Principe:
Repérer, dans un dump réseau, un script python (qui servira à exfiltrer des données plus tard)
Le challenge demande de retrouver un fichier téléchargé par un "insider" dans
un dump réseau (dispo ici)
(
les autres fichiers du challenge sont là
)
Dans le dump, on va chercher des requêtes DNS en lien avec "hallebarde",
le groupe méchant qui a corrompu notre gentil agent
Comme on a trouvé des requetes DNS, on va aussi chercher les requetes HTTP correspondantes
Un petit clic droit, suivre la conversation HTTP et on accède à tous les échanges HTTP
de ce flux
Un stream HTTP peut contenir plusieurs requêtes (multiplexing ou HTTP2):
cela évite de refaire une connexion TCP à chaque requête HTTP.
C'est une optimisation que les navigateurs font
Dans l'une des requêtes HTTP, qui est un script Python (servant ensuite à des exfiltrations),
on retrouve le flag:
404CTF{t3l3ch4rg3m3n7_b1z4rr3}
Par curiosité, on peut regarder le contenu du script: c'est une exfiltration de données
via des requêtes DNS (et un marqueur de début du tunnel DNS qui est un rickroll)
↩ Retour à la liste des challenges
⇇ Retour à l'accueil