Challenge forensic EPITA
EC2
SRS DNRED EPITA

Stellar Wars

Thomas C., Matthieu H., Aurelien K.

← Stellar Wars · L'appel du Site / Le Réveil du VPN / Le Réseau Contre-Attaque / Le Dernier Défi

Le Réseau Contre-Attaque

LOGS RÉSEAU

**Nous savons désormais comment l'attaquant s'est latéralisé sur le réseau. Mais son moyen d'élévation jusqu'aux privilèges Administrateurs reste un mystère !**

À vous, équipe ForenSith d'analyser le trafic réseau avant le tir pour comprendre comment l'attaquant a obtenu les accès privilégiés.

Grâce à votre fine analyse, nous avons compris comment l'attaquant a accédé à l'ensemble du réseau de la Nécropole Stellaire via le VPN de la station. Mais le mystère concernant son élévation de privilèges reste entier ! Vous, équipe ForenSith, êtes chargé de comprendre comment l'attaquant a obtenu les accès privilégiés pour éviter que cela ne se reproduise. Vous devez analyser le trafic réseau enregistré avant le tir.

Retrouvez le moyen utilisé par l'attaquant pour accéder à un compte Administrateur de la Nécropole Stellaire.

Cote 41 pts

Téléchargements

Attention : les contenus téléchargeables peuvent contenir du contenu malveillant.
filter.log Taille : 18472,05 kio b2sum : b7b0331075011efd5ecbc03cafb48aa291f315731593476b1a9a1d6ec9a3f33b3c732c7312256475e65f6939a1ec248b00d93f383db66e6197dcb65b72c393ee
stellar-wars.tar.gz Taille : 681901,45 kio b2sum : 3e121ff3155d00c445ddd60f4c64a9c8f9be2cfcc86a89402da0ad5b79f49829d03c928bce0a6d5b103b349d3381f0991e17f4d67dfe9651a3d05b9de3602158
openvpn.log Taille : 208,24 kio b2sum : e1fcbde341c7890c6a116351f083a5ab26e1ff679e50aafa947fde3b907d4f4b5ab555a00064d2a8c9a14ff8b5a97bc34500fafa1c2f0da613ca5d1db6f43156
system.log Taille : 1034,35 kio b2sum : 173f690893991d6b952ce099ccf1b426e9e20c54f48a25ead3a25a1eb146b6872b69da3e0111bbbf96c78f78dfac9256a8bd8b4ae069e7356538e4a07a96e091
auth.log Taille : 2,60 kio b2sum : 52df7b4ac3ae780844cc8da97c9d3cb7b396f7a7fa7c2e2fe92894537d633fc0c081f6521e4a0fa637b06e0236a4e6f48804860e56b0b40e2978e57b22449d2a
root.tar.gz Taille : 5,79 kio b2sum : 351d2996b50c1b4a224ec060e5f5a69ff4add6dfe9958069a73a75a02fa7ea59a402956d53d0590aac875df8b1b0c8e3d26a24bed5340df47c55e19a906555c7
userlog Taille : 0,16 kio b2sum : 1c2949fa65e1d6bda995cab6646c7af23a7bc7f636a0256d84d027d17d1d16ac46d4251ac76c638c47907f3ef107a7450beac6b779244cb1043089e086aac0b4

Faire son rapport

Résolution Scénario 1 "Stellar Wars" - Exercice 3 "Le Réseau Contre-Attaque"

Présentation de la vulnérabilité exploitée

L’attaque cible une faille de configuration dans OpenVPN sur pfSense et l’exploitation d’un partage NFS insuffisamment sécurisé. L’attaquant, armé d’identifiants récupérés, accède au réseau interne via VPN, puis exploite le protocole NFS pour récupérer des clés et données sensibles sur le serveur de fichiers. L’examen approfondi des journaux système, pare-feu et des contenus extractibles permet de remonter le cheminement d’escalade jusqu'à la console principale du dispositif.

Points clefs :

  • NFS autorise l’accès distant transparent et, mal configuré, facilite l’exfiltration de données.
  • L’analyse alignée des logs VPN, pare-feu, et système reconstitue la séquence de compromission.
  • L’obtention de clés/passe via des fichiers git, sur branches non fusionnées, enrichit l’exploitation.

Outils utilisés

  • grep, zgrep, less : analyse de logs et de fichiers texte.
  • tar : extraction d’archives (stellar-wars.tar.gz, root.tar.gz).
  • git : exploration d’historiques de branches et de commits.
  • Outils d’analyse réseau et de gestion SSH standards sous Linux.

Fichiers fournis

  • openvpn.log : journal des connexions VPN.
  • filter.log : journal du pare-feu pfSense.
  • system.log : logs système pfSense.
  • stellar-wars.tar.gz : archive du serveur de fichiers (contenant notamment un dépôt git).
  • root.tar.gz : archive du répertoire root.
  • Autres logs utilisateurs et d’authentification.

Étape 1 : Recherche de l’identifiant trouvé lors de l'étape 2 dans les logs OpenVPN

grep <ID> openvpn.log

Exemple de sortie :

2025-07-20 10:12:01 ... : <ID>/X.X.X.X:49999 peer info: IV_COMP_STUBv2=1
2025-07-20 10:12:01 ... [<ID>] Peer Connection Initiated with [AF_INET]Y.Y.Y.Y:45523

L’IP de l’attaquant est repérée : X.X.X.X
L'IP virtuelle sur le VPN de l'attaquant est repérée: Y.Y.Y.Y

Étape 2 : Corrélation avec les logs pare-feu (filter.log)

grep <IP_virt_VPN_attaquant> filter.log

On observe des connexions sur le port ????/tcp, confirmant l’utilisation du protocole lié pour accéder au serveur de fichiers.

  • *Protocole utilisé pour obtenir des données :

Étape 3 : Analyse du serveur de fichiers (stellar-wars.tar.gz)

Extraction de l’archive puis inspection des dossiers révèlent la présence d’un dépôt git et de le fouiller consciencieusement pour trouver un serveur git. Exploration avancée :

tar -xzf stellar-wars.tar.gz
cd extracted_folder
git branch         # On repère la branche 'exion' jamais mergée
git log exion      # Recherche dans les commits de 'exion'

La clé API est retrouvée dans un dossier spécifique du dépôt git, stockée dans la branche non fusionnée exion. L’analyse de l’historique des commits de cette branche révèle l’introduction de la clé.

  • Clé API trouvée :
c1590b799c46b12f954ccfd7cc3e5a1a892e7eca068c2cfcb4eb4f6846de9225d242b3089e87cbc7403cd07fe0a10a7f433ecbfe6aeba95c742234936cea78fc

Étape 4 : Escalade sur pfSense via logs système

Analyse des logs système (system.log, auth.log), les commandes suivantes sont là pour simplifier les recherches des root FIC :

grep <admin_user_used> system.log
grep <admin_user_used> auth.log

On identifie l’utilisation d'un compte créé pour effectuer le pivot sur la machine pfSense après extraction de la clé.

  • Utilisateur servant au pivot :

Étape 5 : Découverte du fichier vulnérable pour la console

Après extraction de la racine du système de fichiers :

ls <path_to_auth_keys>
cat <path_to_auth_keys>

Le fichier vulnérable permettant l’accès console est :

Étape 6 : Machines impliquées lors de l’escalade

La relecture des flux réseau/logs révèle la trajectoire de l’attaque via les IP :

Ordre Adresse IP
1 X.X.X.X (machine attaquante)
2 Y.Y.Y.Y
3 Z.Z.Z.Z
4 A.A.A.A
5 B.B.B.B