🏴‍☠️
onosh'tes
  • Onosh'tes
  • CTF
    • ☠️leHACK 2024 - Challenge DLS
    • Malizen 2023
      • 🐒Monkey Money​ Challenge
    • European Cyber Cup 2022
      • [OT] - Sauvez la centrale nucléaire !
    • CNSSIS2022
      • Rançongiciel
      • DICOM
      • Petite frappe
      • Dropper [.docx]
      • Lsass
      • Oncle Sam
      • Bad DNS
      • Un attaquant sur le réseau
      • Données de santé exposées...
      • Scan TLS
    • BreizhCTF2022
      • Des deux côtés 1/2
      • Des deux côtés 2/2
    • European Cyber Week
      • Maker is dead
    • John Hammond
    • ESN'HACK
      • EXFILTRATION 1
      • EXFILTRATION 2
    • France Cybersecurity Challenge
      • Académie de l'investigation - C'est la rentrée
      • Académie de l'investigation - Premiers artéfacts
      • Académie de l'investigation - Porte dérobée
      • Académie de l'investigation - Administration
      • Chapardeur de mots de passe
      • Find Me
      • Cap ou pcap ?
      • Randomito
      • Le rat conteur
  • Tools
  • For Fun
    • 💸Marketing, that good liar !
Propulsé par GitBook
Sur cette page
  • Contexte
  • Découverte de la capture de trames
  • Qui attaque qui ?
  • Recherche du port

Cet article vous a-t-il été utile ?

  1. CTF
  2. CNSSIS2022

Un attaquant sur le réseau

PrécédentBad DNSSuivantDonnées de santé exposées...

Dernière mise à jour il y a 3 ans

Cet article vous a-t-il été utile ?

Contexte

Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque.

Découverte de la capture de trames

On peut déjà imaginer une timeline grâce à l'énoncé :

  1. Attaquant connecté au réseau local

  2. Reconnaissance réseau :

    1. ARP ?

    2. NMAP ?

  3. Connexion à un équipement

Quelques statistiques sur le fichier pcap :

On découvre aussi plusieurs protocoles :

De la couche basse avec LLC et LLDP

Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux.

Des protocoles de connexion sur TCP avec telnet et SSH

Qui attaque qui ?

Qui est l'attaquant ?

Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions.

Le SYN vient de 10.0.0.153, cette machine est donc celle de l'attaquant.

On confirme l'hypothèse avec le SSH :

Qui est la victime ?

Le commutateur est 10.0.0.10.

Recherche du port

Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté.

Le numéro de port est affiché : 19

4MB
challenge_local_network_attack.pcap
+35000 pkts capturés
2 adresses ip en communication