Vous êtes installé bien au chaud dans un shell sur une des machines du réseau informatique. En sniffant les paquets qui circulent sur le réseau, vous réalisez que les utilisateurs utilisent des protocoles non sécurisés. Vous allez chercher et trouver des info interessantes dans les flux en utilisant les filtres de l'outil wireshark. Site wireshark : https://www.wireshark.org/#download Win32 app WiresharkPortable_3.0.2.paf.exe
L'outil 'netcat', nc de son petit nom, est LE couteau suisse du CTF. Il permet d'ouvrir un port en écoute, de s'y connecter à distance et d'envoyer un flux de données comme des messages textes ou des lignes de commande. Ils passent tels quels sur le réseau. Pour capturer, puis analyser des packets réseau wireshark propose une interface graphique confortable. Si wireshark est déjà installé sur ta machine, ouvre le fichier en attachement, sélectionne un des paquets de l'échange, fais Click droit - Suivre - Flux TCP. Sinon, il est ausi possible de travailler en ligne de commande avec tshark.
tshark -r challenges/ctf-net/flag01.gz.pcapng -z follow,tcp,ascii,0
On précise à tshark de lire le fichier avec -f, et de suivre le premier flux tcp en considérant que c'est du texte.
Le protocole Telnet permet de se connecter très simplement à un serveur distant. Il commence par négocier les capacités de l'affichage, et permet ensuite une authentification simple par login/mot de passe. Le login/mot de passe circule bien sur en clair sur le réseau... Le flag change un peut de format, ce sera flag_xxxx. Ce sera le login de l'utilisateur. On se demande pourquoi on recommande ssh ...
tshark -r challenges/ctf-net/flag02.gz.pcapng -z follow,tcp,ascii,0
Telnet permet d'executer des commande shell à distance. Visiblement le Chief of Admins a fait un cat de son flag....
ls challenges/ctf-net/flag03.gz.pcapng
Le protocole ftp permet de se connecter, se déplacer dans une arborescence de répertoires, et télécharger/uploader des fichiers. Un premier flux entre les ports 21 et 35952 (click droit, suivre..) sert à l'authentification: USER xxx PASS yyy et au téléchargement d'un fichier RETR flag04.txt. Le contenu du fichier est transféré sur un autre port négocié dynamiquement. Enlevez le filtre wireshark qui s'est mis en place quand vous avez fait click droit-suivre-tcp. Le protocole des paquets est de type FTP-DATA, c'est trop facile de retrouver un flag dans ces conditions...
tshark -r challenges/ctf-net/flag04.gz.pcapng -z follow,tcp,ascii,0
Le protocole ftp négocie un port dynamiquement, il ne faut pas regarder le fulx tcp numéro 0, mais le 1
Tous ces protocoles sont de vraies passoires, je vais plutôt envoyer un mail... Historiquement, pour envoyer un mail, on se connectait à la main sur un serveur SMTP et on utilisait les commandes:
HELO xxx
MAIL FROM: <martine@myfirstctf.org>
RCPT TO: <chief_admin@myfirstctf.org>
DATA
et je tape tout ce que je veux en terminant par un point tout seul.
Mon mail est parti :)
ls challenges/ctf-net/flag05.gz.pcapng
Alice t'attend en TCP sur l'IP ctf-tcpserver_ et le port 9999
Démarrez votre serveur dédié en cliquant sur [Start server].
Server status : stopped