Write-up HeroCTF - Forensic - We Need You 3/5
Le challenge
CTF : HeroCTF (version 3)
Nom du challenge : We Need You 3/5 (80 points)
Consigne :
We know for sure that this server allowed to connect to infected machines. Can you check if a connection was instantiated?
Format : Hero{IP:Port}
Author : Worty
Write-up
Suite à la résolution du challenge We Need You 2/5, nous arrivons sur la partie 3 : nous devons retrouver l'adresse IP et le port utilisé par son serveur de Command&Control pour contrôler les machines infectées à distance.
Ici encore, on utilise Volatility qui propose plusieurs plugins pour avoir un état des connexions réseau au moment du dump : connections, connscan, sockets, etc.
Personnellement, j'ai utilisé la commande netscan que j'avais en tête :
On remarque la présence d'une seule connexion réseau établie/en cours qui est en plus à destination d'une adresse IP publique et vers un port peu commun.
Nous obtenons le flag suivant : Hero{146.59.156.82:4444} 👌
