Dans le dump, on va chercher des requêtes DNS en lien avec "hallebarde",
le groupe méchant qui a corrompu notre gentil agent
Comme on a trouvé des requetes DNS, on va aussi chercher les requetes HTTP correspondantes
Un petit clic droit, suivre la conversation HTTP et on accède à tous les échanges HTTP
de ce flux
Un stream HTTP peut contenir plusieurs requêtes (multiplexing ou HTTP2):
cela évite de refaire une connexion TCP à chaque requête HTTP.
C'est une optimisation que les navigateurs font
Dans l'une des requêtes HTTP, qui est un script Python (servant ensuite à des exfiltrations),
on retrouve le flag:
404CTF{t3l3ch4rg3m3n7_b1z4rr3}
Par curiosité, on peut regarder le contenu du script: c'est une exfiltration de données
via des requêtes DNS (et un marqueur de début du tunnel DNS qui est un rickroll)
Principe:
