Toxic

• Catégorie : Web (fichiers système / stégo)
• Difficulté : Intermédiaire

Résumé

Ce répertoire contient des extraits d'une machine cible : exports de comptes (passwd, passwd.txt), un shadow (vide dans le dépôt) et une image dart-frog.jpg. L'objectif est d'identifier des informations sensibles (flags, comptes, indices) et d'explorer des pistes d'exfiltration (stéganographie, permissions, fichiers exposés).

Fichiers importants

• passwd / passwd.txt — export de /etc/passwd : liste des comptes et chemins d'accueil.
• shadow — vide ici ; sur la cible réelle il contiendrait les hashes de mots de passe.
• dart-frog.jpg — candidat à l'analyse stéganographique et métadonnées.

Observations

Les entrées montrent des comptes web typiques :

www:x:1000:1000:1000:/home/www:/bin/sh
nginx:x:100:101:nginx:/var/lib/nginx:/sbin/nologin

Le shadow étant absent ici, penser à récupérer le fichier sur la cible si accessible.

Méthodologie recommandée

1. Examiner dart-frog.jpg pour détecter de la stéganographie ou des métadonnées (strings, exiftool, zsteg, steghide).
2. Inspecter les home directories et fichiers web des comptes www/nginx pour trouver des flags ou fichiers exposés.
3. Si le shadow est récupéré, tenter un cracking hors-ligne (john, hashcat).
4. Rechercher flag.txt, clefs privées, ou endpoints vulnérables indiqués par les chemins dans passwd.

Commandes utiles

strings dart-frog.jpg | less
exiftool dart-frog.jpg
steghide extract -sf dart-frog.jpg
file passwd shadow
grep -i flag -R .

Indices

• Une image fournie avec des fichiers système est souvent utilisée pour cacher des données.
• Les comptes www/nginx ciblent les répertoires web où des flags peuvent être exposés.

Références

• Outils stégo : steghide, zsteg, binwalk, exiftool.
• Cracking : john, hashcat.