Wi-Fight A Ghost ?

Patience et persévérance sont les clés de la réussite dans cette plongée dans Windows.

Description du challenge

• Nom du CTF : L3akCTF 2025
• Catégorie : Forensic
• Date : 11-13 Juillet 2025

On nous donne le challenge suivant :

En se connectant au serveur netcat, on peut voir la longue quête qui nous attend :

Welcome to the Ghost Hunt Terminal. Answer all questions to reveal the final flag.
Type 'exit' at any prompt to quit.


Unanswered Questions:
  1. What was the ComputerName of the device?
  2. What was the SSID of the first Wi-Fi network they connected to?
  3. When did they obtain the DHCP lease at the first caf├®?
  4. What IP address was assigned at the first caf├®?
  5. What GitHub page did they visit at the first caf├®?
  6. What did they download at the first caf├®?
  7. What was the name of the notes file?
  8. What are the contents of the notes?
  9. What was the SSID of the second Wi-Fi network they connected to?
  10. When did they obtain the second lease?
  11. What was the IP address assigned at the second caf├®?
  12. What website did they log into at the second caf├®?
  13. What was the MAC address of the Wi-Fi adapter used?
  14. What city did this take place in?

Answered so far:

Enter question number to answer:

1. ComputerName

Cela rappelle aisément un challenge de Root Me, Command & Control - niveau 2, où il fallait trouver le nom de l'ordinateur dans un dump mémoire.

Cette fois, c'est encore plus simple car nous avons déjà accès aux fichiers.

Il suffit de regarder dans C:\\Windows\\System32\\config\\SYSTEM pour trouver la valeur ComputerName :

Avec l'outil Registry Explorer, on peut ouvrir le fichier SYSTEM et naviguer jusqu'à la clé ControlSet001\\Control\\ComputerName\\ComputerName :

Réponse 1

99PHOENIXDOWNS

2. SSID du premier réseau Wi-Fi

Il y a plusieurs façons de trouver le SSID du premier réseau Wi-Fi auquel l'utilisateur s'est connecté.

Je décide de regarder dans les fichiers d'évènements Windows, en particulier dans le journal Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx, accessible dans le dossier C:\\Windows\\System32\\winevt\\Logs.

J'utilise l'observateur d'évènements Windows

Réponse 2

mups_guest_5G

3. Date d'obtention du bail DHCP au premier café

Pour trouver la date d'obtention du bail DHCP, je regarde dans le fichier C:\\Windows\\System32\\config\\SYSTEM avec Registry Explorer.

Il suffit de naviguer jusqu'à la clé ControlSet001\\Services\\Tcpip\\Parameters\\Interfaces et de trouver l'interface correspondant au SSID du premier réseau Wi-Fi.

Dans notre cas, c'est l'interface {18c11dbd-93ab-4ca9-a804-4f4475da25b8}\D6577637F57657563747F55374 :

On récupère la valeur LeaseObtainedTime qui est en temps epoch : 1747181616.

On la convertit en date avec un outil en ligne comme epochconverter.com :

Réponse 3

2025-05-14 00:13:36

4. Adresse IP assignée au premier café

On peut trouver l'adresse IP assignée au premier café dans le même fichier SYSTEM que précédemment, dans la valeur DhcpIPAddress :

Réponse 4

192.168.0.114

5. Page GitHub visitée au premier café

Il faut rechercher dans les fichiers des navigateurs. On regarde du côté de Edge, dans le dossier C:\\Users\\NotVi\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default.

On récupère le fichier History qui est au format SQLite. On peut l'ouvrir avec un outil comme DB Browser for SQLite.

Dans la table urls, on peut remarquer la seule URL Github :

Réponse 5

https://github.com/dbissell6/DFIR/blob/main/Blue_Book/Blue_Book.md

6. Fichier téléchargé au premier café

On reste dans le fichier History de Edge et on regarde la table downloads.

Réponse 6

chromesetup.exe

7. Nom du fichier de notes

Là encore, plusieurs façons de trouver le nom du fichier. Je décide de regarder dans les fichiers récents de l'explorateur Windows, dans le fichier C:\\Users\\NotVi\\NTUSER.DAT.

Dans la clé Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.txt, on trouve le nom du fichier :

Réponse 7

howtohacktheworld.txt

8. Contenu du fichier de notes

Certainement la partie qui m'a pris le plus de temps.

