C3PO (Forensics) - FCSC2022

Principe:
Explorer un dump réseau pour trouver un fichier-clef (image) contenant le flag

Infos (cf menu latéral):
🚩 Flaggué! +100 points gagnés — 💾 Téléchargez les fichiers du challenge
FCSC{2d47d546d4f919e2d50621829a8bd696d3cd1938}

Le challenge

Le challenge nous demande d'explorer un dump PCAP et d'en trouver le flag

Strings

Avant toute chose, un simple string sur le pcap nous remonte directement des fichiers utiles

Comme le challenge parle de "photos", on peut chercher les png, les jpg et autres tiff. Je n'ai montré ici que les PNG (qui, d'après la commande, sont envoyés via nc à une IP, au format base64)

Wireshark

On va chercher dans Wireshark l'IP vers laquelle l'image est envoyée
Clic droit, follow TCP stream, et on a le base64 envoyé par le client, qu'on "sauvegarde sous"
Et on le décode

Wireshark étant lancé en sudo, tous les fichiers qu'il exportera seront restreints à root

Flag!

Flag: FCSC{2d47d546d4f919e2d50621829a8bd696d3cd1938}