Pour commencer, il faut télécharger l’archive et l’extraire.
On nous précise dans l’énoncé que la machine cible a pour IP 192.168.1.42 et que la compromission a été réalisée via un email.
On va donc récupérer toutes les entrées possédant l’adresse IP et les ports associé aux protocoles emails :
grep "192.168.1.42" forenzeek.csv | awk '$6 ~ /^(110|143|993|995)$/'
La ligne qui nous intéresse est celle qui a le poids le plus lourd :
1756310527.5550206 <uid-de-la-connexion> 192.168.1.42 58719 192.168.1.4 993 102025
🚩 Rappel du flag : FCSC{< uid-de-la-connexion >}