> For the complete documentation index, see [llms.txt](https://book.onosh.ovh/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://book.onosh.ovh/ctf/cnssis2022/un-attaquant-sur-le-reseau.md). # Un attaquant sur le réseau ### Contexte Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque. {% file src="/files/hTSQbejJ677cj5qGkYtw" %} ### Découverte de la capture de trames On peut déjà imaginer une timeline grâce à l'énoncé : 1. Attaquant connecté au réseau local 2. Reconnaissance réseau : 1. ARP ? 2. NMAP ? 3. Connexion à un équipement Quelques statistiques sur le fichier pcap : ![+35000 pkts capturés](/files/fmwua6vYaD0fpdnhI3MJ) ![2 adresses ip en communication](/files/3U9AbHXvRZ7YKVjGnun8) On découvre aussi plusieurs protocoles : ![](/files/SKhuIkhhI7uHfQ70mGiQ) {% tabs %} {% tab title="LLC" %} De la couche basse avec LLC et LLDP ![](/files/fIcWdy9mTXIfXQ9nZStp) Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux. {% endtab %} {% tab title="Appli" %} Des protocoles de connexion sur TCP avec telnet et SSH {% endtab %} {% endtabs %} ### Qui attaque qui ? Qui est l'attaquant ? Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions. Le SYN vient de **10.0.0.153**, cette machine est donc celle de l'attaquant. ![](/files/zedqjCwBNpGLICrSQycT) On confirme l'hypothèse avec le SSH : ![](/files/R9AugHm49YJw4X7z5Bzw) Qui est la victime ? Le commutateur est 10.0.0.10. ### Recherche du port Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté. ![](/files/xczw0ErUQ5WNRYBDAwDz) Le numéro de port est affiché : 19 ![](/files/1NO3lffpxADimUL10RS7) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://book.onosh.ovh/ctf/cnssis2022/un-attaquant-sur-le-reseau.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.