Image disque (.img) corrompue | Doit extraire un certain fichier [Résolu/Fermé]

Signaler
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 -
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 -
Bonjour/Bonsoir,

Dans le cadre d'un mini CTF 'Capture The Flag' organisé par un groupe d'amis, on nous propose certaines épreuves allant de la simple lecture d'un fichier binary à des procédures bien plus compliquées afin de gagner des points faisant monter notre équipe, le tout se déroulant sur une semaine.

Malheureusement, je suis bloqué à une certaine épreuve, et pas moyen de m'en sortir :@

On me donne un fichier 'monfichier.img' qui contient l'indice me permettant d'accéder à l'épreuve suivante. J'ai donc essayé de trouver le système de fichiers de ce fichier à l'aide d'un 
file monfichier.img


Ce qui me rend en sortie 
monfichier.img : data
donc pas moyen de trouver comment je suis censé monter l'image. (J'ai quand même essayé avec tous les types connus mais aucun ne fonctionne).

Je suis donc passé à un scan avec Autopsy mais il ne parvient pas à détecter le système de fichiers non plus, donc aucun résultat de ce côté là non plus.

Si vous connaissez quelques techniques qui pourraient m'aider à résoudre cette énigme, je suis preneur !

Si vous avez envie de vous y essayer je peux également vous fournir le fichier en question par MP, en sachant bien que vous ne pourrez pas participer à la suite étant donné que vous n'êtes pas inscrit.

Merci par avance ! :)
Afficher la suite

2 réponses

Réponse 1 / 2
Messages postés
36239
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
15 janvier 2021
 5 828
Salut,

Essaye un 
fdisk -lu  monfichier.img
1
Merci
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Signaler
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 290
Salut, Merci de ta réponse rapide :)

Malheureusement (et j'ai oublié de préciser) j'avais déjà tenté ça aussi.

Et ça ne semble pas beaucoup m'aider :( 

Disk disk1.img: 1 MB, 1048576 bytes
255 heads, 63 sectors/track, 0 cylinders, total 2048 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x9e6b8265

Disk disk1.img doesn't contain a valid partition table
Signaler
>
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
Bonjour,
La table des partitions a été altérée volontairement...
Et si tu utilisais testdisk pour réparer la table des partitions ?
Signaler
Messages postés
36239
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
15 janvier 2021
 5 828 >
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
Sans conviction essaye un 
blkid monfichier.img

ou encore un 
dd if=monfichier.img | file -


Tu peux aussi essayer avec 
disktype


Source
Signaler
Messages postés
2083
Date d'inscription
jeudi 16 septembre 2004
Statut
Membre
Dernière intervention
15 octobre 2020
 238
Ton image est peut-être chiffré, c'est peut être un volume truecrypt par exemple. Auquel cas il te faudrait trouver le mot-de-passe.

As-tu essayé de l'ouvrir avec un éditeur hexadécimal ? Les informations recherchée sont peut -être juste noyées dans des données aléatoires.
Réponse 2 / 2
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 290
Merci pour toutes vos réponses !

Malgré tout, les différentes alternatives soumises ne me donnent rien de particulier.

Je comptais justement passer à l'hexa.

Je vous tiens au courant, merci encore !
Afficher les 8 commentaires
Signaler
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 290
Et avec le dd : 

~/Downloads# dd if=monfichier.img | file -
/dev/stdin: data
Signaler
Messages postés
36239
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
15 janvier 2021
 5 828 >
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
Toujours extrait de du même thread (suite à la même sortie que toi) : 
dd if=monfichier.img | strings | head -20
Signaler
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 290 >
Messages postés
36239
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
15 janvier 2021
Il me sort de l'ASCII qui ne me donne pas grand chose non plus >< 

~/Downloads# dd if=monfichier.img | strings | head -20
46 KN
~Q4C
OWs}h
=T	^
8"<v
.4TSH
YP1/
v",:l
]M	(
B~(}
e;Pu
OZmTO
2w*!b
1NUI,B
~%r[
f^PA/F#
qb`	0
mq5l
Q6gH
@QfoK
Signaler
Messages postés
36239
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
15 janvier 2021
 5 828 >
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
J'ai mis 
head -20
, essaie de voir avec une valeur plus grande... ou avec 
less
carrément ;-\
Signaler
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
 290 >
Messages postés
395
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
12 février 2016
STOOOOP, j'ai trouvé, j'ai fait une seconde recherche avec hexedit. Je cherchais un lien du type '.htm' Mais le fourbe avait mis des caractères random entre chaque caractère, du coup impossible de trouver avec un ctrl+S

Un grand merci en tout cas, zipe31 et tous les autres, vraiment sympathique ! :)
Posez votre question