Baby Forensic
Description
Write Up: Mahel BROSSIER
Créateur: Isnubi Louis GAMBART
Difficulté: Facile
Points: 50 points
Format du flag: HACKDAY{}
Enoncé
- Français: Recover the compromising information contained in this wireshark capture. Our network informed us that the Syndicat attack took place in a network capture. You must check if the Union agents have left traces and recover any compromising information contained in this network capture.
- English: Notre réseau nous à informés qu'une attaque du Syndicat à eu lieu dans une capture réseau. Vous devez vérifier si les agents du Syndicat ont laissés des traces et récupérer toutes informations compromettantes contenues dans cette capture réseau.
Solution détaillée
Nous commençons par ouvrir le fichier pcap avec Wireshark. Nous observons une communication TFTP entre un client et un serveur, où le client envoie un fichier au serveur.
Le fichier est transmis par blocs de 512 octets. Nous allons utiliser Wireshark pour extraire les données des paquets. Nous sélectionnons le premier paquet de données, faisons un clic droit dessus, puis choisissons "Follow" et "UDP Stream". Cela nous permet de visualiser les données du flux. Nous sélectionnons la direction de la communication (du serveur vers le client) et enregistrons les données sous forme de fichier brut.
Nous disposons maintenant d'un fichier brut que nous pouvons analyser. Il s'agit d'un fichier de configuration Cisco. Nous pouvons ignorer rapidement la ligne username, car elle n'est pas exploitable si le mot de passe n'est pas dans une liste de mots (mot de passe Cisco de type 9).
Bien que le fichier contienne de nombreuses informations inutiles, nous remarquons une chaîne encodée en base64 dans la ligne snmp-server host, dans le paramètre community, qui n'est pas censé être encodé en base64.
Nous pouvons décoder cette chaîne pour obtenir le flag.
cat data | grep "snmp-server host" | awk '{print $6}' | base64 --decode
HACKDAY{FLAG}
Retex
Bon challenge pour commencer à manipuler wireshark