Copperwire Extraction

Flag: D4t4_Exf1Ltr@t10n

Challenge

Description

An intern in cybersecurity at the London police department has discovered that files were exfiltrated from their database. He managed to retrieve the queries used but needs help from someone really skilled in cybersecurity to figure it out!

It’s your turn to step up!

sha256: 40de55e21a0a608b0186de04b1c8d8feed4e4a449630e5ed899ec7bff0e596d7

Solution

Il faut repérer que les requêtes HTTP contiennent toutes un cookie différent. Ceux-ci sont en base64.

Avec un petit script Python et la lib scapy, on va automatiser la récupération de tous ces cookies, les décoder et les réassembler dans un fichier nommé copper_dump.dat.

from scapy.all import rdpcap, IP, TCP
from base64 import b64decode

pcap = rdpcap("capture.pcapng")

dump = b''
for pkt in pcap:
  # On ne prend que les paquets contenant les cookies
  if not (pkt.haslayer(IP) and pkt[IP].dst == "172.17.0.2"):
    continue
  if not pkt.haslayer(TCP):
    continue
  if not pkt.haslayer("Raw"):
    continue
  http_data = pkt["Raw"].load.strip()
  lines = http_data.split(b'\r\n')
  cookie = lines[-1].split(b'=', 1)[1]
  dump += b64decode(cookie)

with open('copper_dump.dat', 'wb') as f:
  f.write(dump)

Ensuite, direction CyberChef pour faire du file carving et récupérer tous les fichiers.

Ce sont des images contenant toute une lettre du flag :

PrécédentForensic SuivantDistracted user

Dernière mise à jour il y a 3 mois

Cet article vous a-t-il été utile ?