<- FORENSE

Taking LS

2 minutos de lectura

Se nos proporciona un archivo ZIP que contiene estos archivos y directorios:

$ unzip -l The\ Flag.zip
Archive:  The Flag.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
        0  10-30-2016 14:45   The Flag/
     6148  10-30-2016 14:45   The Flag/.DS_Store
        0  10-30-2016 14:46   __MACOSX/
        0  10-30-2016 14:46   __MACOSX/The Flag/
      120  10-30-2016 14:45   __MACOSX/The Flag/._.DS_Store
        0  10-30-2016 14:40   The Flag/.ThePassword/
       42  10-30-2016 14:41   The Flag/.ThePassword/ThePassword.txt  
    16647  10-30-2016 14:45   The Flag/The Flag.pdf
      177  10-30-2016 14:45   __MACOSX/The Flag/._The Flag.pdf
---------                     -------
    23134                     9 files

Ahora podemos extraer los archivos:

$ unzip The\ Flag.zip
Archive:  The Flag.zip
   creating: The Flag/
  inflating: The Flag/.DS_Store
   creating: __MACOSX/
   creating: __MACOSX/The Flag/
  inflating: __MACOSX/The Flag/._.DS_Store
   creating: The Flag/.ThePassword/
  inflating: The Flag/.ThePassword/ThePassword.txt  
  inflating: The Flag/The Flag.pdf
  inflating: __MACOSX/The Flag/._The Flag.pdf

Vamos a listar el directorio generado:

$ ls The\ Flag  
The Flag.pdf

Solamente vemos un archivo PDF, el cual está encriptado con contraseña. Sin embargo, el archivo ZIP contiene más archivos, como se mostró anteriormente. Podemos utilizar ls -a para listar todos los objetos (incluyendo los ocultos):

$ ls -a The\ Flag
.    ..    .DS_Store    .ThePassword    The Flag.pdf

Existe un directorio oculto llamado .ThePassword. Dentro podemos encontrar un archivo que contiene la contraseña del archivo PDF:

$ ls The\ Flag/.ThePassword
ThePassword.txt

$ cat The\ Flag/.ThePassword/ThePassword.txt  
Nice Job!  The Password is "Im The Flag".

Utilizando esta contraseña, podemos abrir el archivo PDF y leer la flag: CTFlearn{T3Rm1n4l_is_C00l}.