Copperwire Extraction

Flag: D4t4_Exf1Ltr@t10n

Challenge

184KB

Solution

Il faut repérer que les requêtes HTTP contiennent toutes un cookie différent. Ceux-ci sont en base64.

Avec un petit script Python et la lib scapy, on va automatiser la récupération de tous ces cookies, les décoder et les réassembler dans un fichier nommé copper_dump.dat.

from scapy.all import rdpcap, IP, TCP
from base64 import b64decode

pcap = rdpcap("capture.pcapng")

dump = b''
for pkt in pcap:
  # On ne prend que les paquets contenant les cookies
  if not (pkt.haslayer(IP) and pkt[IP].dst == "172.17.0.2"):
    continue
  if not pkt.haslayer(TCP):
    continue
  if not pkt.haslayer("Raw"):
    continue
  http_data = pkt["Raw"].load.strip()
  lines = http_data.split(b'\r\n')
  cookie = lines[-1].split(b'=', 1)[1]
  dump += b64decode(cookie)

with open('copper_dump.dat', 'wb') as f:
  f.write(dump)

Ensuite, direction CyberChef pour faire du file carving et récupérer tous les fichiers.

Ce sont des images contenant toute une lettre du flag :

PrécédentForensic SuivantDistracted user

Mis à jour il y a 1 an

hashtagChallenge

hashtagSolution

Challenge

Solution