setodaNoteCTF Writeup [OSINT]
OSINT
tkys_with_love
「コールサイン C6DF6」でGoogle検索
https://idyllicocean.com/vdb/ship18_vsl_info.php?id=2975
Dorks
サイトの中で login.php が不用意に公開されていないかを Google を使って確認するように依頼を受けました。 Google で login.php を URL に含むページを検索するための検索語句を検索演算子を含めてすべて小文字で フラグ形式にして答えてください。
inurl:login.phpで検索できます
filters_op
Twitter アカウント @cas_nisc が2017年5月15日にツイートした注意喚起に付与されている 英字のハッシュタグをフラグ形式で答えてください。
Twitterにて期間指定して検索
@cas_nisc since:2017-5-15 until:2017-5-16
以下が該当のtweet
"【現在拡散中の #ランサムウェア ( #WannaCrypt )への対応方法】"をまとめました。
MAC
MACアドレスのベンダーコードを調べるだけ
00:03:93 Apple→A
00:01:A9 BMW→B
頭文字をとる
tkys_eys_only
画像のURLに緯度経度があるのでGoogleマップで調べるだけ
https://www.weather.gov/MapClick.php?lat=40.749444&lon=-73.968056
40.749444,-73.968056
flag{United_Nations_Headquarters}→ハズレ
flag{The_United_Nations_Headquarters}→ハズレ
flag{Headquarters_of_the_United_Nations}→ハズレ
flag{United_Nations_Secretariat_Building}→ハズレ
flag{German_Radio_Network}→ハズレ
→当たり。時間を無駄にした感。
MITRE
T1495T1152T1155T1144 T1130T1518 flag{T1170T1118T1099T1496T1212_T1531T1080T1127T1020T1081T1208_T1112T1098T1199T1159T1183T1220_T1111T1147T1220} フラグに英字が含まれる場合はすべて大文字で答えてください。
MITREのTechniquesに関する問題
T****のIDを以下にて検索した
https://attack.mitre.org/techniques/T1220/
また、採番が変わったせいか、上記にて該当しない番号あり。以下にて検索した
https://www.attack-mitre-japan.com/techniques/enterprise/
問題文一行目のMITREのTechniquesのタイトルの頭文字をとると、「FLAG IS」になる
T1495 Firmware Corruption T1152 Launchctl T1155 AppleScript T1144 Gatekeeper Bypass T1130 Install Root Certificate T1518 Software Discovery
同様に検索する
T1170 Mshta T1118 InstallUtil T1099 Timestomping - Red Teaming Experiments T1496 Resource Hijacking T1212 Exploitation for Credential Access T1531 Account Access Removal T1080 Taint Shared Content T1127 Trusted Developer Utilities Proxy Execution T1020 Automated Exfiltration T1081 Credentials in Files T1208 Kerberoasting T1112 Modify Registry T1098 Account Manipulation T1199 Trusted Relationship T1159 Launch Agent T1183 Image File Execution Options Injection T1220 XSL Script Processing T1111 Two-Factor Authentication Interception T1147 Hidden Users T1220 XSL Script Processing
Ropeway
Google画像検索よりかんざんじロープウェイとわかる
https://www.kanzanji-ropeway.jp
N-th_prime
200
電車の中で誰かの会話が聞こえてきます。 「巨大な素数の秘密を知っているか兄者」 「知っているとも弟者。巨大な素数は秘密を守る要なのさ」 「兄者、1番目の素数は?」「2 だ」 「2番目の素数は?」「3 だ」 「数え上げて 72057594037927936 番目の素数は?」「・・・」 「兄者マテッ!ときに落ち着けって!」 数え上げて 72057594037927936 番目の素数をフラグ形式で答えてください。 例えば 11 だった場合は flag{11} と答えてください。
72057594037927936 番目の素数を答える問題
高速なプログラムがあった
https://ikatakos.com/pot/programming_algorithm/number_theory/prime_judge
各素数について次に見つかる倍数を保持
短時間で計算できるのは8桁番目の素数(871643389とか)ぐらいまで
30分程度では計算が終わらない
OSINTなので計算ではないか・・・
半日ぐらいで↓ぐらいまでしか計算できず
895562208番目の素数20316888131 895562209番目の素数20316888161 895562210番目の素数20316888191
List of prime numbers up to 1 000 000 000 000 (1000 billion)
