Skip to content

Opdracht 10 - Capture the flag

Doel

In de vorige opdracht hebben we geleerd hoe je een nieuwe (virtuele) schijf kan aanmaken en gebruiken binnen zowel Linux als Windows.

In deze opdracht importeer je een bestaande (virtuele) harde schijf. Het is de bedoeling om met behulp van wat je in de vorige opdracht hebt geleerd, uit te zoeken wat er precies op deze schijf staat.

Na deze opdracht kan je:

  • Een bestaande virtuele harde schijf (VDI) importeren en koppelen aan een virtuele machine.
  • De partitietabel van een schijf onderzoeken.
  • Partities mounten in Linux en/of Windows en data uitlezen.

Virtuele harde schijf importeren

Download het gepaste zip-bestand met een virtuele harde schijf:

  • Windows, Linux, macOS (Intel processor): 10-capture-the-flag.zip
  • macOS (Apple Silicon processor): 10-capture-the-flag-utm.zip
    • ⚠️ We hebben ons VDI-bestand omgezet naar het QCOW2-formaat voor UTM, maar kunnen dit niet testen. Laat ons zeker weten of dit werkt!

Je kan deze schijf koppelen aan je Linux- en/of Windows-virtuele machine om te gebruiken binnen je virtuele machine. Je mag zelf kiezen welke VM je hiervoor gebruikt.

Gebruik wat je in de vorige opdracht hebt geleerd om antwoord te geven op de onderstaande vragen:

Hoe groot is de virtuele schijf?

De schijf heeft een grootte van 84GB.

Welke partities zijn er?

  • Geef voor elke partitie de grootte en het gebruikte bestandssysteem.
  • Probeer de partities te mounten in Linux en/of Windows om de data uit te lezen.
Antwoord

Via Linux zie je volgende partities (via Disks):

  • /dev/sdb1
    • ext3
    • 921 MB, 888 MB beschikbaar
  • /dev/sdb
    • lege ruimte
    • 42 MB
  • /dev/sdb2: Extended Partition van 83 GB met daarin 3 partities:
    • /dev/sdb5
      • NTFS
      • 21 GB
      • leeg
    • /dev/sdb6
      • FAT32
      • 21 GB
      • leeg
    • /dev/sdb: 40 GB beschikbare ruimte

Via Windows zie je iets gelijkaardigs (via Disk Management).

Op één van de partities vind je een tekst. Waar in Gent tref je de beroemde woorden uit deze tekst aan?

Partitie /dev/sdb1 kan je bv. mounten in Linux. In de root van deze partitie vind je README.txt, deze bevat de tekst "De zeer oude zingt". Dit is een knipoog naar de Vlasmarkt, café Trefpunt: alles van waarde is weerloos.

Capture the flag

In de gegeven virtuele harde schijf is een Capture The Flag (CTF) verstopt. Ergens op de schijf is een tekstbestand met de naam README.ctf verborgen, dit is onze vlag. Het is de bedoeling dat je dit tekstbestand vindt en de inhoud ervan leest. Het bestand bevat de songtekst van het nummer Escape (The Pina Colada Song) van Rupert Holmes.

⚠️ Let op: dit is niet eenvoudig en je hebt mogelijk extra tools nodig die niet zijn behandeld tijdens de vorige opdracht! Het is eenvoudiger om de CTF te vinden op je Linux VM, maar je mag het ook proberen op je Windows VM.

Heb je de vlag gevonden? Laat het zeker weten aan je docent (in de les, via e-mail, via Microsoft Teams)!

Veel succes!

Oplossing, probeer het eerst zelf!

In de partitietabel werd recent een partitie verwijderd. Een partitie verwijderen verwijdert echter de data niet, en je kan deze vrij eenvoudig herstellen, bijvoorbeeld met de tool testdisk. De nodige commando's staan hieronder:

Bash
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
$ sudo apt install testdisk
$ sudo testdisk
# Maak volgende keuzes (via het toetsenbord):
#  - no log
#  - /dev/sdb
#  - Intel
#  - Analyse
#  - Quick Search
#    -> Found * Linux
#  - Write

Na uitvoeren van dit commando zal je het bestand README.ctf terugvinden op de partitie met grootte 42MB, wat dus onze vlag is!