Writeups CTFs
Author Image

by Maddmhax

© 2023 maddmhax
Built with Hugo ❤️ hyde-hyde.

404CTF Le Mystère du roman d'amour

14 Jun, 2023
forensics facile
3 min read

Intro

L’énoncé de ce challenge est le suivant :

En train de faire les cent pas dans un couloir du café se trouve Joseph Rouletabille. Il est préoccupé par un mystère des plus intrigants : une de ses amies, qui écrit régulièrement des livres passionnants, a perdu le contenu de son dernier roman !! Elle a voulu ouvrir son oeuvre et son éditeur a crashé… Il semblerait qu’un petit malin a voulu lui faire une blague et a modifié ses fichiers. Elle n’a pu retrouver qu’un seul fichier étrange, que Joseph vous demande de l’aider à l’analyser afin de retrouver son précieux contenu et de comprendre ce qu’il s’est passé.
Vous devez retrouver :
- le PID du processus crashé
- le chemin complet vers le fichier en question (espaces autorisés) : la forme exacte trouvée dans le challenge et la forme étendue commençant par un / permettent toutes les deux de valider le challenge
- le nom de l’amie de Rouletabille
- le nom de la machine
- le contenu TEXTUEL du brouillon de son livre (si vous avez autre chose que du texte, continuez à chercher : vous devez trouver un contenu texte qui ressemble clairement au début d’un roman). Une fois ce contenu trouvé, il sera clairement indiqué quelle partie utiliser pour soumettre le flag (il s’agira d’une chaîne de caractères en leet)
Le flag est la suite de ces éléments mis bout à bout, et séparés par un tiret du 6 (-), le tout enveloppé par 404CTF{…}.
Un exemple de flag valide :
Format : 404CTF{PidDuProcessusCrashé-chemin/vers le/fichier-nomUser-nomDeLaMachine-contenuDuFichier}

Challenge

Enoncé très complexe pour pas grand chose, on récupère un fichier .swp.

N’ayant jamais vu de tel fichier comme je suis un utilisateur de Nano, je fais quelques recherches dont un bon vieux ‘file’ sur un linux et cela fera très largement l’affaire :

File

Yay, j’obtiens directement le type de fichier, il s’agit d’un fichier swap de Vim. Aussi, j’ai 4 des 5 éléments nécéssaires pour flag ce chall !

404CTF{168-/home/jaqueline/Documents/Livres/404 Histoires d’Amour pour les bibliophiles au coeur d’artichaut/brouillon.txt-jaqueline-aime_ecrire-XXXXX}

Je continue mes recherches jusqu’a trouver un article qui explique comment restaurer un fichier swap de vim, il suffit de faire:

vim -r fichier-etrange.swp

Puis de quitter ce fichu éditeur avec :

:w toto.png

On obtient alors un merveilleux fichier png:

File

Allez, encore un petit effort et un peu de steganographie pour afficher le QRCode dissimulé, notamment en utilisant Aperi’Solv :

File

On obtient alors le texte suivant:

Il était une fois, dans un village rempli d’amour, deux amoureux qui s’aimaient…
Bien joué ! Notre écrivaine va pouvoir reprendre son chef-d’oeuvre grâce à vous !
Voici ce que vous devez rentrer dans la partie “contenu du fichier” du flag : 3n_V01L4_Un_Dr0l3_D3_R0m4N

On concaténe le tout pour obtenir le flag dans sa globalité:

404CTF{168-/home/jaqueline/Documents/Livres/404 Histoires d’Amour pour les bibliophiles au coeur d’artichaut/brouillon.txt-jaqueline-aime_ecrire-3n_V01L4_Un_Dr0l3_D3_R0m4N}

ReTex

Un petit chall rapide et assez simple pour se mettre en jambe le premier soir du 404CTF, histoire d’utiliser Vim l’espace de quelques instants 🫠

File

404CTF Lettres Volatiles