Surinausor (Winds of the past)

misc FCSC 2025 résolu le

star star star

Description

Le FCSC est un CTF au format Jeopardy, mais voici une épreuve pour vous entrainer au mode Attaque-Défense. Les flags échangés entre les équipes simulées sont fictifs et indépendants du FCSC. Votre but est de filtrer le trafic réseau : une fois que vous aurez réussi, le flag pour valider l’épreuve FCSC vous sera donné.

Vous jouez un CTF en mode Attack/Defense, mais c’est la catastrophe ! Les organisateurs n’ont fourni que des services sous forme de binaires ou dans des langages exotiques que vous ne connaissez pas, impossible de les patcher simplement. Vous décidez de changer drastiquement de stratégie : plutôt que de corriger les vulnérabilités, vous mettez en place un système de prévention d’intrusion (IPS) sur la machine hébergeant vos services (la vulnbox).

Nous vous donnons en référence une capture réseau (fichier winds-of-the-past.pcap) réalisée au moment où vous avez découvert avec horreur sur le scoreboard qu’une équipe a réussi à voler vos flags. Les flags de cet attaque-défense suivent la regex ECSC_[A-Za-z0-9\/+]{32}. Votre but est d’écrire des règles Suricata pour bloquer seulement le payload utilisé par la ou les attaques observées. Il ne faut pas bloquer le trafic légitime qui permet entre autre de déposer des flags et tester la présence des flags dans le service. Une fois vos règles écrites, vous pouvez vous connectez sur nc localhost 4000 pour les tester sur du nouveau trafic. Nous vous donnons le flag FCSC une fois le service correctement protégés (trafic illégitime bloqué, trafic légitime non modifié).

Vous pouvez télécharger des exemples de règles de blocage ici pour vous inspirer : https://rules.emergingthreats.net/OPEN_download_instructions.html. Nous vous recommandons également de lire la documentation de Suricata : https://docs.suricata.io/en/suricata-7.0.6/rules/index.html.

Note : Le service d’Attaque-Défense considéré est Winds of the past, développé initialement pour l’ECSC 2022. Il n’est pas utile d’aller lire le code source de ce service pour résoudre cette épreuve.

Fichiers

Auteur

erdnaxe

Instructions

  1. Pour commencer, téléchargez le fichier docker-compose.yml :
    curl https://hackropole.fr/challenges/fcsc2025-misc-surinosaur/docker-compose.public.yml -o docker-compose.yml
  2. Lancez l'épreuve en exécutant dans le même dossier :
    docker compose up
  3. Dans un second terminal, accédez à l'épreuve via Netcat avec :
    nc localhost 4000
⚠️ Important : Vous devez résoudre l'épreuve en interagissant avec le conteneur Docker via le port réseau exposé. Toute autre interaction n'est pas considérée comme une résolution valide.

Si vous rencontrez des problèmes, veuillez consulter la FAQ.

Flag

Partager ma réussite sur Fediverse, Twitter, Linkedin, Facebook, ou par email.

Soumettez votre solution

Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.

Vous avez besoin d'être identifié(e) pour soumettre une solution.

Solutions

Il n'y a pas encore de solutions pour cette épreuve, mais vous pouvez soumettre la vôtre après avoir trouvé le flag.