- vừa được xem lúc

𝐈𝐒𝐈𝐓𝐃𝐓𝐔 𝐂𝐓𝐅 𝟐𝟎𝟐𝟑 𝐐𝐔𝐀𝐋𝐒 [𝐎𝐒𝐈𝐍𝐓] - WRITEUP

0 0 24

Người đăng: The Anh

Theo Viblo Asia

Xin chào mọi người, cảm ơn các bạn đã tham gia vào ISITDTU CTF QUALS 2023. Hi vọng là bạn thấy vui khi tham gia và học được nhiều điều từ sự kiện lần này. Và sau đây là bài Writeup của mình ở thể loại OSINT.

FAMOUS GIRL

fmgirl

Bây giờ chúng ta có một cô gái tên là Cithrel Wynhice là một người khá nổi tiếng trên mạng, bây giờ chắc chắn là chúng ta phải đi tìm tài khoản mạng xã hội của cô ấy rồi. Dùng tên của cô gái ấy đi search ở trên các nền tảng mạng xã hội, bạn đang thắc mắc vì sao lại tìm không ra bởi vì khi ra đề mình đã thay đổi một kí tự đó chính là chữ Lviết thường và chữ I viết hoa cho tên của cô ấy trên mạng xã hội:

Cithrel Wynhice --> CithreI Wynhice

Và chúng ta sẽ tìm thấy cô ấy ở trên Instagram:

Screenshot 2023-10-15 202456

Hoặc có một cách khác đó chính là chỉ tìm kiếm Wynhice ở trên Instagram, chúng ta cũng có kết quả tương tự:

Screenshot 2023-10-15 202741

Okay truy cập vào trang cá nhân của cô ấy ta sẽ có 1 đoạn nhị phân và username của cô ấy cũng là 1 đoạn cipher được encode bằng Caesar Cipher: (Và cả 2 đều là troll nhé 👀)

Screenshot 2023-10-15 202941 Screenshot 2023-10-15 203101

Nền tảng mạng xã hội mới có tên là Threads mới được Meta công bố và là một người nổi tiếng nên Cithrel cũng đăng kí tài khoản để sử dụng. Threads được đăng kí bằng cách chuyển đổi trực tiếp từ Instagram nên ta sẽ sử dụng username của cô ấy ở Instagram và tìm kiếm trên Threads:

Screenshot 2023-10-15 203925

Truy cập vào tài khoản của cô ấy ta thấy điểm khác biệt ở đoạn nhị phân ghi ở tiểu sử:

Screenshot 2023-10-15 204116

Decode đoạn nhị phân ở Threads chúng ta thu được một đường link:

binary threads

Truy cập vào đường link bạn sẽ được đưa đến trang Anotepad:

anote

Nhìn vào sẽ có điều bất thường ở đây 😉 Chỉ có một dòng chữ nhưng lại còn rất nhiều khoảng trống ở phía dưới. Select vào ta sẽ biết được đó là Whitespace Language. Decode ra ta được flag:

flag1

FLAG: ISITDTU{4_n3w_w4Y_t0_5hAr3_wjtH_t3xt}

DISCOVER

dscv

Đọc đề ta biết được là cô ấy đã đăng một bài viết lên mạng xã hội có một bức ảnh được chụp bằng flycam và ta phải đi tìm nó, sau đó xác định tên của toà nhà cao tầng đối diện với vị trí đó. Dạo quanh 1 vòng tài khoản Threads của cô ấy thì sẽ có một vài fake flag và rickroll bạn muốn biết thì có thể tự trải nghiệm nó😛 Nhưng ta cần quan tâm vào 2 bài viết mà cô ấy đăng lên: Screenshot 2023-10-15 205948

Nhìn vào ta sẽ hiểu được đó là một đoạn id url của Facebook và Twitter. Đối với Facebook thì chỉ cần nhập vào như thế này:

