Projet Pentest & Forensics

Anas ABOU EL KALAM

Projet Forensics SH – Pas à pas

 Procédure pas à pas pour
l’investigation numérique
sur la machine SH
Dans ce TP, nous allons résoudre la machine SH. Il s'agit d'atteindre l'objectif de
100points en collectant des points progressivement. C'était une machine instructive
qui utilise des examens et des outils pentest & Forensics (médico-légaux):

Les étapes

1. Etape 1 : Découvrir l’adresse IP de la machine SH

2. Etape 2 : Découvrir les ports ouverts …
3. Etape 3: Le http et code source, un réflexe pour débuter …
4. Etape 4 : La stéganographie, une image peut cacher des choses ….
5. Etape 5 : Bruteforcer l’e-mail ….
6. Etape 6 : Analyse timestamp ….
7. Etape 7 : Le live Forensics – Analyse de la mémoire vive ….
8. Etape 8 : Autopsy, l’incounournable de l’analyse des images disque
9. Etape 9 : Metasploit, pour le pentest et pour le Forensics
10. Etape 10 : Analyse des fichiers son, écouter, lire, puis cracker …. ….

Etape 1 : Découvrir l’adresse IP de la machine SH

Pour trouver l’adresse IP de la machine Pentest & forensics SH, on commence par une
découverte réseau.
D’abord, pour que les machines (la machine forensics et votre Kali par exemple) soient
visibles, pensez à les mettre en bridge.
N’oubliez pas de redémarrer le service réseau si vous modifier les paramètres des cartes
réseau notamment :
« Sudo service netwrking restart ».
Ensuite, lancer l’outil netdiscover par exemple pour faire un scan des machines
accessibles, avec Sudo Netdiscover –r ton_adresse_réseau, par exemple :

La machine SH doit être dans les résultats de netdiscover. Vérifier d’ailleurs grâce à
l’adresse MAC. Pour avoir une idée sur l’adresse MAC de la machine SH, clicker
boutton droit sur l’entête de cette VM puis, aller dans l’adaptateur réseau, puis
« advanced » …

Projet Forensics SH – Pas à pas

Etape 2 : Découverte de services
Nous avons trouvé notre adresse IP cible; dans mon cas c’est 192.168.109.144
(remplacer avec l’adresse IP de la machine SH sue vous avez trouvé). Nous lançons
maintenant un scan nmap pour voir les ports ouverts sur cette machine cible.En effet,
l’adresse IP et les numéros de ports sont les seuls points / moyens d’accès et
communication avec la machine cible pour le moment :

Avec l’outil nmap (disponible sous Kali mais aussi téléchargeable pour
Windows), quels sont les ouverts sur notre machine cible.

Etape 3 : Le http et code source, un réflexe pour débuter …

Nous nous intéressons en premier au port HTT P ouvert, nous recherchons l'adresse IP cible
dans notre navigateur.

Projet Forensics SH – Pas à pas

 Après un examen de la page Web affichée par le serveur,nous voyons le texte suivant au
bas de la page :

Nous trouvons sur la machine les informations selon lesquelles un pirate informatique
célèbre a été tué ainsi que les indices sur le tueur.
Inspectez le code source HTML de la page pour voir s'ily a plus d'indices.
Vous allez trouver un commentaire laissé par oublie par le progeammeur
de la page. Dans la réalité, avant de passer en mode « production », le code
source doit être purgé …
Ce commentaire vous donnera des indications …. A explorer …

Etape 4 : La sténographie – une vidéo peut cacher des choses …

Deux mots pourraient attirer votre attention. Lorsque vous combinez les deux
ensembles dans notre navigateur, vous aller trouver une vidéo …

Projet Forensics SH – Pas à pas

 Il est possible que des données soient cachées dans la vidéo. Vous pouvez utiliser un
programme de sténographie pour les mp4, par exemple OurSecret (par exemple,
disponible à https://oursecret.soft112.com/ ou sur
https://www.download3k.fr/DownloadLink2-securekit.net-Steganography.html )
pour analyser toutes les données qui peuvent éventuellement être cachées dans la vidéo.

Vous pouvez constater que la vidéo est chiffrée.

Vous pouvez passer à un autre port ouvert, le service

ssh par exemple.

Vous pouvez remarquer qu'il s'agit d'un mot de passe chiffré avec du code Morse.

Copions et collons l'indice que nous avons obtenu d'un site de traduction de
code morse en ligne en tapant le traducteur de code morse dans notre
navigateur.

Vous allez trouver votre mot de passe ….

Entrons maintenant dans notre programme de stéganographie (e.g., OurSecret) et

saisissons le mot de passe que nous avons trouvé pour le fichier irene.mp4.