Je décide alors d'utiliser l'outil LECmd pour essyaer de récupérer le chemin du fichier depuis le fichier .lnk correspondant.

Dans le fichier de log fourni 2025-05-14T00_43_48_0680862_CopyLog.csv, le fichier .lnk est stocké dans C:\Users\NotVi\AppData\Roaming\Microsoft\Windows\Recent\HowToHackTheWorld.lnk.

On lance l'outil LECmd sur le fichier .lnk :

LECmd.exe -f "C:\Users\NotVi\AppData\Roaming\Microsoft\Windows\Recent\HowToHackTheWorld.lnk"

On trouve le chemin du fichier de notes dans le champ Local Path :

--- Link information ---
Flags: VolumeIdAndLocalBasePath

>> Volume information
  Drive type: Fixed storage media (Hard drive)
  Serial number: 30E54C6D
  Label: Windows
  Local path: C:\Users\NotVi\OneDrive\Desktop\HowToHackTheWorld.txt

Malheureusement, le fichier n'existe pas. Il n'existe pas non plus de trace de ce fichier dans les dossiers internes de OneDrive.

Dernière solution, récupérer le fichier depuis le $MFT de la partition NTFS.

Grâce à l'outil MFTECmd, on peut extraire le fichier de notes.

La commande --dr permet de récupérer les Resident Data :

MFTECmd.exe -f $MFT --csv output\ --dr

On peut alors ouvrir le .txt :

Réponse 8

Practice and take good notes.

9. SSID du deuxième réseau Wi-Fi

On peut trouver le SSID du deuxième réseau Wi-Fi de la même manière que pour le premier, en regardant dans les fichiers d'évènements Windows.

On trouve le SSID dans le journal Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx :

Réponse 9

AlleyCat

10. Date d'obtention du bail DHCP au deuxième café

On peut trouver la date d'obtention du bail DHCP au deuxième café de la même manière que pour le premier, en regardant dans le fichier SYSTEM.

Dans ce cas, il s'agit de l'interface {18c11dbd-93ab-4ca9-a804-4f4475da25b8} au niveau de ControlSet001\\Services\\Tcpip\\Parameters\\Interfaces.

Réponse 10

2025-05-14 00:35:07

11. Adresse IP assignée au deuxième café

On peut trouver l'adresse IP assignée au deuxième café de la même manière que pour le premier, dans le fichier SYSTEM et la clé DhcpIPAddress.

Réponse 11

10.0.6.28

12. Site web visité au deuxième café

Nous avons vu en détail l'historique de navigation de Edge. On va regarder du côté de Google Chrome, dans le dossier C:\\Users\\NotVi\\AppData\\Local\\Google\\Chrome\\User Data\\Default.

Réponse 12

l3ak.team

13. Adresse MAC de l'adaptateur Wi-Fi utilisé

On peut trouver l'adresse MAC dans C:\Windows\System32\winevt\logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx

Réponse 13

48:51:C5:35:EA:53

14. Ville où cela s'est passé

Pour récupérer la ville, on a deux hypothèses :

1. On récupère une adresse IP publique et on la géolocalise.
2. On utilise les SSID des réseaux Wi-Fi qu'on va tenter de géolocaliser.

La première option est trop complexe. Après longue exploration, pas de trace d'adresse IP publique dans les fichiers.

La deuxième option est alors sur la table. Il existe un site qui permet de géolocaliser les SSID de réseaux Wi-Fi : Wigle.

Cependant, la recherche serait trop large. On va tenter de trouver des éléments pouvant réduire la zone de recherche.

Récupération du fuseau horaire

On va pour cela récupérer le fuseau horaire de l'utilisateur dans le fichier SYSTEM.

Il s'agit de la valeur TimeZoneKeyName dans la clé HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation :

On trouve la valeur Mountain Standard Time, ce qui limite notre recherche à quelques états américains.

Géolocalisation des SSID

On géolocalise les SSID avec Wigle. mups_guest_5G ne donne rien et AlleyCat donne plusieurs résultats.

Par tâtonnement, on trouve la réponse :

Réponse 14

fort collins

Obtention du flag

On envoie toutes nos réponses au serveur netcat :

FLAG

L3AK{Gh057_R!d!ng_7h3_W4v35}