Sign in Subscribe

Hackropole - Dérèglement

CaelInceptus

CaelInceptus

2 min read
Hackropole - Dérèglement

Introduction :

URL : https://hackropole.fr/fr/challenges/forensics/fcsc2021-forensics-dereglement/
Nom du Challenge : Dérèglement
Difficulté : Intro
Contexte : Un document Word semble corrompu. L’objectif est d’en restaurer le contenu afin de retrouver les informations qu’il contient, notamment le flag.
Format du flag : FCSC{...}

Déroulé / Résolution :

  1. Identification du fichier :

On commence par déterminer le type de fichier à analyser :

caelinceptus@2600:~/Hackropole/DFIR/Dereglement$ file 2021-fcsc-reglement_de_participation.docx 
# -> 2021-fcsc-reglement_de_participation.docx: Microsoft OOXML

Le fichier est un document Microsoft Word (format OOXML).
Un fichier .docx n’est en réalité qu’une archive ZIP structurée, contenant plusieurs fichiers XML décrivant le contenu, le style, les relations et les ressources du document.

  1. Décompression du fichier .docx

On décompresse l’archive avec unzip pour explorer sa structure interne :

caelinceptus@2600:~/Hackropole/DFIR/Dereglement$ unzip 2021-fcsc-reglement_de_participation.docx

Sortie :

Archive:  2021-fcsc-reglement_de_participation.docx
  inflating: [Content_Types].xml     
   creating: docProps/
  inflating: docProps/app.xml        
  inflating: docProps/core.xml       
   creating: _rels/
  inflating: _rels/.rels             
   creating: word/
   creating: word/_rels/
  inflating: word/_rels/document.xml.rels  
  inflating: word/document.xml       
  inflating: word/styles.xml         
  inflating: word/numbering.xml      
  inflating: word/settings.xml       
  inflating: word/fontTable.xml      
   creating: word/media/
  inflating: word/media/image1.jpeg

Le contenu principal du texte d’un document Word se trouve généralement dans word/document.xml, c’est donc ce fichier qui nous intéresse.

  1. Recherche du flag dans document.xml

On peut rechercher directement la présence du flag à l’aide de grep, en ciblant le motif FCSC{...} :

caelinceptus@2600:~/Hackropole/DFIR/Dereglement$ grep -o 'FCSC{[^}]*}' word/document.xml

Résultat :

FCSC{9bc5a6d51022ac}

Ou, de manière plus large, en parcourant tout le répertoire extrait :

caelinceptus@2600:~/Hackropole/DFIR/Dereglement$ grep -Ro "FCSC{.*}" ./

En sortie :

./word/document.xml:FCSC{9bc5a6d51022ac}

Conclusion :

Ce challenge constitue une excellente initiation à l’analyse de documents corrompus et à la compréhension du format OOXML (Open Office XML) utilisé par la suite Microsoft Office.

Même lorsqu’un fichier Word semble illisible, il conserve en réalité une structure interne exploitable : une simple archive ZIP contenant des fichiers XML. En combinant des outils de base comme unzip et grep, il est donc possible de :

  • explorer la structure d’un document Word,
  • localiser le contenu textuel principal dans word/document.xml,
  • extraire des chaînes spécifiques (comme un flag ou une donnée sensible).

En résumé, ce challenge démontre qu’un fichier « corrompu » n’est pas toujours perdu. En inspectant sa structure interne et en exploitant les outils natifs de Linux, il est possible de restaurer des données textuelles, identifier du contenu caché ou non rendu visible par Word, et ainsi récupérer rapidement des preuves ou des indicateurs.

Read more