Screenshot 2023-10-15 210203

Đường link đó sẽ dẫn đến video Rick Astley "Never Gonna Give You Up" 😃)))

rr

Tiếp đến với đoạn id của Twitter thì sẽ phải cần thêm một vài điều kiện để kết hợp với nhau: https://twitter.com/randomusername/status/id_in_her_post Vậy thì ta sẽ lắp ghép như thế này là sẽ truy cập được: https://twitter.com/randomusername/status/1706752419806560656 Screenshot 2023-10-15 211048

Vào trang cá nhân của cô ấy thì cũng không có gì hữu ích lắm nên ta sẽ dùng username để tìm kiếm và sẽ tìm được một tài khoản khác của cô ấy ở Mastodon. Thêm vào đó là sẽ có một số Archived ở tài khoản Twitter: Screenshot 2023-10-15 211327

Truy cập vào trang cá nhân Mastodon của cô ấy: Screenshot 2023-10-15 211641

Ta sẽ có một bức ảnh, dùng Google Lens để tìm kiếm ta sẽ có: Screenshot 2023-10-14 195237

Kết hợp với tiêu đề của bài viết cô ấy đăng trên Mastodon: I watched a quite interesting video, and I captured this picture. Cô ấy chụp bức ảnh từ một video, vậy nên ta sẽ bắt đầu tìm kiếm với Youtube: Screenshot 2023-10-15 212823

Xem lần lượt các video thì ta sẽ tìm được cảnh giống với bức ảnh cô ấy chụp ở video thứ 2 theo như kết quả tìm kiếm: Screenshot 2023-10-15 213036

Và xem video ta cũng sẽ nhận ra có một toà nhà cao nhất đối điện với bãi rác xe đạp này: Screenshot 2023-10-15 213821

Giờ ta sẽ phải tìm vị trí của nó trước. Nhìn sang bên cạnh ta sẽ dễ dàng thấy được toà nhà có tên HITIME. Tìm kiếm trên Google ta thu được địa chỉ: Screenshot 2023-10-15 214528

Dùng Baidu Maps để tìm kiếm địa chỉ và thấy được nó: Screenshot 2023-10-15 215319

Đi lại gần một chút để thấy được tên của toà nhà cao nhất bên kia là: CHINA CITIC BANK Screenshot 2023-10-15 215606

Tiếp theo truy cập vào Website của China Citic Bank: https://www.citicbank.com/common/fwwd/ ta thu được list những chi nhánh của họ. Tìm kiếm chữ CITIC và có được kết quả: Screenshot 2023-10-15 220036

FLAG: ISITDTU{shanghai_citic_plaza}

COMMUNICATION

commu

Ban nãy khi dùng tool để tìm kiếm tên của cô ấy ta còn có được một mục đó là Archived ở Twitter. Theo như bài viết cô ấy đăng ở Twitter thì cô ấy sẽ dùng một cái gì đó để quản lý các tài khoản của mình nhưng bức ảnh đã được làm mờ nên không thể biết được đó là gì. Kiểm tra những phiên bản đã lưu ở trang https://web.archive.org/ và trỏ đến phần "URLs" ta có một status được lưu trữ: Screenshot 2023-10-15 222106

Tải bức ảnh về, kiểm tra Metadata sẽ có được đường link của Linktr.ee: linktr.ee/cithrelwynhice Screenshot 2023-10-15 222406

Truy cập vào ta sẽ có được link mời đến Server Discord của cô ấy và một video rất nóng bỏng 😍 Screenshot 2023-10-15 222615

Vào Discord chúng ta cần quan tâm vào 1 channel mang tên Secret, ở đó có rất nhiều đường link giống nhau và chúng ta sẽ cần phải tìm đường link chính xác: Screenshot 2023-10-15 223222

Quay lại với trang lưu trữ Twitter, kiểm tra các bản lưu trữ sẽ có một bản lưu trữ có điểm khác ở phần ảnh bìa: Screenshot 2023-10-15 224237

Ta có đoạn ID như sau: 1156305669700460695 Thêm đoạn ID này vào sau đường link dẫn đến channel Secret: https://discord.com/channels/1154636986448085032/1154669336645083166/1156305669700460695 Đây là đường link của 1 tin nhắn, tin nhắn này là tin nhắn khác với những cái còn lại: Screenshot 2023-10-15 224911

