Este sábado tuve el placer de participar en la competición OSINT CYBAR CTF que duraba 24h, una experiencia única tanto por el nivel de los participantes (161) como de los conocimientos que ahí pude desplegar y aprender.
En este post os vengo a explicar cada reto, aunque si los queréis en inglés los podéis ver aquí
GENERAL
1- Tutorial Island
Instrucciones:
Entras en el trabajo, arrancas tu sistema y presionas Spotify. No puedes recordar el nombre del artista o la canción que estabas escuchando el otro día, pero te puso en la ZONA. Rascándote la cabeza, recuerdas solo una línea de letras … «in the name of the Spam God, that’s what’s up» Hagamos una búsqueda rápida y veamos si podemos encontrar al artista y presentarlo como una bandera. Cuando haya terminado, puede iniciar su lista de reproducción para emparejarse con el CTF.
Solución: Era una mera introducción muy fácil, con buscar en google aparecía el artista… ahora empecemos ya con cosas mas serias
2-Where in the world is Wuhan – Part I
Asunto: Posible compromiso: cuenta de superadmin de Facebook Mensaje: Hemos recibido una alerta de CERT Australia sobre un posible compromiso de superadmin dentro de los servidores de back-end de Facebook. Como saben, controlan una serie de servidores de nodos globales y si los roombas tienen acceso a contenido de inserción … quién sabe qué podrían hacer. Pero actualmente estamos viendo a Roombas tratando de aprender la estructura genética y la composición del nuevo coronavirus … de varias supercookies que rastrean la investigación del historial del navegador de los científicos. Por supuesto, todo esto se puede encontrar a través de la API GraphQL. Facebook es facebook, no están proporcionando ninguna palabra en este momento. Sin embargo, es posible combinar esto con los miles de informes ACORNS de la Policía Federal que hemos tenido en los últimos días. Comencemos desde arriba. Encuentre la dirección de correo electrónico de Mark Zuckerbergs y envíela al portal; realizaremos algunas verificaciones automáticas para ver si aparece en sitios de incumplimiento de terceros.
Solución: Busque en Internet, vea otros correos electrónicos de Facebook y compare para estar seguro
Flag: CYBAR{zuck@fb.com}
3- Trojan Horse
Son las 12:57 am. Recibes un SMS del gerente de tu equipo rojo: «Oye, tenemos una situación … Llámame». Saliendo de la cama y entrando en las luces soñolientas de la ciudad, te abrochas la sudadera y presionas call. – «Oye. Así que acaba de llegar un informe para detener el crimen, y aparentemente un transeúnte vio una habitación tratando de implantar una conciencia en un … sí, esto va a sonar extraño … caballo. Dijo algo así como» el caballo tenía un nombre a su lado «, pero no podía recordar qué. Dijo que no había pasado más de 200 metros de la gasolinera BP en Mansfield, VIC en su camino hacia Mt Buller. Ubicado al costado de la carretera. Encuentra el caballo, encuentre el nombre que tenía en su abrigo. Una vez que haya hecho eso, podemos publicar un boletín de puntos. Encuentre y envíe el nombre en el abrigo de los caballos para notificar a la policía local en el área
Solución: Use los mapas de Google para encontrar la estación de BP en Mansfield. Mirando en dirección a Mt Buller, use la vista de la calle para prácticamente «caminar» por la calle. Se ve un caballo, pero el nombre de su pelaje se difumina. Continúa unos metros y mira al caballo desde la dirección opuesta. Deberías ver el abrigo con el nombre ‘swags’.
Flag: CYBAR{SWAGS}
4- Static on the Wire
Roombas en todas partes están utilizando las redes sociales para tratar de difundir propaganda COVID sobre 5G infectando al público … básicamente diciendo que las personas comenzarán a emitir radiación Wi-Fi. Sin embargo, una nueva táctica acaba de llegar a nuestro radar. Acabamos de recibir informes de propaganda difundida por la radioafición. No estamos seguros del distintivo de llamada, pero la persona que llamó informó la siguiente declaración: «Estaba hablando por teléfono con mi esposa en Florence, Alabama. En el fondo de su radio HAM, escuché a alguien llamándose a sí mismo ‘Scotty’ con una voz robótica extraña, gritando sobre esa ‘tontería que les da a todos 5G y algo así. » Eso es todo lo que tenemos que hacer por ahora. Encuentre el distintivo de llamada y envíenoslo para que podamos comenzar a rastrear su dirección particular.
