Pour commencer, il faut télécharger l’archive et l’extraire.
On va reprendre la logique de Forenzeek - Compromission initiale en la modifiant un petit peu.
On va récupérer les connexions provenant de la machine 192.168.1.42 et ciblant les ports 3389 (RDP) 5985 (EvilRM HTTP) 5986 (EvilRM HTTPs), car on nous dit dans l’énoncé :
[…] l’administrateur du réseau ait détecté une activité inhabituelle sur sa machine d’administration du parc[…]
grep "192.168.1.42" forenzeek.csv | awk '$6 ~ /^(3389|5985|5986)$/'
La ligne qui nous intéresse est celle “en provenance” (et non pas “à destination”) de 192.168.1.42 :
1756308531.8534107 <uid-de-la-connexion> 192.168.1.42 53559 192.168.1.38 5986 34224
🚩 Rappel du flag : FCSC{< uid-de-la-connexion >}