{"id":3241,"date":"2017-07-05T10:19:40","date_gmt":"2017-07-05T08:19:40","guid":{"rendered":"https:\/\/0x90r00t.com\/?p=3241\/"},"modified":"2017-07-05T11:59:43","modified_gmt":"2017-07-05T09:59:43","slug":"ndh-2017-spying-challenge-part3-write-up","status":"publish","type":"post","link":"https:\/\/0x90r00t.com\/fr\/2017\/07\/05\/ndh-2017-spying-challenge-part3-write-up\/","title":{"rendered":"[NDH 2017] [Spying Challenge – Part3] Write Up"},"content":{"rendered":"

Description<\/h2>\n

Vous aimez l’intrusion physique, le social engineering ou encore l’OSINT ?
\nPr\u00e9parez-vous au #SpyingChallenge de la #NDHXV #CaptureTheBeer<\/p>\n

https:\/\/nuitduhack.com\/fr\/2017-edition\/challenges#spy<\/p><\/blockquote>\n

PARTIE 3
\n<\/p>\n

\n

Nuit du hack 2017 – Spying challenge Part3 – 0x90r00t<\/h2>\n

02 Juillet 2017<\/h3>\n<\/div>\n

Ordre de mission 357148-p3<\/a><\/strong>
\nAfin de mener \u00e0 bien notre mission, nous avons proc\u00e9d\u00e9 \u00e0 la troisi\u00e8me et derni\u00e8re \u00e9tape du plan:
\nl’intrusion et le vol de donn\u00e9es confidentielles dans le lieu de rendez-vous pour la transaction de la recette de bi\u00e8re secr\u00e8te.<\/p>\n

Pour cela nous avons d\u00fb proc\u00e9der en plusieurs \u00e9tapes.
\nEn premier lieu nous avons d\u00fb ouvrir la porte du bureau via une technique de lockpicking.
\nEnsuite il nous a fallu boucler l’image de la cam\u00e9ra de vid\u00e9o-protection et non la brouiller pour rester le plus discret.
\nUne fois acc\u00e9d\u00e9 au bureau il nous a fallu rep\u00e9rer les lieux, prendre des photos, puis fouiller les lieux et tout remettre en ordre.<\/p>\n

Le tout en 20 minutes.<\/strong><\/p>\n

L’intrusion dans le lieux de rendez-vous<\/h1>\n

Notre pr\u00e9c\u00e9dente mission nous a permis de savoir que le lieu de rendez-vous \u00e9tait fix\u00e9 \u00e0 la Salle Wall Street \u00e0 minuit<\/strong>.
\nVSA nous demande d’intervenir avant que la r\u00e9union ait lieu. Nous intervenons \u00e0 22h55.
\nPour cela il nous a, dans un premier temps, fallu outre-passer le verrouillage de la porte d’entr\u00e9e.<\/p>\n

Intrusion physique : le lockpicking<\/h2>\n

Afin d\u2019acc\u00e9der \u00e0 la pi\u00e8ce du lieu de rendez-vous, nous avons utilis\u00e9 un kit de crochetage afin de d\u00e9verrouiller la porte d’entr\u00e9e.
\nNotre expert Marcel<\/strong> s’est occup\u00e9 de cette \u00e9tape, apr\u00e8s avoir longuement h\u00e9sit\u00e9 entre le kit de lockpicking et le pain de c4.
\nFinalement c’est \u00e0 l’aide de son kit de crochetage que nous entr\u00e2mes dans le bureau.<\/p>\n

\"Intrusion<\/p>\n

Intrusion dans le bureau \u00e0 l’aide de lockpicking<\/p>\n<\/div>\n

Une fois dans le bureau, il nous a fallu trouver une solution pour la cam\u00e9ra de surveillance.<\/p>\n

La cam\u00e9ra de vid\u00e9o-protection<\/h2>\n

En premier lieu nous avions pens\u00e9 \u00e0 mettre hors-service la cam\u00e9ra (couper les c\u00e2bles, masquer l’image avec un manteau etc.).
\nFinalement la raison l’a emport\u00e9, et nous avons choisi une m\u00e9thode plus subtile,
\nen d\u00e9tectant la fr\u00e9quence de la cam\u00e9ra,
\npuis en capturant le signal,
\net enfin en injectant en continu le signal captur\u00e9 afin de g\u00e9n\u00e9rer une image fixe.<\/p>\n

