home
tags
whoami

CTF inter-IUT - Secret Transmission

2018/06/03

Le samedi 2 juin 2018 se déroulait la deuxième édition du CTF inter-IUT de l’ENSIBS. Un event super cool, des orgas sympas, des challs intéressants et bien foutus, et une infra qui n’a pas déçu un seul instant. Avec Beerznhash (sans 0xShiroKuma malheureusement car teams de 4), on a réussi à finir 1ers parmis les 19 teams présentes, avec un total de 2461 points. Donc plutôt contents !


Challenge : Secret Transmission
Catégorie : Réseau
Points : 100
Ressource : secrettransmission.pcapng

La ressource fournie étant un fichier pcap, on sort Wireshark. On découvre une capture d’une centaine de trames FTP et TLS :
screen
Première chose à faire, inspecter les comunications FTP. On met le filtre qui va bien, puis on fait un bon vieux "Follow TCP stream" sur la 1ère trame.
screen
Tiens, un login/password en haut… pour l’instant on sait pas trop quoi en faire car le serveur FTP a été accédé en local (127.0.0.1), donc aucun moyen pour nous de communiquer avec pour l’instant. Mais bon, on garde user:12345 dans un coin de la tête au cas où.
Concernant le reste du flux, pas grand chose de fou. On passe au flux suivant ("tcp.stream eq 0" -> "tcp.stream eq 1", je connaissais pas ça avant le CTF sans déconner ça change la vie). Rien d’intéressant, on passe au suivant direct :
screen
Là par contre on se met bien. On spot un «STOR key.pem», qui sert à stocker le fichier sur le serveur FTP. Et coup de bol (pour cette fois), FTP ne chiffre que dalle. Donc en fouinant dans la capture on doit pouvoir extraire ce fameux key.pem.
On repère la trame correspondant au STOR dans Wireshark, et la trame TCP juste après, qui correspond donc au fichier transféré :
screen
Follow TCP stream une nouvelle fois :
screen
Et là c’est cadeau, une clé privée sortie du four. Si on met ça en relation avec le fait que le pcap contient des trames TLS, on se doute que le flag est dedans, bien au chaud. On copie donc la clé dans un fichier key.pem. Pour déchiffrer le flux TLS, ça se passe dans "Éditer > Préférences > Protocols > SSL", puis "Edit…" à côté de "RSA keys list".
screen
On clique sur le bouton "+", et on entre les infos suivantes :


Tags

ctf inter-iut réseau pcap