Zeecka zeecka

Pick up the phone 1

Aperi'CTF 2019 - Forensic (50 pts)

Aperi’CTF 2019 - Pick up the phone 1

Détails du challenge

EventChallengeCategoryPointsSolves
Aperi’CTF 2019Pick up the phone 1Forensique5034

Le directeur commercial de notre entreprise a été victime d’une attaque au président. Investiguez et rammenez une preuve de cette attaque.

Challenge : call.pcap - md5sum: ab8626c4e8fd088db4b08dc88663fa9a

TL;DR

Rejouer le SIP Stream avec Wireshark.

Méthodologie

Comme le fichier est un fichier pcap, on peut l’ouvrir avec Wireshark

wireshark call.pcap &

wireshark1.png

Les principaux protocoles du pcap sont « SIP » et RTP. SIP est un protocole de session principalement utilisé dans les communications VoIP. On peut extraire du pcap la session suivante (Telephony > VoIP Call/SIP Flow > Flow) :

graph.png graph2.png

On peut certifier qu’il n’y a qu’un seul appel de 18.105 secondes (906 paquets).

Wireshark intègre un RTP Player qui nous permet de rejouer l’appel VoIP. Certaines versions de wireshark ne disposent pas de cette fonctionnalité. Pour cela, j’ai décidé d’utiliser Wireshark-qt sur ma Debian (Telephony > VoIP Call > Play stream) :

wave.png

Une fois rejoué, on obtient :

Ok, c'était plutôt simple mais voici le flag en majucule: APRK{S1MPL3_SIP_C4LL}.

Flag

APRK{S1MPL3_SIP_C4LL}

Zeecka