Cette solution a l’avantage de ne pas d\u00e9sactiver la cam\u00e9ra. Ainsi la cam\u00e9ra reste \u00ab\u00a0fonctionnelle\u00a0\u00bb, et cela dupera un gardien de s\u00e9curit\u00e9 qui surveille ses \u00e9crans.<\/p>\n

Nous avons d\u00fb utiliser diff\u00e9rents mat\u00e9riels afin de mener \u00e0 bien notre op\u00e9ration.<\/p>\n

Nous avons utilis\u00e9 une carte Hackrf<\/em> reli\u00e9e \u00e0 un ordinateur portable, et l’outil gqrx<\/em> pour capturer le signal. L’injection du signal sera fait \u00e0 l’aide de gnu-radio.<\/p>\n

\"Outrepassage<\/p>\n

Outrepassage de la cam\u00e9ra de vid\u00e9o protection<\/p>\n<\/div>\n

Une fois entr\u00e9 dans le bureau avec la cam\u00e9ra hors de danger pour notre op\u00e9ration, nous avons pu commencer la r\u00e9colte de donn\u00e9es.<\/p>\n

Le r\u00e9colte de donn\u00e9es<\/h1>\n

Nous avons trouv\u00e9 dans le bureau divers \u00e9l\u00e9ments nous int\u00e9ressant, et pouvant nous apporter des donn\u00e9es non n\u00e9gligeables.
\nAussi bien de t\u00e9l\u00e9phones, comme d’un ordinateur, un coffre fort ou encore un drone.<\/p>\n

Les trois cartes SIM<\/h2>\n

D\u00e9couverte des t\u00e9l\u00e9phones<\/h3>\n

3 t\u00e9l\u00e9phones ont \u00e9t\u00e9 trouv\u00e9s sans surveillance dans la salle o\u00f9 devait se d\u00e9rouler l’entretien.
\n3 dumps ont \u00e9t\u00e9 cr\u00e9\u00e9s et sont joints. Le nom des dumps est en lien direct avec le propri\u00e9taire du t\u00e9l\u00e9phone.
\nLes fichiers sont:
\n+ nicolas.xml
\n+ claude.xml
\n+ locktar.xml<\/p>\n

Exploitation des fichiers<\/h3>\n

La solution cardpeek<\/a> est utilis\u00e9e pour la visualisation des donn\u00e9es
\nNos experts ne sont pas suffisamment form\u00e9s pour produire une analyse satisfaisante des cartes SIM en seulement une heure. Mais une premi\u00e8re analyse a \u00e9t\u00e9 r\u00e9alis\u00e9e.<\/p>\n

