Identifier le type d'un fichier se fait généralement en regardant l'extension du fichier.
.zip: archives compressées au format zip.
.doc: fichiers Words.
Parfois l'extension ne correspond pas, ou le fichier n'en a pas.
La commande 'file' examine le contenu du fichier, à la recherche d'entêtes caractéristiques.
file secret.zipCracker un zip chiffré avec une liste de mots de passe
fcrackzip -u -v -D -p rockyou.txt secret.zipVérification du format du fichier:
$ file backup.mdb
backup.mdb: Microsoft Access DatabaseSi besoin, installer les outils:
apt-get install mdbtoolsLister les tables, et les dumper.
mdb-tables backup.mdb
mdb-export backup.mdp users passwdVérification du format du fichier:
$ file mails.pst
mails.pst: Microsoft Outlook email folderSi besoin, installer les outils:
apt-get install pst-utilsExtraire les boites mails, et les lire.
readpst mails.pst
cat mails.mboxUn fichier Odt est un fichier de traitement de texte tel OpenOffice ou LibreOffice, similaire à un document Word Docx.
Vérification du format du fichier:
$ file doc.odt
doc.odt: OpenDocument TextLe fichier est une archive au format Zip contenant une arborescence de fichiers xml.
On peut la dézipper et regarder le contenu des fichiers.
unzip doc.odt
cat content.xmlOn peut aussi utiliser odt2txt pour extraire le texte:
odt2txt doc.odtMéthode 1:
Dans le Menu [Statistiques], lance l'outil [Conversations]
Le premier onglet liste les trames ethernets.
Le second onglet liste les paquets IP extraits des trames ethernets. Il permet d'identifier les IP des machines.
L'onglet TCP, liste les sessions TCP contenues dans les paquets IP et reconstituées par Wireshark.
Selectionne l'onglet TCP, click sur un flux TCP puis le bouton 'follow Stream'
Méthode 2:
Survoler les paquets, identifier le flux TCP, et faire un Click droit sur un paquet TCP, et 'Suivre/TCP Stream'.
Identifier les connections TCP
tshark -nlr FILENAME -Y tcp.flags.syn==1 -T fields -e tcp.streamTshark recherche les connections TCP et leur donne un identifiant: 0, 1,...
Dumper le contenu de chaque flux en remplaçant ID par l'identifiant du flux: 0, 1,...
tshark -nlr FILENAME -qz "follow,tcp,ascii,ID"Cacher un fichier dans une image
steghide embed -cf IMAGEFILE -ef FILETOHIDE Extraire le fichier
steghide extract -sf IMAGEFILE -p PASSWORDBruteforcer l'extraction avec rockyou
ROCKYOUFILE=/usr/share/wordlists/rockyou.txt
ROCKYOULIST=`cat /usr/share/wordlists/rockyou.txt`
for word in $ROCKYOULIST
do
echo $word
ret=`steghide extract -sf $1 -p $word`
if [ $? -eq 0 ]
then
echo Found
exit 0
fi
doneEt en vidéo ?
Mounter le système de fichier sur le répertoire /tmp
mkdir /tmp/tmpmnt
sudo mount disk.img /tmp/tmpmnt
ls -al /tmp/tmpmnt
Démounter le point de mountage
sudo umount /tmp/tmpmnt photorec disk.img
Créer un point de montage sur le disque.
mkdir /tmp/tmpmnt
Utiliser Veracrypt en mode de compatibilité TrueCrypt (option -tc) et sans accélération (-m=nokernelcrypto) pour monter le disque.
sudo veracrypt -tc -m=nokernelcrypto --mount truecrypt_safe.img /tmp/tmpmnt
Enter password for truecrypt_safe.img:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:
Extraire le Hash
$ truecrypt2john.py truecrypt_safe.img > hash
Casser le Hash
$ john --format=tc_ripemd160 hash