Sur ce challenge de forensic, nous avons affaire à ce fichier, une capture réseau.
Capture
Tout d'abbord, utilisons Wireshark pour lire ce fichier
Nous voyons ici plusieurs trames réseau TCP.
Nous cherchons de la data. Le meilleur moyen pour ça, c'est de trier les trames réseau par taille décroissantes.
En fouillant un peu (par chance je l'avoue sur ce challenge), on tombe sur un stream TCP qui contient un gros base64.
Nous allons l'extraire dans un fichier texte
Une fois mis dans un fichier texte, nous allons le décoder.
On regarde le type du fichier avec la commande file
On voit ici que c'est une image PNG.
On le renomme avec la bonne extension, on l'ouvre et ...
Nous avons l'image exfiltrée avec le Flag
FCSC{2d47d546d4f919e2d50621829a8bd696d3cd1938}