http://compoasso.free.fr/primelistweb/page/prime/liste_online_en.php
1000000000000までならあった 72057594037927936 番目(2^56)の素数なので足りない
とても桁の大きな素数ならあるが何番目かはわからない
https://en.wikipedia.org/wiki/Largest_known_prime_number
(解けていない)
(追記)
primecountというプログラムでできるとのこと
$ git clone https://github.com/kimwalisch/primecount $ cd primecount $ cmake . -- The CXX compiler identification is GNU 7.5.0 : $ make -j Scanning dependencies of target libprimesieve-static [ 1%] Building CXX object lib/primesieve/CMakeFiles/libprimesieve-static.dir/src/api-c.cpp.o : $ ls -ltr : -rwxrwxr-x 1 bird bird 690784 Sep 10 11:45 primecount drwxrwxr-x 8 bird bird 4096 Sep 10 11:45 CMakeFiles
実行
$ ./primecount 72057594037927936 --nth-prime --threads=4 2991614170035124397
↑数秒とはいかなかったが、1分もかからなかった・・・
$ ./primecount 895562210 --nth-prime --threads=4 20316888191
↑別スクリプトで半日かかって出した素数。本スクリプトでは1秒もかからず
identify_the_source
250
組織はある攻撃者グループの動向を調査しています。 あなたは旧知の情報提供者からその攻撃者グループが攻撃に利用しようとしているというファイルを 入手することに成功しました。情報提供者はファイルの配布元URLの情報も持っているようですが、 そちらの情報を入手するためには高額な対価が必要となりそうです。 あなたが自由にできる予算は限られています。 巧みな話術でどうやらあるマルウェア解析サイトから取得した情報であるようだというところまでは 聞き出せました。 組織はあなたに配布元URLを特定し、攻撃を未然に防ぐとともに攻撃者グループに関する重要な情報が 含まれていないか調査するよう指示を出しました。 添付されたファイルを解析して関連する配布URLを特定、調査し、フラグを入手してください。
ファイルがわたされ、配布元(ソース)を探す問題
関係ないかもしれないが、VTにあげているひとがいた
(日時からしてたぶん参加者。特に情報はなさそう)
https://www.virustotal.com/gui/file/64f10be20a97f7d25fd23d48e563cc391c54882c97d1c232832ea6beb61ca1da/details
flagについての記載を削ったもの https://www.virustotal.com/gui/file/cae8bccc2939d6ac009b1d3c0c6191e99a2a0b14a3d771e5e6815b001f9b5f00/details
ほかにハッシュ検索とかあれば・・・
ハッシュ値でGoogle検索しても何も出ない
OSINTツール Mitaka でディグってみよう
https://ninoseki.github.io/2018/08/03/mitaka.html
上記ツールでハッシュを片っ端から調べる
Associated URLs
https://yrsuccessesareunheraldedyrfailuresaretrumpeted.setodanote.net/tsuru
アクセスしてみる
<html> <head><title>404 Not Found</title></head> <body> <center><h1>404 Not Found</h1></center> <hr><center>nice try!</center> </body> </html>
何もない
トップページは
https://yrsuccessesareunheraldedyrfailuresaretrumpeted.setodanote.net/
<!DOCTYPE HTML> <html> <head> <title>Good job</title> <meta charset="utf-8" /> <link rel="stylesheet" href="main.css" /> </head> <body> <p>NO DATA</p> <br /> <br /> <br /> <br /> :(長いので略) <p deleteTime="1626307200">The flag is no longer here.</p> </body> </html>
消されている
取得済みの魚拓 2021年7月22日 23:39 Good job 2021年7月21日 00:25 Good job 2021年7月20日 12:15 Good job 2021年7月20日 01:36 Good job 2021年7月20日 00:21 Good job 2021年7月19日 23:35 Now loading 2021年7月19日 19:20 Now loading 2021年7月18日 23:54 Now loading 2021年7月18日 16:53 Now loading 2021年7月18日 16:15 Now loading 2021年7月18日 11:20 Now loading 2021年7月18日 00:31 Now loading 2021年7月17日 15:48 Now loading 2021年7月17日 15:04 Now loading 2021年7月17日 08:35 Now loading 2021年7月16日 19:56 Now loading 2021年7月16日 12:25 Now loading 2021年7月15日 18:59 Now loading 2021年7月15日 18:00 Now loading ★消された後 2021年7月15日 01:15 Now loading 2021年7月15日 01:03 Now loading ★flagあり 2021年7月15日 00:51 Now loading ★flagあり 2021年7月15日 00:41 Now loading ★flagあり 2021年7月15日 00:30 Now loading 2021年7月15日 00:20 Now loading 2021年7月14日 21:46 bbb 2021年7月14日 12:30 fla_ 2021年7月14日 08:19 bbbb 2021年7月13日 15:09 bbbb 2021年7月13日 01:49 bbbb 2021年7月11日 13:40 bbbb 2021年7月11日 08:15 bbbb 2021年7月11日 00:34 bbbb 2021年7月10日 17:47 bbbb 2021年7月9日 22:07 aaa 2021年7月9日 20:35 aaa 2021年7月9日 00:46 aaa 2021年7月9日 00:44 取得エラーでした
大量に候補がある
deleteTime="1626307200"より、2021年7月15日 9:00 (JST)頃消されたと思われる
(UNIX TIMEの変換)
https://www.convert-unix-timestamp.com/unixtime/1626307200#.YSszJ477SFE
Unix Timestamp: 1626307200 Thursday, July 15. 2021, 12:00:00 AM UTC
それより前を片っ端から見る
https://megalodon.jp/2021-0715-0103-05/https://yrsuccessesareunheraldedyrfailuresaretrumpeted.setodanote.net:443/
フラグがあった
secret_operation
ブラウザのキャプチャのような画像を渡される
ページの一部情報にマスクがかけられているが、
URLはわかる
画像のURLにアクセス
https://green-pond-97ff.setodanote.net/
Your info Country: JP
とかが表示される。画像とは異なるページに見える
マスクされていた情報自体が表示されていない
接続元の国によって異なるページを表示させている?
sudo apt install torbrowser-launcher
接続元を設定
$ locate torrc /etc/tor/torrc /home/user/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc
以下を記載
$vi /home/user/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc
ExitNodes {ru} StrictNodes 1
上記だけであらためてアクセスしたが、
「Country: T1」となってしまった
Torの出口ノードだとなるらしい?
接続しなおしてもダメ
https://iplocation.com/だとロシアになっていた
関係は分からないが、以下で「Country: RU」とできた
(経路が変わってTorの出口ノードがかわったのかもしれない)
入口ノードもtorrcへ追加
EntryNodes {ca} StrictNodes 1
Torブラウザーの設定(GUI)で
Tor Settings
「Bridges」
→Use a bridgeを選択
→Select a built-in bridge 「obfs4」を選択
あらためてアクセス
Information Display The time is always right to do what is right. @aarron142857 Your info City: undefined Region: undefined Country: RU Timezone: Europe/Moscow Молодец против овец, а против молодца и сам овца. Link
今度は画像と同じページのようだ
Twitterへのリンクがある
https://twitter.com/aarron142857
「Link」には以下へのリンクがあり、アクセスするとBASIC認証が出る
https://billowing-poetry-3254.setodanote.net
Twitterにて@aarron142857が「いいね」しているツイートにヒントがあった
https://twitter.com/David3141593/status/1371974874856587268
@aarron142857のツイートしているPNG画像に↑と同じものがある
Twitterに「画像に見せかけてZIPファイルを投稿する方法」
https://gigazine.net/news/20210319-twitter-zip-png-upload/
上記を参考に「Twitter Image Downloader」を使って、
Twitterの画像を原寸大でダウンロード
画像の拡張子をZIPにして、7zipにて解凍
解凍してでてきたPNGより、以下の情報がわかる
USER: << CHECK MY BIOI >> Password: right_next_to_you
認証情報は@aarron142857のTwitterのプロフィールより、以下
J.S right_next_to_you
あらためて、以下へアクセスしてBASIC認証を通ると
https://billowing-poetry-3254.setodanote.net
Classified information Operation [-- CENSORED --] ... Вы ведь не из моей страны?
↓翻訳
... あなたは私の国の人ではないですよね?
ここも接続元の国をみているっぽい
Torブラウザーにて接続
Classified information Operation flag{=xxxxxx=} The operation is already in the execution phase. All information will be erased.
フラグが見えた