Description
Connaissez-vous bien le format PCAPng ?
Etat des lieux
On commence donc ce challenge avec une capture réseau. Premier réflexe de CTF avec un format de flag : strings
.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| ➜ petitenote hexdump -C petites_notes.pcapng | grep -C 10 'ECSC'
001b3f80 00 0a 00 00 2f 03 6e 73 31 05 6b 61 73 65 63 02 |..../.ns1.kasec.|
001b3f90 61 74 00 0a 68 6f 73 74 6d 61 73 74 65 72 c0 10 |at..hostmaster..|
001b3fa0 5c c0 3a 9f 00 00 40 00 00 00 08 00 00 10 00 00 |\.:...@.........|
001b3fb0 00 00 0a 00 bc 00 00 00 06 00 00 00 80 00 00 00 |................|
001b3fc0 00 00 00 00 5e c2 99 15 a8 8b 11 2f 4a 00 00 00 |....^....../J...|
001b3fd0 4a 00 00 00 a4 3e 51 0c ed 79 bc ee 7b 2e 15 90 |J....>Q..y..{...|
001b3fe0 08 00 45 00 00 3c 7d 96 40 00 40 06 6e 95 c0 a8 |..E..<}.@.@.n...|
001b3ff0 01 19 34 a6 58 29 83 5e 01 bb 05 ef b9 51 00 00 |..4.X).^.....Q..|
001b4000 00 00 a0 02 72 10 7e 3a 00 00 02 04 05 b4 04 02 |....r.~:........|
001b4010 08 0a 00 03 c4 c7 00 00 00 00 01 03 03 07 00 00 |................|
001b4020 01 00 09 00 45 43 53 43 7b 63 53 68 6c 00 00 00 |....ECSC{cShl...|
001b4030 00 00 00 00 80 00 00 00 06 00 00 00 6c 00 00 00 |............l...|
001b4040 00 00 00 00 5e c2 99 15 79 e0 14 2f 4a 00 00 00 |....^...y../J...|
001b4050 4a 00 00 00 a4 3e 51 0c ed 79 bc ee 7b 2e 15 90 |J....>Q..y..{...|
001b4060 08 00 45 00 00 3c fa 0e 40 00 40 06 f2 1c c0 a8 |..E..<..@.@.....|
001b4070 01 19 34 a6 58 29 83 60 01 bb 8f fc 3e c9 00 00 |..4.X).`....>...|
001b4080 00 00 a0 02 72 10 6e b3 00 00 02 04 05 b4 04 02 |....r.n.........|
001b4090 08 0a 00 03 c4 c7 00 00 00 00 01 03 03 07 00 00 |................|
001b40a0 6c 00 00 00 06 00 00 00 6c 00 00 00 00 00 00 00 |l.......l.......|
001b40b0 5e c2 99 15 c6 66 17 2f 4a 00 00 00 4a 00 00 00 |^....f./J...J...|
001b40c0 a4 3e 51 0c ed 79 bc ee 7b 2e 15 90 08 00 45 00 |.>Q..y..{.....E.|
|
On peut voir le début du flag, mais il n’apparaît pas directement dans les communications:

Fig 1: Recherche de la chaine “ECSC”
Je me suis donc mis à la recherche d’une chaîne à coté, comme e5dH
:

Fig 2: Début et fin de paquets
Donc le début de flag, et probablement la suite, se trouve “entre” des paquets. Maintenant, il va falloir RTFM les fonctionnalités de Wireshark.
https://packetu.com/2013/06/18/using-the-wireshark-commenting-feature/
Un peu de tshark
et voilà notre flag :

Flag
ECSC{cShle5dOKYBfjLNzT}