Truy cập vào ta sẽ có được file flag.bmp giờ phải tìm cách để lấy flag từ file này. Screenshot 2023-10-15 225141

CÁCH 1: Đối với Windows thì mình sẽ dùng Xiao steganography để Extract file ra: Screenshot 2023-10-15 225554

Sẽ có 1 file xls được nhúng vào giờ chỉ cần Extract ra và lưu file với extension là .xls. Sau đó mở file đó ra ta sẽ có 1 bảng tính trống như thế này: Screenshot 2023-10-15 225919

Bấm chọn tất cả, sau đó bấm tổ hợp phím Ctrl + Shift + ~ Flag sẽ hiện ra: Screenshot 2023-10-15 230406

CÁCH 2: Đó chính là sử dụng công cụ "zsteg" Đầu tiên sử dụng lệnh: zsteg -a flag.bmp và sẽ thấy có điều kì lạ TAG:Int21 Screenshot 2023-10-15 231024

Tiếp theo sử dụng lệnh: zsteg -E b1,lsb,bY flag.bmp > data_file để extract dữ liệu sang file mang tên là data_file. Mở data_file với Excel và nhập vào tìm kiếm "ISITDTU" sẽ tìm được flag: Screenshot 2023-10-15 231710

FLAG: ISITDTU{3xc3l_trjck_t0_hjd3_t3xt}

Đây là toàn bộ bài Writeup của mình, nếu thấy hay thì hãy để lại cho mình xin 1 Start nhé: https://github.com/vjz3r/ISITDTU-CTF-2023/tree/main/osint

Cảm ơn mọi người rất nhiều 😘😘😘😘

Thanks for reading!!!

Bình luận

Bài viết tương tự

- vừa được xem lúc

Lộ SỐ TÀI KHOẢN ngân hàng, tôi đã mất TẤT CẢ!!!

Ngày nay, việc sở hữu một tài khoản ngân hàng đã trở nên vô cùng đơn giản. Kể cả khi bạn lười ra ngân hàng thì chúng ta vẫn được phép đăng ký trực tuyến và thẻ cùng với thông tin tài khoản sẽ được gửi

0 0 40

- vừa được xem lúc

[Write up] Cyber Space OSINT Playground - Travelling

Lâu lắm mình mới làm CTF và viết write up, nên lần này chúng ta sẽ cùng thử thách với một thể loại rất là thú vị trong CTF nhé. Mục tiêu lần này của chúng ta là thể loại OSINT tại trang OSINT playgrou

0 0 36

- vừa được xem lúc

[Write up] Cyber Space OSINT Playground - Investigating

Lâu lắm mình mới làm CTF và viết write up, nên lần này chúng ta sẽ cùng thử thách với một thể loại rất là thú vị trong CTF nhé. Mục tiêu lần này của chúng ta là thể loại OSINT tại trang OSINT playgrou

0 0 28

- vừa được xem lúc

[Write up] Cyber Space OSINT Playground - Intro, Audition

Lâu lắm mình mới làm CTF và viết write up, nên lần này chúng ta sẽ cùng thử thách với một thể loại rất là thú vị trong CTF nhé. Mục tiêu lần này của chúng ta là thể loại OSINT tại trang OSINT playgrou

0 0 23

- vừa được xem lúc

Khám phá GooFuzz: Công cụ OSINT mạnh mẽ cho các chuyên gia bảo mật

Trong bài viết này, mình sẽ chia sẻ cho các bạn về GooFuzz - một công cụ mã nguồn mở mạnh mẽ được viết bằng Bash Scripting, sử dụng phương pháp OSINT (Open Source Intelligence) để phát hiện thông tin

0 0 12

- vừa được xem lúc

[Write-up] HTBCTF Cyber Apocalypse 2023 - The Cursed Mission: [Web] UnEarthly Shop

Intro. .

0 0 20