Cracking Protected Archives

🔎 Introduction

Dans le cadre d’analyses de sécurité, il est fréquent de rencontrer des archives ou fichiers compressés protégés par mot de passe (ex. : ZIP). Ces formats sont largement utilisés en entreprise afin de regrouper plusieurs documents (Excel, PDF, Word, présentations, etc.) dans un seul fichier structuré, souvent organisé en sous-dossiers. Cette méthode simplifie le partage et réduit les risques de perte de fichiers isolés.

Cependant, certains de ces fichiers peuvent être protégés par mot de passe, nécessitant des techniques spécifiques pour tenter d’accéder à leur contenu dans un cadre de test d’intrusion ou d’audit de sécurité.

📦 Types d’archives courants

De nombreux formats d’archives existent, parmi lesquels :

• ZIP, RAR, 7z, GZ, TAR

• VMDB/VMX (fichiers VMware)

• CPT, TrueCrypt, BitLocker, KDBX (bases de mots de passe ou disques chiffrés)

• DEB, PKG, APK, XZ, etc.

Un recensement complet est disponible sur FileInfo, listant plusieurs centaines de types d’archives. À noter : toutes ne prennent pas en charge nativement la protection par mot de passe. Dans ce cas, des outils tiers (comme OpenSSL ou GPG) sont souvent utilisés pour chiffrer le contenu.

🛠️ Méthodologie générale

Le processus de "cracking" des archives protégées repose sur deux étapes principales :

1. Extraction des empreintes ou hachages contenus dans l’archive via des scripts spécialisés (ex. : zip2john, bitlocker2john).

2. Attaque hors-ligne de ces hachages à l’aide d’outils comme John the Ripper (JtR) ou Hashcat, en s’appuyant sur des wordlists (ex. : rockyou.txt).

🔓 Cas pratiques

📁 Cracking des fichiers ZIP

Le format ZIP est très répandu, en particulier sous Windows. Pour extraire un hash exploitable :

zip2john fichier.zip > zip.hash

Ensuite, on lance l’attaque avec John the Ripper :

john --wordlist=rockyou.txt zip.hash
john zip.hash --show

Si le mot de passe est trouvé, l’archive est déchiffrable et son contenu accessible.

---

📂 Cracking des fichiers GZIP chiffrés avec OpenSSL

Certains formats comme TAR ou GZIP ne gèrent pas la protection native. Ils peuvent être chiffrés via OpenSSL. Pour identifier ce cas :

file fichier.gzip
# Résultat : openssl enc'd data with salted password

Le mot de passe peut être testé via une boucle qui tente de déchiffrer et extraire directement :

for i in $(cat rockyou.txt); do
  openssl enc -aes-256-cbc -d -in fichier.gzip -k $i 2>/dev/null | tar xz
 done

En cas de succès, un nouveau fichier est extrait.

---

💾 Cracking des disques chiffrés BitLocker

BitLocker est une solution de chiffrement complet de disque développée par Microsoft, utilisant AES-128/256. Il génère un mot de passe ou un code de récupération de 48 chiffres.

Pour extraire les hachages exploitables :

bitlocker2john -i Backup.vhd > backup.hashes
grep "bitlocker\$0" backup.hashes > backup.hash

Ensuite, Hashcat peut être utilisé (mode 22100) :

hashcat -a 0 -m 22100 backup.hash /usr/share/wordlists/rockyou.txt

En cas de réussite, le mot de passe est révélé et le volume peut être monté.

---

💻 Montage des disques BitLocker

Sous Windows

• Double-cliquer sur le fichier .vhd.

• Windows propose alors de monter le disque et demande le mot de passe.

Sous Linux/macOS

• Installer dislocker :

  sudo apt-get install dislocker

• Créer les points de montage :

  sudo mkdir -p /media/bitlocker /media/bitlockermount

• Configurer le disque comme périphérique loop et le monter :

  sudo losetup -f -P Backup.vhd
  sudo dislocker /dev/loop0p2 -u<MOTDEPASSE> -- /media/bitlocker
  sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockermount

Le contenu devient alors accessible en lecture.

⚠️ Points de vigilance

• Toutes les archives ne prennent pas en charge le chiffrement natif.

• Le temps de "cracking" dépend fortement de la complexité du mot de passe et des performances matérielles.

• L’usage de dictionnaires trop limités (ex. rockyou.txt) peut restreindre les chances de succès.

• Dans un contexte professionnel, le contournement de protections doit se faire dans le cadre légal (tests d’intrusion autorisés).

📚 Ressources utiles

• FileInfo – Compressed Files

• John the Ripper

• Hashcat

• Dislocker

---

Run the above target then navigate to http://ip:port/download, then extract the downloaded file. Inside, you will find a password-protected VHD file. Crack the password for the VHD and submit the recovered password as your answer.

Dans un premier temps, nous téléchargeons le fichier cracking-protected-archives.zip via la lien http://94.237.49.23:55416/download.

Nous pouvons alors extraire le contenu de ce dernier :

$ unzip cracking-protected-archives.zip 
Archive:  cracking-protected-archives.zip
  inflating: Private.vhd  

Une fois l'archive extrait, nous pouvons relever le fichier Private.vhd. Pour se faire, nous allons utiliser JohnTheRipper :

$ bitlocker2john -i Private.vhd > priv.hashes
$ grep "bitlocker\$0" priv.hashes > priv.hash
$ hashcat -a 0 -m 22100 priv.hash /usr/share/wordlists/rockyou.txt 
hashcat (v6.2.6) starting

[...]

$bitlocker$0$16$b3c105c7ab7faaf544e84d712810da65$1048576$12$b020fe18bbb1db0103000000$60$e9c6b548788aeff190e517b0d85ada5daad7a0a3f40c4467307011ac17f79f8c99768419903025fd7072ee78b15a729afcf54b8c2e3af05bb18d4ba0:francisco

Une fois hashcat lancé, nous pouvons trouver le mot de passe qui est francisco.

---

Mount the BitLocker-encrypted VHD and enter the contents of flag.txt as your answer.

Afin de monter les fichier vhd, nous devons installer dans un premier temps l'outil dislocker :

sudo apt-get install dislocker

L'outil installé, nous devons maintenant créer les points de montage que nous allons utiliser :

sudo mkdir -p /media/bitlocker /media/bitlockermount

Il nous faut maintenant configurer le disque comme périphérique loop et le monter :

sudo losetup -f -P Private.vhd
sudo dislocker /dev/loop0p1 -ufrancisco -- /media/bitlocker
sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockermount

Une fois le périphérique monté, nous pouvons inspecter son contenu et observer la présence du fichier flag.txt :

$ ls /media
bitlocker  bitlockermount  cdrom  cdrom0

$ ls /media/bitlockermount/
flag.txt  'System Volume Information'

Nous pouvons alors observer le contenu du fichier flag.txt :

$ cat /media/bitlockermount/flag.txt 
43d95aeed3114a53ac66f01265f9b7af

---