White rabbit searching

Flag: ECW{Follow_the_white_rabbit}

Challenge

47KB

Description

Alice set out to find a trace of the White Rabbit... But as always, the paths in Wonderland are confusing, and some traces of the white rabbit have been found on the network. Try to assemble the different paths and recover the clue!

Challenge made by Ostra from :

Solution

Exfiltration DNS assez classique. Ici c'était entre 10.0.2.15 et dns.google et les données sont encodées en base64, découpées et placées comme sous-domaine de white-rabbit.fr

Avec Python ça donne :

from base64 import b64decode
from scapy.all import rdpcap, DNSQR, DNS

PCAP_FILE = "Searching_this_rabbit.pcap"
TARGET_DOMAIN = "white-rabbit.fr"

packets = rdpcap(PCAP_FILE)

data = ""
for p in packets:
    # filtres des paquets
    if not (p.haslayer(DNS) and p[DNS].qr == 0):
        continue
    qname = p[DNSQR].qname.decode().rstrip(".")
    if not qname.endswith(TARGET_DOMAIN):
        continue

    # Récupération du sous-domaine
    sub = qname.replace("." + TARGET_DOMAIN, "")
    if data.endswith(sub):  # Pour éviter la query dupliquée
        continue
    data += sub

print(data)
data += "==="  # Python est assez relou avec le padding b64
print(b64decode(data).decode())

RUNXe0ZvbGxvd190aGVfd2hpdGVfcmFiYml0fQ
ECW{Follow_the_white_rabbit}

PrécédentNetwork SuivantA hidden value

Mis à jour il y a 3 mois

hashtagChallenge

hashtagSolution

Challenge

Solution