Table des matières
C-3PO
Le challenge consistait en un pcap contenant des trames provenant d’un téléphone android.
D’après l’énoncé on cherche une image qui a été exfiltrée.
La méthodologie appliquée pour retrouver lestrames contenant l’image :
- On filtre les communications en https :
tcp.dstport != 443 && tcp.srcport != 443; - on voit assez vite un meterpreter sur un port distant 1337,donc on filtre sur les communications sortantes du téléphone vers le C&C :
ip.src==10.0.2.16 && ip.dst==172.18.0.1; - les communications de metasploit étant chiffrées on filtre le port distant 1337 pour voir les autres communications :
tcp.dstport!=1337.
Ce qui nous donne le filtre suivant : tcp.dstport != 443 && tcp.srcport != 443 && ip.src==10.0.2.16 && ip.dst==172.18.0.1 && tcp.dstport!=1337
On voit assez vite apparaitre de la base64 dans les trames, pour l’extraire : Click droit -> Suivre -> Flux TCP.
Une fois décodée, nous récupérons un fichier PNG contenant le flag.