Principe:
Reconstituer des fichiers lors d'une exfiltration via un tunnel DNS (en quasi-base64)
Le challenge demande d'analyser
le contenu d'un dump (dispo ici)
et vu le texte, on aurait besoin de gz/zlib
On identifie que le fichier est un dump réseau
On l'ouvre dans Wireshark
On repère de nombreuses requetes DNS avec un ndd en base64, on suspecte donc un tunnel DNS
Le NDD est en fait constitué du nom du fichier (en base64), d'un tiret -
et des données du fichiers (en base64 aussi), puis d'un . et du top-level-domain
de l'attaquant .Zml
On filtre sur ce serveur DNS et sur les requetes DNS
On se crée une colonne dans Wireshark pour visualiser les noms de domaine appelés
et retrouver les fichiers
On exporte ces paquets, pour pouvoir tranquillement les reverse en PHP (j'aime bien PHP, pas vous?)
Un caractère ne colle pas pour du base64: le + a en fait été remplacé par une *
On filtre pour ne garder que les "Name" de notre colonne, et on crée un script (PHP)
qui analysera les données (avec le remplacement * en + )
On peut alors dé-base64-ifier les requetes et reconstituer les fichiers
(un des fichiers avait un nom vide, car il me manquait un trim )
On sauve le contenu des fichiers aussi
Ce sont des gzip, qu'on extrait (il faut leur donner la bonne extension pour ça)
L'un des fichiers est un doc Word, qui contient le flag:
FCSC{18e955473d2e12feea922df7e1f578d27ffe977e7fa5b6f066f7f145e2543a92}
↩ Retour à la liste des challenges
⇇ Retour à l'accueil