# Cybernight 2021 : Squid Game ###### tags: `Forensics` `Cybernight` *Challenge et Write-Up par Maestran* ![](https://i.imgur.com/M5W6p42.jpg) ## La cybernight La cybernight était un CTF étudiant qui a eu lieu du samedi 11 décembre 2021 au dimanche 12 décembre 2021 sur le campus d'EFREI Paris. J'avais participé à la création d'environ une dixaine d'épreuves avec mon ancienne équipe de CTF. - https://www.efrei.fr/cybernight-efrei-2021/ - https://www.efrei.fr/cybernight-efrei-2021-2/ ## Description ![](https://i.imgur.com/6UcPZCo.jpg) Le fichier logs-squidgame.csv contenait une capture de logs proxy : ![](https://i.imgur.com/cbUwjpN.jpg) ## Résolution Pour résoudre ce type d’épreuve ou l’on dispose de beaucoup de données aux formats .csv, un outil comme Excel avec ses filtres est largement suffisant. On importe les données dans un format .xlsx et on applique un filtre : ![](https://i.imgur.com/PEzdu6E.jpg) Le fichier comportant beaucoup trop de lignes pour pouvoir tout lire d’un coup, il faut jouer sur les filtres d’Excel et sélectionné les champs pouvant être pertinent. Le 1er de ces champs à filtrer est celui de la méthode : <img src="https://i.imgur.com/CN0OIzu.jpg" style="float: left;margin: 20px;"> <br><br><br><br><br><br>Nous savons que nous avons affaire à des données exfiltrées par l’énoncé, la méthode HTTP à sélectionner est donc très fortement POST. Mais même en ne sélectionnant que des requêtes avec une méthode POST, il en reste toujours trop. <br><br><br><br><br><br><br><br><br><br><br><br> On peut alors chercher d’autres champs à filtrer et celui pouvant être intéressant est la taille de la requête : <img src="https://i.imgur.com/su49vuz.jpg" style="float: left;margin: 20px;"> <br><br><br><br><br><br><br><br> Un fichier exfiltré pouvant être potentiellement lourd, il est pertinent de vérifier la taille de toutes les requêtes et de regarder les plus grosses. <br><br><br><br><br><br><br><br><br><br><br><br><br> On obtenait alors deux requêtes vers le site « grosfichiers.com », un site comme wetransfer ou dropbox pour upload des fichiers : ![](https://i.imgur.com/sdup3NB.jpg) En filtrant par les url du site grosfichiers, on peut alors trouver deux urls contenant le lien vers le fichier exfiltré : ![](https://i.imgur.com/KPomzw5.jpg) Et en allant vers cette URL, on pouvait télécharger un fichier scenario_saison2.txt : ![](https://i.imgur.com/Khj0glB.jpg) Qui contenait le flag et des commentaires sur la série : ![](https://i.imgur.com/jyZGyi6.jpg) Flag : ***CYBN{Mugunghw4kk0cipi30ts3umnid4}***   ## Conception L’idée de l’épreuve m’est venu en faisant un jeu de mot sur discord pendant les créations de challenges : ![](https://i.imgur.com/MjRhyHP.jpg) (P.I, Squid est une technologie de Proxy : http://www.squid-cache.org/ ) Pour la réalisation, j’avais une VM sous Windows 10, et car je suis un gros fainéant, je n'avais pas la motivation de créer une infra donc j’ai installé en local un outil nommé Charles Proxy : https://www.charlesproxy.com/ ![](https://i.imgur.com/YwV8OUH.png) Qui me permettait de capturer tout le trafic web sur la machine (Charles fait très facilement de l’interception SSL notamment) J’ai donc lancé l’outil et j’ai fait 30 / 40 minutes de navigation sur des sites bien horribles faisant de la redirection partout pour m’assurer que le fichier de logs soit bien gros (*Désolé pour les participants*) D’ailleurs, je m’amusais à aller sur pleins de sites connus pour de l’exfiltration type pastebin, wetransfer ou autre pour brouiller les pistes (*Désolé encore*) Et puis après, j’ai copié-collé des avis Allociné sur la série et j’ai copié l’entièreté du scénario de Hamlet plusieurs fois dans le .txt exfiltré pour qu’il soit bien lourd : http://shakespeare.mit.edu/hamlet/full.html Sachant que le challenge ne demandait aucune maitrise d’un outil particulier, qu’il n’y avait pas d’obfuscation ou de gros pièges et qu’il pouvait être flag juste en parcourat les logs avec de l'organisation, j’ai estimé que la difficulté du challenge était facile.