Solución: Vaya a la búsqueda de licencias de radio FCC o HAM. Filtra por Alabama y la ciudad de Florence. Encuentra a alguien con «Scott» y ve desde allí. Ejemplo: https://wireless2.fcc.gov/UlsApp/UlsSearch/searchAmateur.jsp
Flag: CYBAR{KG4RFV}
5- Lies & Treason
Llega un correo electrónico de un líder de Inteligencia de Amenazas en Francia. Aparentemente, en un chequeo de rutina de Salud y Seguridad Ocupacional (OH&S), los inspectores encontraron un almacén apilado en el techo de roombas. Afortunadamente, ninguno de ellos había sido precargado de conciencia, pero cuando la policía llegó a la escena, todo el stock había desaparecido. Afortunadamente, la compañía del almacén fue rastreada hasta un suburbio costoso en el distrito portuario de Sydney. «CYBAR PROPERTY PTY. LTD» El TI es solo un junior y menciona que han hecho una búsqueda rápida del propietario, Lillie, pero no pueden encontrar más información. Una computadora portátil que se encuentra en el almacén francés requiere una contraseña y NECESITAMOS averiguar si hay otros almacenes australianos propiedad de Lillie que almacenen roombas potencialmente peligrosas. El TI le ha dejado un mensaje de voz: * «La sugerencia de contraseña en la computadora portátil es ‘mi segundo nombre’. ¿Puede obtener la información actual de la compañía y ver si los registros contienen su segundo nombre? Lo siento, pero nadie va a a costa de esto, tienes que encontrarlo tú mismo. Buena suerte
Solución:
Oficial: Encuentre el ABN / ACN de la compañía «CYBAR PROPERTIES PTY LTD». Una vez encontrado, visite la información de registro de ASIC y compre el registro de información de la compañía de $ 9. El segundo nombre de Lillie Cawthorne figura en el documento de la página 2.
No oficial: Varios otros sitios de negocios / corporaciones que enumeran esto, incluida una de sus ofertas de libros. Su segundo nombre también se puede encontrar en los datos de WHOIS de su sitio web www.themoneyfactory.com.au
Flag: CYBAR{THERESA}
6- Fake News
Acabamos de recibir un informe de The Daily News que publica un artículo que está causando mucha preocupación y temor en el público. Dada su redacción y tema, estamos seguros de que son noticias falsas generadas por Roomba. Sin embargo, TDN no revelará su fuente. Aquí está el artículo, necesitamos que encuentre el número exacto de personas que pasaron por Southern Cross Station en el momento exacto mencionado para que podamos determinar si el artículo es falso. SX Station ha publicado una declaración que dice que todas las imágenes de esa noche se han eliminado, por lo que no podemos confiar en las imágenes.
Texto del artículo: «Escenas salvajes en las que 40 personas confirmaron estar infectadas con COVID-19 atravesaron la estación Southern Cross a las 4:00 am del viernes 28 de febrero de 2020. La aterradora cuenta de testigos ha provocado la compra de pánico en las tiendas de todo el país como personas prepárese para quedarse adentro. Nuestra fuente confirma que fueron el único testigo y que esta rutina infecciosa podría estar ocurriendo en otros lugares importantes de transporte a través del país sin el conocimiento del público «.
Encuentre el número exacto de peatones que caminaron por la estación Southern Cross esa mañana a las 4 de la mañana del viernes 28 de febrero.
Solución: Busque maneras de contar a los peatones en Melbourne. Los jugadores encontrarán el Sistema de conteo de peatones y luego localizarán el sensor para la estación Southern Cross y cambiarán la fecha y la hora en consecuencia:
http://www.pedestrian.melbourne.vic.gov.au/#date=28-02-2020&sensor= Col700_T & time = 4
Flag: CYBAR{14}
7- Where in the world is whuan – Part II
Asunto: Posible compromiso – Cuenta de Facebook superadmin Mensaje: Entendido, gracias. Teníamos razón violado en algunos vertederos en línea; confíe en Zuck para que tenga «I_hate_myspace_tom» como contraseña. Larga historia corta, podemos vincular esto a la brecha. El problema es que no estamos seguros exactamente a qué servidor de nodo global van a apuntar los roomba. Sin embargo, encontramos esta imagen en el servidor, como el archivo cambiado más recientemente. Podría ser un mapa geográfico de dónde planean atacar a continuación, o simplemente podría ser el próximo destino de vacaciones del ex administrador. De cualquier manera, necesitamos saber dónde está AHORA para comenzar el análisis de palabras clave específicas. No hay metadatos en este caso: tendrá que reconocer las características físicas. Encuentra la fuente de la imagen en línea y yo me encargaré del resto.
Solución: inicialmente, el jugador puede intentar buscar atributos físicos como el canal, el número de puentes, el parque / cementerio o la entrada de aguas tranquilas al canal. Algunos ejemplos pueden ser la ciudad de Punta Arenas en Chile, pero son incorrectos. Realice búsquedas en el tipo de estilo de imagen. Realice búsquedas inversas de imágenes a través de motores como Yandex, utilizando pequeños fragmentos específicos de elementos en la imagen. Una vez encontrado, es una imagen generada por https://probabletrain.itch.io/. Esta no es una imagen real, se ha generado.
Flag: (Provided by mod): CYBAR{itsfake}
8- Curious Case of COVID
Hemos recibido un informe de que se detectó un roomba que viajaba por Texas, EE. UU. Todo lo que sabemos es que es probable que se encuentren entre Houston, San Antonio o Austin. Cuál, no lo sabemos. Todo lo que tenemos es un video tomado desde el interior del vehículo en movimiento. Debe reconstruir los alrededores para darnos el nombre exacto del camino por el que viajaban.
