Aperi’CTF 2019 - Pick up the phone 1
Détails du challenge
| Event | Challenge | Category | Points | Solves |
|---|---|---|---|---|
| Aperi’CTF 2019 | Pick up the phone 1 | Forensique | 50 | 34 |
Le directeur commercial de notre entreprise a été victime d’une attaque au président. Investiguez et rammenez une preuve de cette attaque.
Challenge : call.pcap - md5sum: ab8626c4e8fd088db4b08dc88663fa9a
TL;DR
Rejouer le SIP Stream avec Wireshark.
Méthodologie
Comme le fichier est un fichier pcap, on peut l’ouvrir avec Wireshark
wireshark call.pcap &

Les principaux protocoles du pcap sont « SIP » et RTP. SIP est un protocole de session principalement utilisé dans les communications VoIP. On peut extraire du pcap la session suivante (Telephony > VoIP Call/SIP Flow > Flow) :

On peut certifier qu’il n’y a qu’un seul appel de 18.105 secondes (906 paquets).
Wireshark intègre un RTP Player qui nous permet de rejouer l’appel VoIP. Certaines versions de wireshark ne disposent pas de cette fonctionnalité. Pour cela, j’ai décidé d’utiliser Wireshark-qt sur ma Debian (Telephony > VoIP Call > Play stream) :

Une fois rejoué, on obtient :
Ok, c'était plutôt simple mais voici le flag en majucule: APRK{S1MPL3_SIP_C4LL}.
Flag
APRK{S1MPL3_SIP_C4LL}