Capture The Talent — OSINT Write-ups

Les Pires Hat
11 min readFeb 21, 2022

--

Du samedi 19 au dimanche 20 février 2022, s’est déroulé le CTF de Capture The Talent. 🏆Classement final: 1/52

Pour ce write-up, je vous expliquerai comment j’ai pu résoudre la série de challenges d’OSINT du CTF (comportant également des challenges Web, Pwn, Forensic, Crypto, …)

Merci à egotistical pour la création des challenges et la gestion du CTF !

Holiday Pics: Part 1

On commence avec cet énoncé

When we post images online these can be viewed by an attacker, who will  use reverse image searching or look at landmarks to find the location.  Moreover, if you've announced you are on holiday or the picture is  clearly a holiday destination then this could also be a burglary risk.  The same goes for work, sharing information about your work location  including pics of inside your workplace is great intel. So, this picture  was posted on Twitter, can you find out where this is? If you get stuck  there are hints.
Photo de vacance présente avec l’énoncé

Ce challenge est vraiment une mise en bouche, il suffit de chercher à l’envers l’image avec Google, ou simplement de connaître la ville, pour comprendre que c’est Istanbul.

J’essaie donc CTT{Istanbul} et c’est bon !

Holiday Pics: Part 2

L’énoncé qu’on nous donne

Here is another image that was posted on online recently, can you  identify its location? For this challenge you will need to identify the  Street and City.  The flag format is the following CTT{XXXXXX_XXX_XXXX_XXXXX_XXXXXX}
La seconde photo de vacance

Là aussi, j’utilise la recherche inversée, mais cette fois-ci non pas de Google, mais de Bing.

Le premier lien n’est pas intéressant, par contre le second, nous permet de découvrir de quel site vient originalement la photo, mais surtout de quelle ville : Le Mont-Saint-Michel

Pour résoudre le challenge, il faut également la rue de la photo qui n’est malheureusement pas sur le site trouvée précédemment.

Après un petit moment de blocage, je me concentre sur la photo et observe la présence d’une fée.

À partir de là, je recherche sur Google Maps avec le mot fée et la ville, espérant tomber sur le nom d’une enseigne.

Bingo ! Une enseigne à ce nom existe. Je vérifie alors avec Street View si je suis dans la bonne rue.

Capture d’écran depuis Street View

On retrouve tous les éléments de la photo originale, on est dans la bonne rue, on rentre CTT{Grand_Rue_Mont_Saint_Michel} et c’est validé

In Denial: Part 1

Finding information about a Threat Actor (TA), is important, the tools, techniques and procedures they use can be helpful in understanding your adversaries’ motivations and what you are potentially facing. In this challenge you’re going to have to use a few techniques to find out the required information about this threat actor.

Challenge Part 1: You need to find where this message is from, once you do that one of the servers has the TOR link included in ransom in one of the ports, what is the IP address of this server?
Free hint only one of these servers has the full ransom message! Happy hunting.
L’image qu’on nous donne avec l’énoncé est de mauvaise qualité

Vous commencez à comprendre, la première étape consiste à utiliser la recherche inversée d’image pour comprendre d’où vient-elle.

Cette fois-ci c’est grâce à Yandex que j’ai pu récupérer un thread Twitter décrivant l’utilisation de Shodan pour trouver des machines infectées.

On y retrouve la même image

En remontant ce thread Twitter, on apprend avec quelle requête Tyler Butler trouve ces serveurs infectés.

La requête utilisée sur l’outil Shodan : encrypted port:”3389"

Je descends alors parmi les résultats sur l’outil Shodan jusqu’à trouver une IP correspondant au format de la réponse CTT{XXX.X.XXX.X}

Et c’est validé, le serveur avec l’IP 188.0.191.4 a bien été affecté par le ransomware Redeemer, c’est trouvé.

In Denial: Part 2

Challenge Part 2: Great well done for solving that, was simple right? So now on to the next part of our challenge. We know a little about this  group from that image, they target port 3389, have targeted a few  servers mainly in Russia and Ukraine. Now let’s do some basic research  on this group. Last year this ransomware group was reported on, can you  find the article, and the file hash that a security researcher posted on  socials. From here can you find the date this was first uploaded to  virus total?Flag format CTT{XXXX-XX-XX}

À partir des éléments que j’ai, je décide de commencer à rechercher sur Google avec la requête suivante : “redeemer” ransomware report article 2021

L’utilisation des guillemets sur le mot redeemer permet ainsi d’avoir dans les premiers résultats que des sites contenant ce mot et donc parlant probablement du sujet qu’on recherche.

