Un agent compromis 1/3 (Forensics) - 404CTF 2022

Fichiers du challenge Principe:
Repérer, dans un dump réseau, un script python (qui servira à exfiltrer des données plus tard)

Le challenge

Le challenge demande de retrouver un fichier téléchargé par un "insider" dans un dump réseau (dispo ici) ( les autres fichiers du challenge sont là )

DNS

Dans le dump, on va chercher des requêtes DNS en lien avec "hallebarde", le groupe méchant qui a corrompu notre gentil agent
Comme on a trouvé des requetes DNS, on va aussi chercher les requetes HTTP correspondantes
Un petit clic droit, suivre la conversation HTTP et on accède à tous les échanges HTTP de ce flux

Un stream HTTP peut contenir plusieurs requêtes (multiplexing ou HTTP2): cela évite de refaire une connexion TCP à chaque requête HTTP. C'est une optimisation que les navigateurs font

Flag

Dans l'une des requêtes HTTP, qui est un script Python (servant ensuite à des exfiltrations), on retrouve le flag:
404CTF{t3l3ch4rg3m3n7_b1z4rr3}
Par curiosité, on peut regarder le contenu du script: c'est une exfiltration de données via des requêtes DNS (et un marqueur de début du tunnel DNS qui est un rickroll)

Fichiers du challenge

⇇ 404CTF 2022