[1] nicolas.xml<\/h4>\n

Plusieurs SMS sont extraits, en voici la version brute:<\/p>\n

SEND A0 B2 04 04 B0                                                      \r\nRECV 9000                                                # Normal processing        \"Comment c'est toi le patron! Ecoute moi bien vieille poche. C'est\"   \r\n     01 07 91 33 96 05 00 56 F4 44 0B 91 33 56 48 64     ...3...V.D..3VHd            \r\n     88 F5 00 08 71 60 32 11 35 42 80 8C 05 00 03 73     ....q`2.5B.....s    \r\n     03 01 00 43 00 6F 00 6D 00 6D 00 65 00 6E 00 74     ...C.o.m.m.e.n.t   \r\n     00 20 00 E7 00 61 00 20 00 63 00 27 00 65 00 73     . ...a. .c.'.e.s \r\n     00 74 00 20 00 74 00 6F 00 69 00 20 00 6C 00 65     .t. .t.o.i. .l.e  \r\n     00 20 00 70 00 61 00 74 00 72 00 6F 00 6E 00 21     . .p.a.t.r.o.n.!  \r\n     00 20 00 C9 00 63 00 6F 00 75 00 74 00 65 00 20     . ...c.o.u.t.e.   \r\n     00 6D 00 6F 00 69 00 20 00 62 00 69 00 65 00 6E     .m.o.i. .b.i.e.n  \r\n     00 20 00 76 00 69 00 65 00 69 00 6C 00 6C 00 65     . .v.i.e.i.l.l.e  \r\n     00 20 00 70 00 6F 00 63 00 68 00 65 00 2E 00 20     . .p.o.c.h.e...   \r\n     00 43 00 27 00 65 00 73 FF FF FF FF FF FF FF FF     .C.'.e.s........  \r\nSEND A0 B2 05 04 B0                                                      \r\nRECV 9000                                                # Normal processing             \"Ma derniere offre pour les recettes. Soit tu prends. Soit je vais\"  \r\n     01 07 91 33 96 05 00 56 F4 44 0B 91 33 56 48 64     ...3...V.D..3VHd  \r\n     88 F5 00 08 71 60 32 11 35 42 80 8C 05 00 03 73     ....q`2.5B.....s  \r\n     03 02 00 74 00 20 00 6D 00 61 00 20 00 64 00 65     ...t. .m.a. .d.e  \r\n     00 72 00 6E 00 69 00 E8 00 72 00 65 00 20 00 6F     .r.n.i...r.e. .o  \r\n     00 66 00 66 00 72 00 65 00 20 00 70 00 6F 00 75     .f.f.r.e. .p.o.u  \r\n     00 72 00 20 00 6C 00 65 00 73 00 20 00 72 00 65     .r. .l.e.s. .r.e  \r\n     00 63 00 65 00 74 00 74 00 65 00 73 00 2E 00 20     .c.e.t.t.e.s...   \r\n     00 53 00 6F 00 69 00 74 00 20 00 74 00 75 00 20     .S.o.i.t. .t.u.   \r\n     00 70 00 72 00 65 00 6E 00 64 00 73 00 20 00 73     .p.r.e.n.d.s. .s  \r\n     00 6F 00 69 00 74 00 20 00 6A 00 65 00 20 00 76     .o.i.t. .j.e. .v  \r\n     00 61 00 69 00 73 00 20 FF FF FF FF FF FF FF FF     .a.i.s. ........  \r\nSEND A0 B2 06 04 B0                                                      \r\nRECV 9000                                                # Normal processing           \"Trouver mieux ailleurs t'as pig !!!\"  \r\n     01 07 91 33 96 05 00 56 F4 44 0B 91 33 56 48 64     ...3...V.D..3VHd          \r\n     88 F5 00 08 71 60 32 11 35 42 80 4E 05 00 03 73     ....q`2.5B.N...s  \r\n     03 03 00 74 00 72 00 6F 00 75 00 76 00 65 00 72     ...t.r.o.u.v.e.r  \r\n     00 20 00 6D 00 69 00 65 00 75 00 78 00 20 00 61     . .m.i.e.u.x. .a  \r\n     00 69 00 6C 00 6C 00 65 00 75 00 72 00 73 00 2E     .i.l.l.e.u.r.s..  \r\n     00 20 00 54 00 27 00 61 00 73 00 20 00 70 00 69     . .T.'.a.s. .p.i  \r\n     00 67 00 E9 00 21 00 21 00 21 FF FF FF FF FF FF     .g...!.!.!......  \r\n     FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF     ................  \r\n     FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF     ................  \r\n     FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF     ................  \r\n     FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF     ................  <\/code><\/pre>\n
Remarques:
\n– \u00c9tonnamment Nicolas ne dispose d’aucun ‘speed dial’ ce qui laisse penser que c’est un t\u00e9l\u00e9phone peu utilis\u00e9.
\n– Op\u00e9rateur: FREE
