Zeecka zeecka

Hello Ducky

Aperi'CTF 2019 - Physical (50 pts)

Aperi’CTF 2019 - Hello Ducky

Détails du challenge

EventChallengeCategoryPointsSolves
Aperi’CTF 2019Hello DuckyPhysique50???

Votre mission est de récupérer le fichier flag.txt situé à la racine du disque C:// du PC “Ducky”. L’exfiltration des données peut se faire à l’aide d’internet ou d’une clé USB classique (montage D:// par default). Le flag respecte le format APRK{…}.

TL;DR

Utilisez la commande Windows xcopy avec un ducky script.

Méthodologie

Nous devons copier le fichier “C:\flag.txt” vers notre clé USB “D:” avec uniquement une clé HID Rubber Ducky :

ducky.jpg

Cette clé est une clé USB qui se comporte comme un clavier : une fois branchée, elle va taper le payload que l'on souhaite. Voir cette [vidéo Youtube](https://www.youtube.com/watch?v=kag1VsM-tzA&feature=youtu.be) pour plus d'explications sur le Rubber Ducky.

Pour résoudre le challenge, nous allons exécuter une commande avec “Win + R” (ici : GUI + r) et lancer la commande xcopy "C:\flag.txt" "D:\".

Voici le payload ducky final :

DELAY 3000
GUI r
DELAY 1000
STRING xcopy "C:\flag.txt" "D:\"
ENTER

Ensuite, nous avons compilé le script sur ducktoolkit.com/encode avec le layout FR, mis le fichier sur la Micro SD à l’aide de l’adaptateur et branché le Rubber Ducky.

Une fois branchée, nous avons obtenu un “flag.txt” à la racine de notre clé USB : APRK{Th3_PoW3R_oF_dUckY_sCR!PT}.

Flag

APRK{Th3_PoW3R_oF_dUckY_sCR!PT}

Zeecka