dump.part: Linux rev 1.0 ext2 filesystem data, UUID=5712fd31-bf27-4376-bbf4-aabab500ba7b\
(large files)
$md5sum dump.part
f8afccd7d3b0dea1d10adb03045ca247 dump.part
La partition extraite est alors montée :
$sudo mount -o loop dump.part /mnt/loop
$ls /mnt/loop
bin boot dev etc home lib lost+found media mnt opt proc root sbin selinux srv\
sys tmp usr var
$ls /mnt/loop/home
sstic
$ls /mnt/loop/home/sstic
irc.log secret ssticrypt
Le contenu du fichier irc.log est le suivant :
#sstic-challenge: <lobster_dog> I’ve a problem
#sstic-challenge: <lobster_dog> lobster cat is trying to steal one of my files
#sstic-challenge: <blue_footed_booby> lobster cat ?
#sstic-challenge: <lobster_dog> http://amazingdata.com/mediadata56/Image/2007_0921honeymoon0141_animal\
_fun_weird_interesting_2009080319215810225.jpg
#sstic-challenge: <blue_footed_booby> k -_-
#sstic-challenge: <blue_footed_booby> gimme your file, I’ll hide it
#sstic-challenge: <lobster_dog> k
#sstic-challenge: <blue_footed_booby> your data is secure ;) I just finished the encryption system
#sstic-challenge: <lobster_dog> ok, I secure erase it on my side!
#sstic-challenge: <blue_footed_booby> unfortunately my hard drive is making strange noises right now ... :(
-!- blue_footed_booby [~booby@galapagos] has quit [Read error: Connection reset by peer]
#sstic-challenge: <lobster_dog> ...
Il s’agit d’un extrait de conversation IRC où il est question de protéger un fichier à l’aide d’un
système de chiffrement. Malheureusement, un des deux correspondants semble rencontrer des
problèmes matériels avec son disque dur qui provoquent une déconnexion soudaine du serveur
IRC.
La commande file nous précise que le fichier ssticrypt est un exécutable MIPS big-endian
au format ELF :
$file /mnt/loop/home/sstic/ssticrypt
/mnt/loop/home/sstic/ssticrypt: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV),\
statically linked, stripped
La commande readelf doit permettre d’obtenir de l’information sur l’exécutable mais ap-
paremment celui-ci semble corrompu :
$readelf -a /mnt/loop/home/sstic/ssticrypt
readelf: Error: Unable to read in 0x28 bytes of section headers
ELF Header:
Magic: 7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2’s complement, big endian
Version: 1 (current)
5