HeroCTF (v3) - We need you 3/5 (Forensic)


Temps de lecture : 0 minutes, 49 secondes | 171 vues
write-up cybersécurité ctf heroctf forensic

Write-up HeroCTF - Forensic - We Need You 3/5

Le challenge

CTF : HeroCTF (version 3)

Nom du challenge : We Need You 3/5 (80 points)

Consigne :

We know for sure that this server allowed to connect to infected machines. Can you check if a connection was instantiated?

Format : Hero{IP:Port}

Author : Worty



Write-up

Suite à la résolution du challenge We Need You 2/5, nous arrivons sur la partie 3 : nous devons retrouver l'adresse IP et le port utilisé par son serveur de Command&Control pour contrôler les machines infectées à distance.

Ici encore, on utilise Volatility qui propose plusieurs plugins pour avoir un état des connexions réseau au moment du dump : connections, connscan, sockets, etc.

Personnellement, j'ai utilisé la commande netscan que j'avais en tête :

netscan

On remarque la présence d'une seule connexion réseau établie/en cours qui est en plus à destination d'une adresse IP publique et vers un port peu commun.

Nous obtenons le flag suivant : Hero{146.59.156.82:4444} 👌

Ajouter un commentaire


Commentaires




Tue, 27 Jul 2021 08:54:23 - Par wrBEIRqX : 555



Tue, 27 Jul 2021 08:53:16 - Par wrBEIRqX : 555



Sun, 25 Jul 2021 21:54:34 - Par gvDIgrDT : 555



Sun, 25 Jul 2021 21:53:54 - Par gvDIgrDT : 555


Article précédent Article suivant