Forensic
Forensic - Exfiltration DNS
Bonjour,
J’aimerai savoir si quelqu’un peut m’aider svp car je suis bloqué depuis plusieurs jours :/
J’ai bien réussi à récupérer les données exfiltrées (enfin je pense) mais après je ne sais pas quoi faire :( car je n’arrive pas à connaitre le type de fichier.
merci en tout cas d’avance pour votre aide.
Forensic - Exfiltration DNS
Bonjour,
Même bloquage que katsukun je connais le type de fichier ainsi que le logiciel qui l’a créé (useless) mais n’arrive pas à reconstruire le fichier de maniere à acceder au flag.
Si quelqu’un aurai un petit lien ou doc pour m’aiguiller un peu plus j’en serai très reconnaissant.
Merci par avance et bonnes fêtes.
Forensic - Exfiltration DNS
@ElkAiN
Si tu connais le type de fichier, tu sais qu’il a un header mais également un footer spécifique. Du coup, tu dois être en mesure de pouvoir le reconstruire.
@aux autres
J’ai reconstitué fichier mais celui-ci est "dégradé" (j’essaye de ne pas trop en dire). Est-ce normal ou non ?
Forensic - Exfiltration DNS
Bonjour,
Après de nombreux essais, j’ai bien le header mais le chunck de fin est tronqué sur le 1er octet ... donc même si je fais l’extraction du fichier il est impossible de le lire... D’où ma question identique à ElkAiN ... est-ce normal à cette étape ? SVP
Forensic - Exfiltration DNS
Bonsoir,
@Saelyx : Est-ce un type de paquet à exclure (type de requête, réponse et/ou taille) ?
[Th1b4ud : si tu n’extraits pas un fichier lisible du pcap c’est que tu as une erreur dans ton mécanisme d’extraction]
Merci pour vos réponses, et surtout à @sambecks pour le challenge 🙂
Forensic - Exfiltration DNS
Tu dois exclure certaines requêtes.
Aucune réparation n’est à faire. Il faut juste que tu récupères correctement les données du pcap. Et comme dit au dessus "tout n’est pas bon à manger". Tu dois surement récupérer des données qui te fausse ton export (ou alors tu en récupères pas assez)