\n– Localisation : 50 FB 14 03 02 F8 10 41 00 00 00h<\/p>\n
\"Dump<\/p>\n
Dump des cartes SIM<\/p>\n<\/div>\n
Un coffre fort<\/h2>\n
Le coffre fort pr\u00e9sent dans la pi\u00e8ce est un mod\u00e8le \u00ab\u00a0Tresor 6970040<\/strong>\u00ab\u00a0. C’est un \u00ab\u00a0petit\u00a0\u00bb mod\u00e8le que l’on peut trouver dans les chambres d’h\u00f4tel.<\/p>\n
Celui que nous avons dans le bureau n’est pas fix\u00e9 \u00e0 un mur, nous pouvons donc acc\u00e9der au dos du coffre.<\/p>\n
Une astuce trouv\u00e9e sur la toile nous permettant de r\u00e9initialiser le code du coffre est d\u2019atteindre de bouton de programmation situer \u00e0 l\u2019arri\u00e8re de la porte du coffre.<\/p>\n
Pour celui-ci nous avons utilis\u00e9 une antenne fine mais assez robuste pour presser le bouton.<\/p>\n
Une fois le bouton press\u00e9 nous avons pu red\u00e9finir le code.<\/p>\n
Cela nous \u00e0 permis d’ouvrir le coffre, et r\u00e9cup\u00e9rer les documents d\u00e9chir\u00e9s, avant de les re-positionner \u00e0 leur places.<\/p>\n
\"Reset<\/p>\n
Reset du coffre fort<\/p>\n<\/div>\n
Un ordinateur verrouill\u00e9 par mot de passe BIOS<\/h2>\n
Appropriation de la donn\u00e9e<\/h3>\n
Le PC pr\u00e9sent dans la salle est allum\u00e9 et sur un \u00e9cran de mot de passe BIOS. Apr\u00e8s 3 essais infructueux, l’\u00e9cran se bloque et affiche une cha\u00eene de char: \u00ab\u00a058634315\u00a0\u00bb<\/p>\n
Avec cette cha\u00eene on peut d\u00e9duire le fabricant \u00ab\u00a0InsydeH20 Bios (Acer, HP)\u00a0\u00bb et donc r\u00e9cup\u00e9rer une \u00ab\u00a0porte d\u00e9rob\u00e9e\u00a0\u00bb constructeur<\/a>:
\n\u00ab\u00a04779293\u00a0\u00bb<\/p>\n
Une fois la protection du BIOS bypass la session est directement disponible. Pas de mot de passe ou de chiffrement.<\/p>\n
Sur l’utilisateur par d\u00e9faut (\/home\/heisanbrau), le seul fichier int\u00e9ressant est : presentation_dronebeer.pdf (sur le bureau)<\/p>\n
Le reste du syst\u00e8me de fichier m\u00eame si uniquement partiellement dump\u00e9, ne semble pas pr\u00e9senter de particularit\u00e9<\/p>\n
\/!\u00a0Le dump n’est que partiel \/!<\/p>\n
Exploitation du .PPTX<\/h3>\n
Le fichier \/home\/heisanbrau\/Bureau\/presentation_dronebeer.pdf a les attributs suivants:<\/p>\n
Exiftool  \r\nExifTool Version Number         : 10.10  \r\nFile Name                       : presentation_dronebeer.pdf  \r\nDirectory                       : .  \r\nFile Size                       : 246 kB  \r\nFile Modification Date\/Time     : 2017:06:25 04:20:58+02:00  \r\nFile Access Date\/Time           : 2017:06:24 23:56:03+02:00  \r\nFile Inode Change Date\/Time     : 2017:06:24 23:56:03+02:00  \r\nFile Permissions                : rw - r  \r\nFile Type                       : PDF  \r\nFile Type Extension             : pdf  \r\nMIME Type                       : application pdf  \r\nPDF Version                     : 1.5  \r\nLinearized                      : No  \r\nPage Count                      : 22  \r\nLanguage                        : fr FR  \r\nTagged PDF                      : Yes  \r\nTitle                           : PowerPoint Presentation  \r\nAuthor                          : FSA Pret  \r\nSubject                         :   \r\nCreate Date                     : 2017:06:23 11:59:44+02:00  \r\nModify Date                     : 2017:06:23 11:59:44+02:00  \r\nProducer                        : Microsoft PowerPoint\u00a02013  \r\nCreator                         : Microsoft PowerPoint\u00a02013  <\/code><\/pre>\n
Remarques sur le PC<\/h3>\n