J’ai également ajouté à ma recherche l’année 2021 étant donné que l’énoncé le précise.

Le second site cynet.com contient effectivement une analyse du ransomware ainsi qu’un hash, comme demandé dans l’énoncé.

Je copie-colle alors le hash suivant dans VirusTotal

c74873d7b8cc622379ed49bd0b0e477167ae176aa329b01338666ec4c1a4426b

En allant dans l’onglet Détails de VirusTotal, on peut y récupérer la première date d’envoi du binaire sur le site. Le flag est donc CTT{2021–09–21}

In Denial: Part 3

Awesome work so far, so now we need to look at the threat actor handles  to get a feel for their digital footprint.  For this challenge I’m not sending you on to the darknet to look at  their profile, but can you find their handle on a popular hacking forum  on Clearnet.  Using Google Dorking only, which hacking forum do they have an account  on, and when did they join? Note you will not need to access the forum  for this challenge the answer will appear in the results. Flag format  CTT{XXXXXXXXXX_XXXXXXXX_XX_XXXX} name of forum and date joined.

En lisant l’énoncé, j’ai directement pensé à RaidForums. Je recherche alors l’utilisateur “Cerebrate” correspondant au nom du groupe ayant développé le ransomware Redeemer.

On trouve la date d’inscription sur le profil, on tente alors de mettre CTT{RAIDFORUMS_December_21_2021} et c’est réussi.

Take Off

What is the name of the last airport this aeroplane took off from?
Image qu’on a avec l’énoncé

J’utilise alors la recherche inversée d’image afin de comprendre quel avion j’ai en face de moi.

Je trouve rapidement la page Wikipédia du Avianca Flight 203, me disant dans les premières lignes d’où est parti l’avion, et pourquoi il n’a jamais atterri (Il a été détruit par une bombe au-dessus de la municipalité de Soacha le 27 novembre 1989).

L’avion est donc parti de l’aéroport El Dorado

Catch Me If You Can

The target is trying to flee the country! But which airport are they using? We need the co-ordinates.  No degree or commas needed in the answer.

Cette photo ressemble à un aéroport du Royaume-Uni (le Meet & Greet et l’ambiance avec les Range Rover noirs). Je cherche donc avec Google “aéroport uk” et cela me retourne une liste des aéroports.

Parmi cette liste, un des aéroports retient mon attention.

La forme des bâtiments ressemble à ceux de la photo originale. Je me rends alors avec StreetView pour vérifier.

Effectivement, c’est bien cet aéroport, on prend alors les coordonnées avec Google Maps. Flag : 532831N 0010015W

The Many Faces of Stu: Part 1

Avoir une bonne maîtrise des médias sociaux et examiner les comptes et  les informations que ces comptes partagent est un outil essentiel dans  tout type d'enquête, qu'il s'agisse d'un adversaire, de la recherche  d'une entreprise ou de votre propre empreinte numérique. Dans ce défi,  Stu s'est porté volontaire pour être une victime involontaire.  En août 2018, Stu (cybersecstu) a posté une image sur Twitter avec un  gros plan d'une mosaïque composée de photos de lui. Quel est  l'identifiant de la photo ? C'est la partie mise en évidence dans cette  URL : https://pbs.twimg.com/media/%7Bphoto  ID}?format=jpg&name=900x900  Vous pouvez utiliser les recherches avancées, Twint, les recherches  manuelles ou si vous avez assez de patience, vous pouvez remonter le  temps pour trouver la bonne réponse. Mais essayez de la rechercher si  vous ne la connaissez pas. Ce drapeau EST sensible à la casse.  Format du drapeau : CTT{XxXXXxXXXXXXXxX}

Il faut clairement dans ce challenge utiliser des dorks Twitter, je place donc dans la barre de recherche :

until:2018–09–01 since:2018–07–29 (from:cybersecstu)

Le dork from permet d’isoler le compte cybersecstu et bien évidemment je ne filtre que les tweets d’août 2018 comme demandé dans l’énoncé.

