HeroCTF v3 — OSINT Write-up : Good French Charcuterie

Les Pires Hat
3 min readApr 26, 2021

--

Du 23 avril au 25 avril 2021 a eu lieu la troisième édition du HeroCTF (page d’accueil du CTF). Notre équipe a terminé 2ème au classement général (première place au classement étudiant) sur plus de 600 équipes.

Dans ce write-up, il sera question de la résolution d’un challenge d’OSINT “Good French Charcuterie” réalisé par Thib.

Good French Charcuterie

Nous débutons avec cet énoncé :

Un de nos agents a retourné son manteau : cela nous met dans une situation très délicate. Essayez de compromettre son compte pour découvrir pour qui elle travaille. Utilisez vos compétences en OSINT et en ingénierie sociale pour mener à bien cette mission.Nom : Adèle Morte

Je commence par une classique recherche Google de son nom et je tombe sur son Linkedin.

À première vue, rien d’intéressant au niveau de la partie “Coordonnées” . On s’intéresse donc au poste qu’elle a partagé. On remarque qu’elle a laissé un fav sur le tweet.

Cette information permet de pivoter sur son compte Twitter. On retrouve le tweet, et nous n’avons plus qu’à trouver son compte.

Bingo ! Avec le compte on effectue une brève analyse en crawlant ses tweets afin de trouver des informations intéressantes. 2 éléments en ressortent :

  • un compte mail : adele.morte@protonmail.com
  • énormément de retweets de concours et un tweet où elle souhaite vraiment gagner.

On décide donc de se faire passer pour une entreprise d’un des tweets concours retweeté par notre cible, afin de lui dire qu’elle a enfin gagné, plus précisément pour des tapis XXL, la chance !

La réponse arrive rapidement, Adèle est enchantée d’avoir enfin gagné.

On commence doucement en lui envoyant un formulaire afin qu’elle renseigne ses informations pour la livraison du cadeau.

Après, un échange en 2 mails, elle comprend l’utilité de ce formulaire et le remplit sans soucis. La technique du pied-dans-la-porte est ensuite utilisée. Nous revenons vers Adèle, après avoir “vérifié” son identité, pour lui demander de confirmer son compte Twitter en suivant le lien ci-dessous.

Ce lien répond évidemment à notre but premier, donné dans l’énoncé, qui est de compromettre son compte. Il mène directement vers une page de phishing Twitter que nous avons hébergé (github pour phish).

Cette gentille Adèle, pressée de recevoir les tapis XXL durement gagnés par retweet, se connecte naïvement à son compte.

On obtient alors le flag du challenge : Hero{FR3NCH_M0R74D3LL35}

Contactez-moi :
Site Web personnel
Twitter de l’équipe : LesPiresHat

--

--