Follow the white rabbit CTF – Rabbit Traffic

Our research center has evolved during this last time. However, they are having some problems while intercepting communications…

Help our investigators to decode the following transmission.

https://mega.nz/#!40tXFBwB!uB4OR7xRhbJ_2YmJN_dCxK81oCPUq2Wwam0NxcfOoYQ

Esta vez obtenemos un archivo pcacp con diverso tráfico capturado, a primera vista no parece nada raro pero hay una traza de paquetes ftp, lo cual no suele ser un tráfico muy habitual, la seguimos para ver que hay:

El nombre del archivo me suena de algo, vamos a ver si podemos ver su contenido:

El siguiente link nos ayuda a entender que estamos viendo un archivo que contiene llaves ssl que podemos utilizar para descifrar el tráfico al que correspondan: https://www.trustwave.com/Resources/SpiderLabs-Blog/How-To-Decrypt-Ruby-SSL-Communications-with-Wireshark/

Copiamos el contenido a un archivo y los configuramos en la sección de SSL de wireshark lo cual descifrará automáticamente todo tráfico ssl que se corresponda con el mismo, y parece que hemos tenido suerte:

Revisando las ip’s veo que solo hay una conexión donde las ip’s estan en el mismo rango, hacemos un follow http stream y obtenemos:

Y ahí podemos ver la flag:

fwhibbit{d3c0d3Th1sIfy0uC4n}

Esta entrada fue publicada en ctf, forense, fwhibbit-ctf, writeups. Guarda el enlace permanente.

Deja un comentario