- Auteurs : toffan et Vahlkar
- Type : Miscellaneous
Highway to jail - part. 1
Challenge disponible sur :
https://www.bde.enseeiht.fr/~lanielv/THC2K17_highwaytojail/capture.pcap.gz
f4229f436fd745a17e32ff2dd988b1e8e5e1dff6a79d69f2c314bf5e43b257c1 capture.pcap
Writeup des auteurs disponible sur :
Ce challenge se compose de deux parties. La première partie est une épreuve d'analyse forensique. La deuxième partie est une épreuve de stéganographie.
Sur une échelle [Facile, Moyen, Difficile, Hardcore] le chall se situe :
- Partie 1 : Difficile
- Partie 2 : Moyen
Service note:
The target is a political opponent who has been spotted in demonstrations and has been arrested several times for public disturbance and refusal to obey. In the framework of the war on terrorism, this individual has also been put under strengthened surveillance because of his frequent use of cryptography.
One of our field agents has put a network-capturing device on the desktop computer of this individual. We have thus managed to obtain a network capture.
For the sake of public image, we must silence this individual and put him behind bars. Your mission is to find something incriminating him. Anything will do.
Note de service:
La cible est un opposant politique aperçu lors de manifestations et plusieurs fois interpelé pour trouble à l'ordre public et refus d'obtempérer. Dans le cadre de la lutte anti-terroriste, cet individu a également été placé sous surveillance accrue pour usage régulier de la cryptographie.
L'un de nos agent de terrain a posé un dispositif de capture réseau sur l'ordinateur de bureau (desktop) de cet individu. Nous avons ainsi obtenu une capture réseau.
Par soucis d'image publique nous devons faire taire cet individu et le mettre derrière les barreaux. Votre mission est de trouver de quoi l'incriminer, n'importe quoi fera l'affaire.
capture.pcap
(md5: ...)
Dans le fichier de log src/hackcave.log
le topic du salon IRC est le flag.
Il faut ensuite faire un make clean && make migrate
puis refaire la capture
réseau.
Au préalable il faut récupérer les ressources non versionnées du dossier res
sur :
https://www.bde.enseeiht.fr/~lanielv/THC2K17_highwaytojail/res/
Le SHA256SUM est versionné sur le dépot. Il faut extraire severus.qcow2.gz.
Liste non nécessairement exhaustive de dépendances : docker, qemu, kpartx, qemu-nbd, qemu-img, gcc, sfml...
make migrate
puis il faut effectuer la capture réseau à la main, c'est à dire
envoyer le fichier tmp/migration.qemu a un autre hôte qui écoute sur le port
4444 et qui fait la capture avec tcpdump (commande dans bin/capture
). La
capture ne doit pas être effectuée sur l'interface locale ! Si tcpdump indique
que le kernel a lâché des paquets il faut recommencer avec un buffer plus
grand.
# PROD
make export # créer les exports ; Ne pas utiliser ! Voir ci-dessus.
make clean # supprime les fichiers temporaires.
make clean-all # supprime les exports et les images docker
Relecture | Construction | Test | Déploiement |
---|---|---|---|
toffan() | toffan() | toffan() | |
Vahlkar() | Vahlkar() | Vahlkar () | |
Des scripts de solution semi-automatiques sont disponibles dans les dossiers
solution
de chaque dépôt.