer en mode « production », le code
source doit être purgé …
Ce commentaire vous donnera des indications …. A explorer …
Deux mots pourraient attirer votre attention. Lorsque vous combinez les deux
ensembles dans notre navigateur, vous aller trouver une vidéo …
Vous pouvez remarquer qu'il s'agit d'un mot de passe chiffré avec du code Morse.
Copions et collons l'indice que nous avons obtenu d'un site de traduction de
code morse en ligne en tapant le traducteur de code morse dans notre
navigateur.
EPOCH; Dans les systèmes informatiques, une heure de début est déterminée pour
l'horloge système. L'horloge système est conservée comme le temps écoulé depuis cette
heure de début. Ce début, le temps de référence, s'appelle l'époque.
Après avoir trouvé les informations de profil, examinons les processus en cours
d'exécution.
Nous avons trouvé une note ....... Cela ressemble à un texte chiffré. Quand on regarde les
techniques de déchiffrement, il semble être chiffré avec rot13.
Par ailleurs, un de nos ports ouverts est le service ftp. Nous avons besoin d'un nom
d'utilisateur et d'un mot de passe pour nous connecter au protocole FTP. Nous essayons
les mots que nous trouvons comme nom d'utilisateur et mot de passe.
Nous cliquons sur le bouton Ajouter sans forcément modifier lesparamètres par défaut.
Nous cliquons sur le fichier 10_Points.txt. Ici, nous avons 10points de plus! Nous avons
45 points au total.
Nous venons d'en apprendre un peu plus sur la nature de l’image mais Il n'y a
malheureusement pas de drapeau. Nous décidons de revenir au fichier mycroft.png
trouvé dans Autopsy.
Les valeurs en vert ont également retenu notre attention, et peuvent éventuellement
contenir un mot de passe ou un indice. Nous recherchons un outil ou site qui convertit
l’hexadécimale au format texte.
Après ces conversions des valeurs colorées (vert et rouge) de l’image mycroft.png, nous
avons un chiffre « 22 » et un mot.
Le chiifre trouvé rappelle le numéro d’un port en toute évidence. Nous pouvons ainsi
d’ouvrir une session sur le service qui tourne sur ce port via Metasploit .
Nous pouvons essayer les mots trouvés comme nom d'utilisateur et mot de passe.
Ouvrons maintenant msfconsole , puis utilisons l’exploit qui vous semble adapté.
Le résultat est encourant, nous avons réussi à ouvrir une session sur notre cible :
Nous utilisons l'outil John the Ripper par exemple pour cracker le mot de passe du fichier
audio, en utilisant notamment le dictionnaire « rockyou.txt ».
Nous pouvons ouvrir le programme et rentrer le mot de passe trouvé après la crackage du
hash. Nous trouvons le fichier 15_Points.txt, mais aussi « creds.txt » cachés dans le fichier
audio.
Nous téléchargeons des fichiers cachés. Et nous avons obtenu 15 points de plus! Nous avons à ce stade 75
points au total.
Nous revenons à la session ssh ouverte dans la phase précédente grâce à metasploit
meterpreter ; puis nous essayons de se connecter …..
Nous trouvons le fichier 25_points.txt dans le répertoire root. Nous l’ouvrons bien sûr !
Projet Forensics SH – Pas à pas
Nous avons obtenu nos 100 points au total, notre investigation est donc terminée avec
succès !