Le challenge nous demande d'analyser un dump réseau (dispo ici) et d'en trouver des informations
Un flag en flags
Dans le dump, on voit beaucoup de TCP RESET! mais aussi d'autres flags dans tous les sens (ECN, URG, FIND…)On observe alors les deux bytes utilisés pour les flags TCP: ici, P%En faisant défiler chaque paquet TCP ainsi, on voit que les bytes des flags forment P% PP PD PF P- P1 P. P7 soit le header %PDF-1.7 d'un fichier PDF
Extraire les flags
On crée une colonne Wireshark avec les deux bytes des flags TCP et on exporte les donnéesOn se crée un script qui va parser ces données extraites, récupérer les deux bytes des flags TCP, et ne garder que le deuxième pour reconstituer le fichier PDFAprès quelques essais, le script finit par fonctionner
Flag
On ouvre alors le fichier PDF reconstitué et en dernière page, on trouve le flag