Il n’y avait pas de .bash_history<\/em> sur le poste. Il est possible qu’une autre \u00e9quipe, moins discr\u00e8te, ait eu le temps de passer avant nous et de supprimer maladroitement les traces de son passage.
\nLe fichier powerp-point a une extention .pdf alors qu’il s’agit d’un .pptx<\/p>\n
\"Backdoor<\/p>\n
Backdoor BIOS PC Portable<\/p>\n<\/div>\n
Un drone<\/h2>\n
Non exploit\u00e9, manque de temps, et d’int\u00e9r\u00eat.<\/p>\n
\"Drone\"<\/p>\n
Drone<\/p>\n<\/div>\n
Analyse des donn\u00e9es r\u00e9colt\u00e9es<\/h1>\n
Apr\u00e8s avoir d\u00e9rob\u00e9 les donn\u00e9es et tout remis en place (en un temps record), nous avons analys\u00e9 les donn\u00e9es \u00e9tape par \u00e9tape.<\/p>\n
Contenu des cartes SIM<\/h2>\n
Nous avons commenc\u00e9 l’analyse des cartes SIM (voir partie pr\u00e9c\u00e9dente).
\nMalheureusement il nous manquera du temps pour analyser le reste des donn\u00e9es.<\/p>\n
Pour cela nous allons envoyer le reste des donn\u00e9es \u00e0 notre labo de Forensic.<\/p>\n
Contenu de l’ordinateur<\/h2>\n
R\u00e9sum\u00e9 rapide et incomplet du document:<\/p>\n
Il s’agit d’un plan marketing pour de la livraison d’alcool.<\/p>\n
TODO<\/em>: Faire analyser par l\u2019\u00e9quipe marketing<\/p>\n
Nous obtenons des noms d’actionnaires:<\/p>\n
    \n
  • Pascaline Bilodeau<\/li>\n
  • Florence Panetier<\/li>\n
  • Gradasso Bourget<\/li>\n
  • Esmeraude Camus<\/li>\n<\/ul>\n
    TODO<\/em>: Profiler les actionnaires<\/p>\n
    Le .pdf est disponible en document associ\u00e9.<\/p>\n
    Contenu du coffre<\/h2>\n
    Le coffre contenait les 3 formules secr\u00e8tes de la bi\u00e8re !<\/p>\n
    C’\u00e9tait l’enjeu<\/strong> de l’\u00e9change, car il est question de vendre les trois formules contre 200 000 \u20ac et 30% de la nouvelle entreprise cr\u00e9\u00e9e !<\/p>\n
    \"Recette<\/p>\n
    Recette 1<\/p>\n<\/div>\n
    \"Recette<\/p>\n
    Recette 2<\/p>\n<\/div>\n
    \"Recette<\/p>\n
    Recette 3<\/p>\n<\/div>\n
    Avertissement<\/strong>: N’essayez pas les recettes chez vous. Il s’agit de travail de professionnel qui ne doit en aucun cas tomber entre de mauvaises mains.<\/p>\n
    Contenu du drone<\/h2>\n
    Non exploit\u00e9 – Nous avons mis de c\u00f4t\u00e9 le drone pour nous concentrer sur les \u00e9l\u00e9ments essentiels contenant de la donn\u00e9e.<\/p>\n
    Conclusion<\/h1>\n
    C’\u00e9tait vraiment tr\u00e8s fun, et… Go\u00fbtons la bi\u00e8re !<\/p>\n
    Merci \ud83d\ude09<\/p>\n
    0x90r00t team<\/p>\n","protected":false},"excerpt":{"rendered":"
    Description Vous aimez l’intrusion physique, le social engineering ou encore l’OSINT ? Pr\u00e9parez-vous au #SpyingChallenge de la #NDHXV #CaptureTheBeer https:\/\/nuitduhack.com\/fr\/2017-edition\/challenges#spy PARTIE 3<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[245,35,256],"tags":[251,157,258,257],"class_list":["post-3241","post","type-post","status-publish","format-standard","hentry","category-245","category-ctf-fr","category-nuit-du-hack","tag-251","tag-ndh","tag-sechallenge","tag-spyingchallenge"],"_links":{"self":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3241","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/comments?post=3241"}],"version-history":[{"count":11,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3241\/revisions"}],"predecessor-version":[{"id":3266,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3241\/revisions\/3266"}],"wp:attachment":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/media?parent=3241"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/categories?post=3241"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/tags?post=3241"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}