Análisis Forense de Tráfico HTTP: Red Flag

En este laboratorio, recibirás una evidencia de red capturada en un archivo .pcap. Este archivo contiene una transacción HTTP entre un cliente y un servidor local, y se sospecha que dentro de esa comunicación se oculta informació crucial.

En este laboratorio aprenderás:

• Análisis de tráfico HTTP en archivos .pcap
• Uso de Wireshark para inspección forense

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve dentro de una máquina virtual preconfigurada con Wireshark y entorno gráfico. No es necesario instalar software adicional ni simular tráfico: analizarás directamente un archivo .pcap ya capturado.

1. Si aún no tienes la máquina virtual, descárgala desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/redflag-lab.ova

1. Importa la máquina virtual en VirtualBox.
2. Inicia la VM y accede como el usuario student:4geeks-lab.

Tu misión

Un sistema interno realizó una petición HTTP a un servidor local que respondió con un contenido inesperado. La transmisión fue interceptada por un sensor de red y ahora está en tus manos: un archivo .pcap con la conversación completa. Tu trabajo como analista es claro, Examinar la conversación HTTP en busca de datos que no deberían estar allí.

Se rumorea que el servidor entregó una cadena sospechosa — no hay encabezados inusuales, ni errores evidentes… solo una respuesta simple. Pero recuerda: las cosas simples a veces esconden más de lo que muestran.

Consejo: A veces los mensajes no están en claro, sino enmascarados con técnicas básicas como la codificación. Si ves una cadena larga y sin sentido... tal vez no sea tan aleatoria como parece.

Validación

Si al decodificar, el resultado analizado, tiene este formato: 4GEEKS{EXAMPLE_FLAG} entonces has encontrado lo que buscabas.

¡Buena suerte, Analista Forense!