Projet Forensics SH – Pas à pas

 Ici, nous voyons que nous avons capturé notre premier drapeaude 15 points.
cat 15_Points.txt

Etape 5 : La bruteforce pour l’e-mail …

Passons au service open pop3 que nous avons trouvé ouvert grâce à nmap. Pop3 est un
protocole de communication par e-mail. Avec un outil de crackage de mots de passe
comme Hydra, nous pouvons effectuer des attaques par force brute ou par dictionnaire
sursur pop3 notamment. Nous avons le nom Harshit, nous essayons la force brute sur
cet utilisateur / login.
….

Suite à cela, vous allez trouver le mot de passe de l'utilisateur Hashit :

Connectons-nous maintenant au port pop3 avec ces login / mot de passe.

openssl s_client -connect 192.168.109.144:110 -starttls pop3

Projet Forensics SH – Pas à pas

 retr1
Il y a des messages menaçants envoyés par le tueur au pirate informatique. Voyons s'il
ya d'autres messages envoyés.
retr2 -> nous regardons le deuxième répertoire de messagerie.

Les messages menaçants continuent.

retr3-> Nous examinons le troisième répertoire de messagerie. , Le tueur a envoyé un

e-mail à Harshit où il a été menacé le «27 mai 2020, 11 février 2020» et le mot « epoch »
attire notre attention.

EPOCH; Dans les systèmes informatiques, une heure de début est déterminée pour
l'horloge système. L'horloge système est conservée comme le temps écoulé depuis cette
heure de début. Ce début, le temps de référence, s'appelle l'époque.

Nous avons un temps de référence, l'époque. Nous allons maintenant

convertir cet horodatage en une valeur numérique sous forme de
« timestamp ». Nous convertissons la date indiquée par le tueur dans l'e-
mail en valeur numérique.

Projet Forensics SH – Pas à pas

 Lorsque nous recherchons la valeur numérique convertie avec l'adresse IP de la machine
cible dans le navigateur, nous trouvons les fichiers 10_Points.txt et john.mem.

Nous ouvrons le fichier texte. Ici, nous avons 10 points de plus!

Etape 7 : Le live Forensics – Analyse de la mémoire vive …

Nous téléchargeons également le fichier john.mem que nous avons trouvé. Nous pouvons
comprendre qu'il s'agit d'un fichierde capture de la mémoire, c'est-à-dire d'un fichier
image RAM. Nous utilisons le logiciel linux volatility pour l'analyse de cette image /
capture de la RAM.

Après avoir trouvé les informations de profil, examinons les processus en cours
d'exécution.

Nous constatons qu’un fichier a été chargé avec bloc note.

Nous avons trouvé une note ....... Cela ressemble à un texte chiffré. Quand on regarde les
techniques de déchiffrement, il semble être chiffré avec rot13.

Nous trouvons que le texte chiffré …..

A ce niveau, vous avez un nom d'utilisateur et un mot de passe …

Par ailleurs, un de nos ports ouverts est le service ftp. Nous avons besoin d'un nom
d'utilisateur et d'un mot de passe pour nous connecter au protocole FTP. Nous essayons
les mots que nous trouvons comme nom d'utilisateur et mot de passe.

Nous voyons les fichiers 10_Point.txt et mycroft.001 à l'intérieur. Nous téléchargeons

les fichiers.

Projet Forensics SH – Pas à pas

Nous avons 10 points de plus! Nous avons 35 points au total. Nous continuons.

Etape 8 : Autopsy, l’incounournable de l’analyse des images disque

Analysons le fichier mycroft.001 que nous avons trouvé à l'aidede l'outil Autopsy.
Nous appuyons sur le bouton Nouveau cas.

Projet Forensics SH – Pas à pas

 Nous remplissons des informations telles que le nom du cas etcliquons sur le bouton
Nouveau cas.

Nous continuons en cliquant sur le bouton Ajouter un hôte.

Puis préciser son nom, description et autres paramètres éventuellement …

Projet Forensics SH – Pas à pas

Nous cliquons sur le bouton Ajouter une image pour créer uneimage du fichier que nous
avons trouvé.

Cliquons ensuite sur le bouton Ajouter un fichier image.

Projet Forensics SH – Pas à pas

Nous ajoutons le chemin absolu du fichier image et précisant s’il s’agit d’une partition
ou disque. Nous sélectionnons la section de partition et disons suivant.

Nous cliquons sur le bouton Ajouter sans forcément modifier lesparamètres par défaut.

Projet Forensics SH – Pas à pas

 Notre image (à analyser) est maintenant montée et est accessible comme un
« lecteur ». Nous appuyons sur « Analyser » pour commencer les investigations.

