John Hammond
DerniĂšre mise Ă jour
DerniĂšre mise Ă jour
Oh no! I found some spyware on my laptop. Can you find out what the attacker saw?
Dans cette capture, nous avons un grand trafic TCP avec une seule et unique requĂȘte http :
Cette requĂȘte HTTP vient interroger un serveur web qui Ă©coute sur le port 8081 pour rĂ©cupĂ©rer une image :
Nous avons la réponse à cette demande dans les trames TCP qui suivent. Il va donc falloir reconstituer l'image...
Nous savons que l'émetteur de l'image est le serveur qui écoute sur le port 8081... nous devons donc récupérer les trames TCP qui proviennent de ce port :
J'applique le filtre tcp.srcport == 8081
2000 trames ressortent, ça va ĂȘtre compliquĂ© de faire ça Ă la main... un peu de tshark s'impose !
J'utilise la commande suivante pour extraitre les données et reconstituer l'image :
Petit problĂšme, on a un bout de la requĂȘte HTTP dans le fichier image :
Du coup je l'enlĂšve Ă la mano, et maintenant j'ai bien une image au format jpeg :
Nous pouvons maintenant ouvrir l'image
Okay cool... un téléphone ?... et maintenant ?
Le challenge est dans la catégorie forensic, je décide d'extraire quelques infos avec foremost !
Haha, il y avait des images cachés !
Le téléphone à l'air de faire défiler un texte...
Il ne reste plus qu'a reconstituer le flag :
flag{i_spy_with_my_little_eye}