Participant

anonymous

YOLO CTF

 Mon premier CTF 

Network Protocols


Vous êtes installé bien au chaud dans un shell sur une des machines du réseau informatique.
En sniffant les paquets qui circulent sur le réseau, vous réalisez que les utilisateurs utilisent des protocoles non sécurisés.
Vous allez chercher et trouver des info interessantes dans les flux en utilisant les filtres de l'outil wireshark.

Site wireshark : https://www.wireshark.org/#download
Win32 app WiresharkPortable_3.0.2.paf.exe

Netcat - pcap
10

L'outil 'netcat', nc de son petit nom, est LE couteau suisse du CTF.
Il permet d'ouvrir un port en écoute, de s'y connecter à distance et d'envoyer un flux de données comme des messages textes ou des lignes de commande.
Ils passent tels quels sur le réseau.

Pour capturer, puis analyser des packets réseau wireshark propose une interface graphique confortable.
Si wireshark est déjà installé sur ta machine, ouvre le fichier en attachement, sélectionne un des paquets de l'échange, fais Click droit - Suivre - Flux TCP.

Sinon, il est ausi possible de travailler en ligne de commande avec tshark.

 tshark -r challenges/ctf-net/flag01.gz.pcapng -z follow,tcp,ascii,0 

On précise à tshark de lire le fichier avec -f, et de suivre le premier flux tcp en considérant que c'est du texte.

Telnet - pcap
10

Le protocole Telnet permet de se connecter très simplement à un serveur distant.
Il commence par négocier les capacités de l'affichage, et permet ensuite une authentification simple par login/mot de passe.

Le login/mot de passe circule bien sur en clair sur le réseau...

Le flag change un peut de format, ce sera flag_xxxx. Ce sera le login de l'utilisateur.

On se demande pourquoi on recommande ssh ...

 tshark -r challenges/ctf-net/flag02.gz.pcapng -z follow,tcp,ascii,0 
Telnet again - pcap
10

Telnet permet d'executer des commande shell à distance.

Visiblement le Chief of Admins a fait un cat de son flag....

 ls challenges/ctf-net/flag03.gz.pcapng 
Ftp - pcap
10

Le protocole ftp permet de se connecter, se déplacer dans une arborescence de répertoires, et télécharger/uploader des fichiers.

Un premier flux entre les ports 21 et 35952 (click droit, suivre..) sert à l'authentification:
USER xxx
PASS yyy
et au téléchargement d'un fichier RETR flag04.txt.
Le contenu du fichier est transféré sur un autre port négocié dynamiquement.
Enlevez le filtre wireshark qui s'est mis en place quand vous avez fait click droit-suivre-tcp.

Le protocole des paquets est de type FTP-DATA, c'est trop facile de retrouver un flag dans ces conditions...

 tshark -r challenges/ctf-net/flag04.gz.pcapng -z follow,tcp,ascii,0 

Le protocole ftp négocie un port dynamiquement, il ne faut pas regarder le fulx tcp numéro 0, mais le 1

SMTP - pcap
10

Tous ces protocoles sont de vraies passoires, je vais plutôt envoyer un mail...

Historiquement, pour envoyer un mail, on se connectait à la main sur un serveur SMTP et on utilisait les commandes:

 HELO xxx 
 MAIL FROM: <martine@myfirstctf.org> 
 RCPT TO: <chief_admin@myfirstctf.org> 
 DATA 
 et je tape tout ce que je veux en terminant par un point tout seul. 

Mon mail est parti :)

 ls challenges/ctf-net/flag05.gz.pcapng 
Netcat
20

Alice t'attend en TCP sur l'IP ctf-tcpserver_ et le port 9999

 # nc [IP] [port] 

Démarrez votre serveur dédié en cliquant sur [Start server].


Server status : stopped