/ rc3ctf

RC3 - Somepang (FORENSIC50)

Pour ce chall nous avons un PCAP. Lorsque qu'on ouvre ce fichier avec Wireshark, on voit un grand nombre de requêtes ICMP.
alt

Toutes les requêtes font la même taille (74). Après une rapide analyse, on remarque des caractères dans les datas ICMP. Dans la dernière trame on voit des "==". On pense donc à du base64.

Un petit script scapy qui filtre les ICMP requests, récupère uniquement les deux derniers caractères de chaque ligne, concatène et decode dans un fichier.

from scapy.all import *
a=rdpcap("somepang.pcap")
chaine=""
for i in a:
	if i[2].type==8:
		new=i[3].load[-2:]
		chaine=chaine+new
fichier=open("flag","wa").write(chaine.decode('base64'))

On regarde le résultat dans le fichier flag.

alt

Flag : RC3-2016-PANG-ME-LIKE-ONE-OF-YOUR-FRENCH-GORILLAZ.