Solution
Le premier indice quant à la résolution du challenge se trouve dans sa description : Connaissez-vous bien le format PCAPng ?
Nous comprenons rapidement que la première étape consiste a obtenir plus d’informations sur le format PCAPng.
La recherche des termes “What is the pcapng format” permet de trouver un article détaillé sur le sujet écrit par Tshark, l’équivalent de Wireshark en ligne de commande.
À l’intérieur, nous y retrouvons la définition suivante :
Pcapng is an evolution from the pcap format, created to address some of its deficiencies.
[...]
Any file that uses comments, multiple interfaces, or saves name resolutions MUST be a pcapng file.
Nous apprenons qu’un fichier de capture réseau contenant des commentaires (pouvant s’apparenter à des “petites notes” 😉) utilise le format PCAPng. En considérant le nom de l’épreuve comme notre second indice, nous pouvons émettre l’hypothèse que cette capture réseau en contient. Vérifions…
Après avoir ouvert le fichier sur Wireshark, il est possible d’afficher les propriétés du fichier de capture. Pour ce faire, il suffit de cliquer sur l’icône en bas à gauche :
Une nouvelle fenêtre s’ouvre alors. Celle-ci contient des informations sur le fichier telles que son nom, la durée de la capture, le système ayant procédé à celle-ci, etc. En naviguant jusqu’en bas de cette fenêtre nous retrouvons les commentaires du paquet ainsi que le numéro de trame associé.
Ainsi, il ne manque plus qu’à reconstituer le flag : ECSC{cShle5dOKYBfjLNzT}.