Investigation 1

Flag: StarHack{3_CVE-2015-3306}

Challenge

129KB
investigation-1.zip
archive

Description

Une vulnérabilité de service a été détectée, mais tout est maintenant en ordre. Étant donné que nous faisons partie de l'équipe de Forensics, nous devons fournir un rapport pour l'équipe. Nous avons obtenu une capture Wireshark, et nous devons maintenant répondre aux questions suivantes :

Combien de ports ouverts ?

Quel est le CVE ? Exemple : CVE-2024-3377

Format du flag : StarHack{NombreDePortsOuverts_CVE}

Solution

On a affaire à un scan de port de l'IP 192.168.1.22 vers 34.201.245.213.

Ports ouverts

Commençons par connaître le nombre. Ici, c'est un scan de type TCP (plus précisément TCP Connect comme on peut le voir au tout début des requêtes avec le port 80). Pour savoir si un port est ouvert, il faut donc regarder les réponses SYN-ACK existantes avec le filtre tcp.flags.syn == 1 && tcp.flags.ack == 1.

On a les ports 21, 22 et 80 qui répondent par un SYN-ACK, donc 3 ports ouverts.

CVE

On va filtrer uniquement sur les ports ouverts pour éviter les infos inutiles. Le filtre est tcp.port == 21 || tcp.port == 22 || tcp.port == 80

Plus que 41 requêtes sur les 4700, et on voit tout en bas un fichier nommé /home/classified.txt. Une recherche sur la commande site cpfr associée à la requête du fichier permet de tomber sur la CVE-2015-3306. La CVE parle également de la commande site cpto, qui est aussi utilisée ici.

PrécédentHEADERSuivantInvestigation 2

Dernière mise à jour

Cet article vous a-t-il été utile ?