Cybercamp 2017 Online – 05. Without Collaboration [300]

Esta prueba en concreto me gusto bastante ya que yo mismo he estado trasteando con un método parecido, pero vamos al grano, tenemos este enunciado y el link:

Something unusual was happening on a coworker’s computer. We already identified the culprit but he does not collaborate and he does not explain how he got the information from the computer. However, a traffic capture was found that might be useful. Identify how the computer was compromised and whether he accessed some sensitive file.

https://s3.eu-central-1.amazonaws.com/cyberrange/cyb_2017_quals/objective5.pcap

Esta vez nos encontramos con un pcap con una captura de tráfico bastante grande, por acotar me límite a las direcciones locales y descarté el trafico de internet para más tarde.

Las ip’s que se localizaron fueron la 192.168.47.191 y la 192. Filtrando primero por una y luego por otra vemos que la 192 básicamente solo se comunica con la 191:

Vemos que basicamente se utilizan dos protocolos, el UDP y el ICMP, después de revisar los paquetes por encima de UDP me decante por echarles un vistazo a los ICMP (como os digo, esto fue un poco de casualidad porque justo había estado trabajando con dichos paquetes) así que filtro y me encuentro con esto:

Mmm ¿Un ping sin response en la misma red local y donde hemos visto que el tráfico es bastante fluido? Algo no me cuadra, sigo mirando los otros paquetes y en uno me llevo una grata sorpresa:

Parece que están utilizando los paquetes ICMP para exfiltrar información, vamos a utilizar scapy en python para extraer la información de dichos paquetes con el siguiente scripts:

from scapy.all import *

packets = rdpcap('objective5.pcap')

for pkt in packets:
	if pkt.haslayer(ICMP):
		if hasattr(pkt[ICMP], 'load'):
			print pkt[ICMP].load

Como veis es muy sencillo y no me he complicado mucho la vida, recorro todo el pcap en busca de ICMP’s e imprimo por pantalla el contenido del load, el resultado es este:



Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\>



C:\>













dir

dir
 Volume in drive C has no label.
 Volume Serial Number is EC3F-A500

 Directory of C:\

27/07/2017  10:40              
  15 Adpass.txt
17/05/2013  17:26            19.033 icmpsh.exe
14/07/2009  05:20    <DIR>          PerfLogs
06/07/2017  14:04
    <DIR>          Program Files
14/07/2009  06:57    <DIR>          Program Files (x86)
06/07/2017  14:02    <DIR>          U
sers
21/07/2017  12:13    <DIR>          Windows
               2 File(s)         19.048 bytes
               5 Dir(s)  53.22
7.302.912 bytes free

C:\>














more Adpass.txt

more Adpass.txt
GhostInThePings

C:\>




















Y ahí podemos ver la flag: GhostInThePings

Espero os haya gustado, saludos y gracias por la visita!

Esta entrada fue publicada en ctf, cybercamp, forense, writeups. Guarda el enlace permanente.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.