../2023-11-10-huntress-ctf-11-traffic

Huntress Capture The Flag: Traffic

Traffic
Author: @JohnHammond

We saw some communication to a sketchy site… here’s an export of the network traffic. Can you track it down?

Some tools like rita or zeek might help dig through all of this data!

Download the file below.
Attachments: traffic.7z

ง่ายสุดเลยก็แตกไฟล์ออกมามันจะได้โฟลเดอร์ 2021-09-08 ภายในเต็มไปด้วย log gz ไฟล์ ก็ใช้ gunzip แตกออกมา

7z x traffic.7z

cd 2021-09-08

gunzip *

ก็จะได้ txt log ไฟล์ ก็หาได้เลย

find . -name "*.log" -type f -print0 | xargs -0 grep -n -H --color=always sketchy

หรือ

จากที่โจทย์บอก tools ที่สามารถใช้ได้มาด้วย เลยลองติดตั้งดู เลือกติดตั้ง rita ด้วย docker ลองใช้ดู

docker-compose run --rm rita show-beacons-sni -H tr
Creating rita_rita_run ... done
+-------+-----------+---------------------------------+-------------+------------+-------------+----------+----------+-----------+------------+-----------+
| SCORE | SOURCE IP |               SNI               | CONNECTIONS | AVG  BYTES | TOTAL BYTES | TS SCORE | DS SCORE | DUR SCORE | HIST SCORE | TOP INTVL |
+-------+-----------+---------------------------------+-------------+------------+-------------+----------+----------+-----------+------------+-----------+
| 0.889 | 10.24.0.2 | js-sec.indexww.com              |          30 |      18580 |      557406 |    0.762 |    0.901 |      0.96 |      0.929 |         1 |
| 0.887 | 10.24.0.2 | idsync.rlcdn.com                |          37 |       9763 |      361251 |    0.733 |    0.875 |         1 |      0.938 |         2 |
| 0.881 | 10.24.0.2 | stats.g.doubleclick.net         |          29 |       6058 |      175702 |    0.595 |    0.996 |         1 |      0.929 |        29 |
| 0.881 | 10.24.0.2 | sketchysite.github.io           |          48 |       5173 |      248329 |    0.889 |    0.987 |         1 |      0.648 |       196 |
| 0.862 | 10.24.0.2 | bcp.crwdcntrl.net               |          26 |       8422 |      218993 |     0.65 |    0.835 |      0.96 |          1 |        30 |
| 0.859 | 10.24.0.2 | www.googleadservices.com        |          29 |       6403 |      185711 |    0.686 |    0.996 |      0.92 |      0.834 |        39 |
|  0.84 | 10.24.0.2 | chrome.cloudflare-dns.com       |         648 |      11521 |     7465638 |    0.787 |    0.984 |         1 |      0.589 |        16 |
| 0.838 | 10.24.0.2 | securepubads.g.doubleclick.net  |          34 |       8070 |      274401 |    0.573 |    0.996 |     0.933 |      0.847 |         1 |
| 0.834 | 10.24.0.2 | content-autofill.googleapis.com |          33 |       4511 |      148891 |    0.623 |    0.996 |         1 |      0.715 |        17 |

ก็จะเจอ sketchysite.github.io เหมือนกัน ทำการไปที่เว็บนี้ ได้แล้ว

flag{8626fe7dcd8d412a80d0b3f0e36afd4a}

/huntress/ /ctf/ /traffic/