Un agent compromis 1/3 (Forensics) - 404CTF2022

Principe:
Repérer, dans un dump réseau, un script python (qui servira à exfiltrer des données plus tard)

Infos (cf menu latéral):
🚩 Flaggué! +864 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{t3l3ch4rg3m3n7_b1z4rr3}

Le challenge

Le challenge demande de retrouver un fichier téléchargé par un "insider" dans un dump réseau (dispo ici) .
Les autres fichiers du challenge sont là

DNS

Dans le dump, on va chercher des requêtes DNS en lien avec "hallebarde", le groupe méchant qui a corrompu notre gentil agent
Comme on a trouvé des requetes DNS, on va aussi chercher les requetes HTTP correspondantes
Un petit clic droit, suivre la conversation HTTP et on accède à tous les échanges HTTP de ce flux

Un stream HTTP peut contenir plusieurs requêtes (multiplexing ou HTTP2): cela évite de refaire une connexion TCP à chaque requête HTTP. C'est une optimisation que les navigateurs font

Flag

Dans l'une des requêtes HTTP, qui est un script Python (servant ensuite à des exfiltrations), on retrouve le flag
Par curiosité, on peut regarder le contenu du script: c'est une exfiltration de données via des requêtes DNS (et un marqueur de début du tunnel DNS qui est un rickroll)

Flag: 404CTF{t3l3ch4rg3m3n7_b1z4rr3}