Marshall in the Middle es uno de los retos de Forense existentes actualmente en la plataforma de hacking HackTheBox.
Este reto otorga 40 puntos a quién lo resuelve y es de dificultad media.
Para su resolución lo primero será descargar el fichero zip existente en el mismo y extraer su contenido:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$ unzip MarshalInTheMiddle.zip Archive: MarshalInTheMiddle.zip creating: bro/ [MarshalInTheMiddle.zip] bro/conn.log password: inflating: bro/conn.log inflating: bro/http.log inflating: bro/packet_filter.log inflating: bro/files.log inflating: bro/ssl.log inflating: bro/weird.log inflating: bro/dns.log inflating: bundle.pem inflating: chalcap.pcapng inflating: secrets.log |
Observamos que en el zip tenemos un fichero .pcap que importaremos en wireshark, una clave pem, un fichero secrets.log con cifrados ssl y una carpeta “bro” donde se incluyen varios logs.
Revisamos en primer lugar los ficheros de log y observamos varias peticiones que podrían dar información importante con origen 10.10.20.13, y varias peticiones del mismo a pastebin.com
Importamos el fichero pcap en wireshark y realizamos una búsqueda por esta ip:
Observamos en la captura de tráfico que existe mucho tráfico https, por lo que importamos el fichero secrets.log en wireshark para poder descifrar el mismo. Para ello deberemos ir al menú Edit -> Preferences -> Protocols -> TLS y añadir el fichero como vemos en la siguiente imagen:
Continuamos la búsqueda por los stream tcp de esta ip y observamos en el stream 2 que se está llamando a un script en pastebin llamado api_post.php
Filtramos entonces en wireshark por la ip mencionada y por el método http POST
Observando las peticiones existentes, seguimos el stream http de cada una de ellas y encontramos peticiones de tarjetas de crédito en el stream tcp 187:
Y, si bajamos un poco más veremos la flag en este stream:
Y la flag sería HTB{xxxxxxxxxxxxxxxx}, que como no, no vamos a descifrar, eso deberías de encontrarlo aunque fuese siguiendo esta ayuda.