Je scroll alors jusqu’à tomber sur le fameux tweet

Afin d’avoir l’id de l’image, il suffit de faire un clic droit dessus et cliquer sur “Copier l’adresse de l’image”. On a alors le lien suivant :

https://pbs.twimg.com/media/DlPKTpFV4AAM2iY?format=jpg&name=900x900

Flag: CTT{DlPKTpFV4AAM2iY}

The Many Faces of Stu: Part 2

Dans ce défi, nous devons trouver deux comptes spécifiques qui sont liés à un GIF de Stu créé par un membre de la communauté.  Ce GIF https://twitter.com/cybersecstu/status/1451499505417850914  a été créé par un membre de la communauté sur Twitter il y a quelque  temps. Pouvez-vous trouver le profil de cette personne ? À partir de là,  pouvez-vous trouver le compte à partir duquel il a posté ce GIF sur un  site Web GIF bien connu ? Pour relever ce défi, vous devrez trouver les  deux identifiants, celui de Twitter et celui du site GIF.

Dans un premier temps, je me rends sur Giphy, hébergeant une multitude de GIFs et étant utilisé par Twitter. Je recherche avec le mot clé “cybersecstu”.

On y retrouve bien le fameux GIF et le nom de l’auteur du GIF : hackerrehab

Il faut maintenant trouver le Twitter de ce membre. J’essaie sur Twitter de trouver le compte hackerrehab mais il a été suspendu, je lance une recherche Twitter et tombe sur le nouveau compte notdan.

Flag: CTT{@notdan_@hackerrehab}

Brum Brum

Whilst hunting for your target, you have come across some intel: a car registration plate.  Which country could the target be in?  
Flag format: Name of a place, no "CTT{}" required
Plaque d’immatriculation dont on doit trouver la provenance

J’utilise la recherche d’image inversée de Bing, et tombe directement sur le résultat : Chypre

Flag: Cyprus

Feeling HOT HOT HOT

The creator of this CTF recently obtained some very VERY hot sauce. But, just how hot?  I need the 'schoville' rating, a numerical number. No commas, letters or full-stops.

Cette épreuve m’a permis de découvrir l’échelle de Scoville, une échelle permettant de mesurer la force des piments.

Je pars donc sur le Twitter du créateur du challenge : ssh4un

On observe directement dans la vue de ces médias, la mention de cette fameuse échelle. Je vais donc dessus et remonte le fil de tweet jusqu’au fameux piment.

On découvre que ce piment a été acheté sur britishhotsauce.com et qu’il se prénom Regret.

Je vais donc sur la page du site pour en savoir plus sur son échelle.

On y apprend qu’il est à 12 M sur l’échelle des piments. Flag: CTT{12000000}

Say A Prayer

In pursuit of your target, they send a mocking photograph of where they are hiding. "You'll never catch me!" they say...  Where are they? Which country? That's not enough for this challenge. We need to know the name of the nearest chapel!
Image accompagnant l’énoncé (on observe la boussole de Street View)

Face à cette image, dans un premier temps, on essaie d’utiliser la recherche inversée d’image pour trouver le lieu. Malheureusement, ce n’est pas une image réportoriée, mais une capture d’écran depuis un emplacement sur Google Street View.
On va donc devoir être plus malin pour trouver l’endroit.

On commence donc par filtrer quels pays africains ont été répertorié par Google Street View afin de filtrer les résultats.

Dans un second temps, on filtre pour n’avoir que les pays avec des côtes proches de l’eau, comme on peut l’observer sur l’image originale.

On continue à filtrer avec le type de voitures qu’on peut voir sur l’image (avec des plaques d’immatriculations parfois jaunes), les conducteurs à droite, ainsi que ce type de mur en briques et avec ces routes terreuses.

Tous ces éléments permettent d’isoler un pays en particulier : l’Ouganda

On se rend alors sur Google Maps, et on se balade ensuite sur Street View en bord de mer. Au final, on trouve très rapidement l’endroit exact.

Il ne reste plus qu’à trouver la chapelle la plus proche, St. Musa Mukasa Chapel, et c’est dans la poche !

My thoughts, written down

Blogs are fun, and can give a lot of information about certain topics.

Je comprends ici qu’il va falloir en apprendre un peu plus sur le créateur du challenge. Je cherche sur Google “Shaun Whorton blog”.

Bingo, un Medium, quoi de mieux pour y mettre des articles ?

En allant sur la partie About du compte, on y retrouve alors le flag.

Flag: CTT{W3ll_d0ne_f0r_f1nding_my_bl0g!}

Contactez-moi :
LinkedIn
Twitter de l’équipe : LesPiresHat

--

--