Análisis Forense de Tráfico HTTP: Red Flag

Análisis Forense de Tráfico HTTP

En este laboratorio, recibirás una evidencia de red capturada en un archivo .pcap. Este archivo contiene una transacción HTTP entre un cliente y un servidor local, y se sospecha que dentro de esa comunicación se oculta una flag.

En este laboratorio aprenderás:

• Análisis de tráfico HTTP en archivos .pcap
• Uso de Wireshark para inspección forense
• Búsqueda y extracción de datos en protocolos de aplicación

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve dentro de una máquina virtual preconfigurada con Wireshark y entorno gráfico. No es necesario instalar software adicional ni simular tráfico: analizarás directamente un archivo .pcap ya capturado.

1. Si aún no tienes la máquina virtual, descárgala desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/redflag-lab.ova

1. Importa la máquina virtual en VirtualBox.
2. Inicia la VM y accede como el usuario student:4geeks-lab.

📄 Instrucciones

Un sistema interno realizó una petición HTTP a un servidor local que respondió con un contenido inesperado. La transmisión fue interceptada por un sensor de red y ahora está en tus manos: un archivo .pcap con la conversación completa. Tu trabajo como analista es claro, Examinar la conversación HTTP en busca de datos que no deberían estar allí.

Se rumorea que el servidor entregó una cadena sospechosa — no hay encabezados inusuales, ni errores evidentes… solo una respuesta simple. Pero recuerda: las cosas simples a veces esconden más de lo que muestran.

Consejo: presta especial atención al cuerpo de la respuesta. A veces los mensajes no están en claro, sino enmascarados con técnicas básicas como la codificación. Si ves una cadena larga y sin sentido... tal vez no sea tan aleatoria como parece.

Tu misión

1. Abre el archivo redflag.pcap en Wireshark. El archivo redflag.pcap se encuentra en el escritorio.
2. Aplica filtros para centrarte en las peticiones HTTP, ejemplo:

tcp.port == 8080

1. Recorre los paquetes y localiza las respuestas HTTP del servidor. Deberas revisar todas.
2. En la sección "Hypertext Transfer Protocol", identifica la cadena que no se presenta como texto legible.
3. Copia esa cadena y decodifícala.
4. Si al decodificar, el resultado, tiene este formato: 4GEEKS{EXAMPLE_FLAG} entonces has encontrado la flag

¡Buena suerte, Analista Forense!