Midnight Flag CTF 2021 — OSINT Write-up
Le 10 avril 2021, l’ESN’HACK a lancé le CTF Midnight Flag (page d’accueil du CTF). Notre équipe a fini 4ème au classement général sur plus d’une centaine d’équipe.
Dans ce write-up, il sera question de la résolution d’un challenge d’OSINT scindé en 3 parties et réalisé par Kazuno.
Back to the past 1/3
Nous débutons avec cet énoncé :
Le lycée Jeanne d'Arc a récemment licencié Jacque Houzit, un professeur de Mathématiques. Ils le suspectent de préparer une attaque informatique contre eux pour se venger.Ils font appel à vos services, enquêtez et voyez ce que vous pouvez trouver.
Je commence par une classique recherche Google de son nom et je tombe sur son Linkedin.
En inspectant la partie “ Coordonnées ” on obtient le lien vers son Github.
La description du profil ne nous donnant rien, je me rends directement sur les commits de ses dépôts afin de pouvoir y trouver des informations sensibles qui auraient été effacées.
Bingo ! On obtient un pastebin pour Archangel. Malheureusement, nous mène vers un pastebin nécessitant un mot de passe pour être ouvert. Ce pastebin portant le nom go_back_to_the_past je comprends qu’il faut passer par Wayback Machine pour obtenir une version plus ancienne du pastebin.
La sauvegarde du 6 février 2021 est particulièrement intéressante puisqu’elle comporte un mot de passe. On déverrouille donc le pastebin précédent avec ce mot de passe.
On obtient des informations intéressantes pour la suite, ainsi que le flag pour valider la première partie du challenge.
Back to the past 2/3
Grâce à vos informations, le directeur du lycée a pu retrouver Jacque Houzit en consultant l'historique des caméras de la ville de Rennes.Il agissait bizarrement et était constamment sur son téléphone. Avec les informations que vous avez récoltées, faites votre possible pour retrouver son compte Twitter.
On nous demande de trouver son compte Twitter. Je vais donc utiliser les informations récupérées précédemment afin d’affiner ma recherche du compte.
Ces informations sont les suivantes : Un rendez-vous le 7 février à 14h à Place de la République à Rennes
Je construis mon dork Twitter :
near:"Rennes" within:5km until:2021-02-08 since:2021-02-06On cherche tous les tweets écrits à Rennes avec un rayon de 5km, entre le 6 et 7 février 2021.
On descend légèrement dans les recherches et on tombe sur le compte @LNight0w demandant de l’aide sur du cracking de Wi-Fi. C’est cohérent avec la demande Jacques à Archangel d’amener son Pineapple, on a donc le deuxième flag : MCTF{LNight0w}
Back to the past 3/3
Jacque Houzit a été licencié car il consommait du cannabis sur son lieu de travail. Le directeur du lycée le suspecte de s'être fourni sur une plaque tournante à l'étranger.Retrouvez dans quel pays il est parti cet été.
Afin de savoir où aller, je continue la récole d’informations sur son compte Twitter. Ses tweets, retweets et contenus aimés ne donnant rien, je consulte ses followers.
On retrouve le fameux Archangel ! Je pivote alors sur son compte Twitter.
En descendant dans son profil, on apprend qu’Archangel a passé un excellent voyage avec Jacques.
Il nous donne également son adresse Gmail. J’utilise donc un outil très pratique en OSINT nommé GHunt permettant d’investiguer en ayant comme entrée uniquement une adresse Gmail.
Une review Google Maps a été trouvée, ça sent bon.
On apprend grâce à cet avis que Gilles (Archangel) est allé il y a 2 mois avec un de ses amis au Népal recharger ses batteries (et ses valises !).
On obtient donc le flag final du challenge : MCTF{Nepal}
Contactez-moi :
Site Web personnel
Twitter de l’équipe : LesPiresHat