Projet Forensics SH – Pas à pas

 Dans la section « File analysis », nous sommes intrigués par l’existence d’un répertoire
Important que vous allez essayer d’explorer.

Nous y trouvons les fichiers 10_Points.txt, hint.jpg, mycroft.png.

Nous cliquons sur le fichier 10_Points.txt. Ici, nous avons 10points de plus! Nous avons
45 points au total.

Projet Forensics SH – Pas à pas

Etape 9 : Metasploit, pour le pentest et pour le Forensics
Nous cliquons sur le fichier image, mais a priori, aucune information significative pour
nous aider n’a pu être obtenue.

Nous décidons d’explorer plus en téléchargeant l'image et l’analyser en détail. Nous

utilisons l'outil Exiftool pour obtenir plus d'informations sur l'image.

Nous venons d'en apprendre un peu plus sur la nature de l’image mais Il n'y a
malheureusement pas de drapeau. Nous décidons de revenir au fichier mycroft.png
trouvé dans Autopsy.

La valeur 16 en rouge a retenu notre attention. Lorsque vous convertissez 16 en valeur

décimale, nous obtenons une valeur de 22. Cela peut être une astuce pour nous.

Les valeurs en vert ont également retenu notre attention, et peuvent éventuellement
contenir un mot de passe ou un indice. Nous recherchons un outil ou site qui convertit
l’hexadécimale au format texte.

Après ces conversions des valeurs colorées (vert et rouge) de l’image mycroft.png, nous
avons un chiffre « 22 » et un mot.

Le chiifre trouvé rappelle le numéro d’un port en toute évidence. Nous pouvons ainsi
d’ouvrir une session sur le service qui tourne sur ce port via Metasploit .

Nous pouvons essayer les mots trouvés comme nom d'utilisateur et mot de passe.

Ouvrons maintenant msfconsole , puis utilisons l’exploit qui vous semble adapté.

Le résultat est encourant, nous avons réussi à ouvrir une session sur notre cible :

session -u 1 -> Nous sommes connectés à la machine avec la session 1.

Créons une session meterpreter en nous connectant à la session2-> session2.

Projet Forensics SH – Pas à pas

 Nous y trouvons des fichiers 15_Points.txt et jim.wav ; nous décidons de les télécharger.

A ce niveau, nous obtenons 15 points de plus !

Etape 10 : Analyse des fichiers son, écouter, lire, puis cracker ….

L'autre fichier que nous avons trouvé est un fichier audio nommé jim.wav. Nous
tentons de l’ouvrir avec Audacity. Ce dernier est en effet un logiciel d'enregistrement
de son numérique et d'édition de sources audionumériques sous différents formats. Le
logiciel est distribué sous licence libre sur Windows, MacOS et Linux.
Une fois le fichier son jim.wav ouvert avec l'outil Audacity (disponible à
https://www.audacityteam.org/download/), nous obtenons une information qui peut
probablement constituer un indice.

Deep Sound (disponible à https://deepsound.tr.uptodown.com/windows) est un outil

de stéganographie et un convertisseur audio qui cache des données secrètes dans des fichiers
audio. L'application vous permet également d'extraire des fichiers secrets directement à partir
de fichiers audio ou de pistes de CD audio.
Lorsque nous ouvrons le fichier jim.wav avec un outil trouvé dasn l’indication

Projet Forensics SH – Pas à pas

 auparavant, nous remarquons qu'il est chiffré et nous demande un mot de passe.

Nous utilisons l'outil John the Ripper par exemple pour cracker le mot de passe du fichier
audio, en utilisant notamment le dictionnaire « rockyou.txt ».

ensuite, nous obtenant le hash

Nous pouvons ouvrir le programme et rentrer le mot de passe trouvé après la crackage du
hash. Nous trouvons le fichier 15_Points.txt, mais aussi « creds.txt » cachés dans le fichier
audio.

Nous téléchargeons des fichiers cachés. Et nous avons obtenu 15 points de plus! Nous avons à ce stade 75
points au total.

Intéressons-nous maintenant à l'autre fichier caché que nous avonstéléchargé. Il est

facile de remarquer qu'il contient un encodage que vous avez l’habitude d’utiliser. Nous
décodons avec openssl ou echo en précisant le type du codage.

Ensuite, vous allez trouver la valeur obtenue par décodage.

Nous revenons à la session ssh ouverte dans la phase précédente grâce à metasploit
meterpreter ; puis nous essayons de se connecter …..

Nous trouvons le fichier 25_points.txt dans le répertoire root. Nous l’ouvrons bien sûr !
Projet Forensics SH – Pas à pas
 Nous avons obtenu nos 100 points au total, notre investigation est donc terminée avec
succès !

Projet Forensics SH – Pas à pas