Le challenge consiste à trouver un flag dans un fichier pcapng (lien).
Le format pcapng constitue un standard de capture de flux réseau. Ouvert avec un logiciel adéquat il permet d’étudier les trames réseau qu’il contient. Pour ce challenge, j’ai utilisé le logiciel libre WireShark.
Premières constatations :
- Le fichier est contitué de près de 5000 trames
- On y trouve pas mal de trames HTTP. Il s’agit, au moins en partie, d’une navigation internet
Qu’il faille passer en revue 5000 trames comme une brute ne semble pas être la bonne piste. Surtout pour un challenge intro. Même en filtrant les trames (pour examiner uniquement le traffic HTTP par exemple), ça ne donne pas grand chose.
C’est là que le nom du challenge doit créer un déclic. “Petites notes”. Le format pcapng embarque un système de commentaires (ou notes) que l’on peut ajouter aux trames au fur et à mesure de son analyse. Le problème est que ce(s) commentaire(s), s’il(s) existe(nt) peuvent l’être sur n’importe laquelle des 5000 trames. Une aiguille dans une botte de foin !
Aucun problème pour WireShark. Il possède une fenêtre permettant d’afficher simplement les propriétés du ficher, et notamment l’ensemble des commentaires (Ctrl-Alt-Maj-C pour afficher).
Bingo ! Le flag est coupé en plusieurs morceaux disséminés dans le fichier (dans l’ordre des timestamp heureusement). La solution est donc : ECSC{cShle5dOKYBfjLNzT}