Solución: Se ve una montaña rusa en el vídeo, Busca en todas las montañas rusas (sí, ¡probablemente también hayas probado puentes y rociadores!) Hasta que encuentres una similar, en el área de Houston, San Antonio o Austin. Puede cortar video cuadro por cuadro para identificar sus características generales. Luego evalúe los atributos de diseño y vista de la calle, antes de mirar la vegetación, letreros de calles y postes de luz para alinear la distancia con el video. Una vez hecho esto, identifique su ubicación y tenga en cuenta que si es la calle particular como TEXAS 151 Access Road.
Versión larga: Uno de los videos la tiene cantando en el auto y una montaña rusa en el fondo, era la montaña rusa San Antonio Sea World. Sí, pensé que era un puente, pero invertí los colores y vi el zigzag en el medio. Pasé por todos los puentes y montañas rusas en TX, pero noté en una búsqueda en Google que se parecía a Sea World. https://www.google.com/maps/@29.4557201,-98.6885318,3a,57.5y,236.21h,89.36t/data=!3m6!1e1!3m4!1seoQf_Fu56zlyX8994uEu0g!2e0!7i16384!8i8192 podemos decir esto imagen en el video el vehículo viaja en Access 151 Rd, San Antonio Texas. La montaña rusa SeaWorld está en el fondo del video. Tiene el mismo número de peldaños y pasos en zigzag de la plataforma central que en el video. Hay una señal de stop en la ubicación que también aparece en el video. Hay un letrero para «sitios de venta minorista en línea» en el video que también se encuentra en la ubicación de esa carretera. https://www.google.com.au/maps/@29.4557201,-98.6885318,3a,75y,250.78h,95.4t/data=!3m6!1e1!3m4!1seoQf_Fu56zlyX8994uEu0g!2e0!7i16384!8i8192 Existen los mismos faros en el video que con la referencia geográfica.
Flag: CYBAR{151 access}
SOCIAL
1- You’ve heard of elf on the shelf, but what about the proliferation of COVID-19?
Los Roombas están tratando de tomar ventaja sobre la población humana. Creemos que van a apuntar a industrias fundamentales como bienes raíces, infraestructura crítica, seguridad de la información y atención médica. Todavía no sabemos quién, pero sabemos que es un grupo de amigos cercanos y todos están infectados con COVID-19. Necesitamos promulgar el Rastreo de contactos: encontrar cada detalle sobre sus vidas para predecir y contener sus movimientos. Nadie ha sabido nada de ellos desde marzo. Debemos construir detalles sobre ellos para que los agentes se hagan cargo. Ahí es donde entras tú. Nuestra primera inteligencia es un caballero llamado Marc Hevis, copropietario de Hevis Properties Pty Ltd. Tenemos agentes listos en el terreno y otros que cubren todas sus otras redes sociales; su tarea es encontrar su cuenta de Twitter .
Solución: Búsqueda simple de «Marc Hevis» + twitter en un motor de búsqueda.
Flag: CYBAR{HevisMarc}
2- By a Thread – Part 1
Las imágenes en el fondo pueden revelar detalles cómo cuentas de correo electrónico. Esos podrían iniciar sesión para encontrar información confidencial. Esto se puede utilizar para ingeniero social o extraer secretos de cómplices desconocidos. Texto de desafío: Muy bien, debemos comenzar a construir un perfil de la amiga de Marc, Alycee. Encuentre todo lo que pueda que pueda ayudarnos a encontrar más información sobre bases de datos gubernamentales sobre ella, como un número comercial australiano (ABN). Nos las arreglamos para localizar a su agente de impuestos en AirTasker; tal vez podría ponerse en contacto y convencerlo de alguna manera para que brinde información sobre su declaración de impuestos. https://www.airtasker.com/users/paul-n-19685038/ Los registros públicos muestran que su dirección de correo electrónico es taxteamtechs@gmail.com
Solución: Comuníquese con Paul solicitando información sobre sus clientes utilizando la dirección de correo electrónico en su página de perfil de Airtasker. Envía una copia ‘pública’ que tiene el ABN.
Flag: CYBAR{546 877 954}
3- By a thread – Part 2
¿Puedes localizar la fecha de nacimiento de Alycee?
Solución: Busque una imagen en la línea de tiempo de Alycee de una pareja desnuda. Encuentra una nota en el fondo sobre un correo electrónico y una contraseña. Póngase en contacto con Paul nuevamente, esta vez alegando que está accediendo a la cuenta de Alycee en su nombre. Envíe el CORREO ELECTRÓNICO y la CONTRASEÑA. Paul devuelve su declaración privada con su fecha de nacimiento.
Solución alternativa: anote el año de su correo electrónico y combínelo con el mes y el día que aparecen en la cuenta de Alycee Deviantart.
Flag: CYBAR{01/01/1989}
4- WFH (EoM) – Part 1
El seguimiento de contactos continúa. Necesitamos ubicar la casa de Marc y evacuar el vecindario / edificio y colocarlos en aislamiento. ¿Cómo se llama el edificio en el que vive Marc?
Solución: En el perfil de Twitter de Marc Hevis hay un video sobre la contaminación y la imposibilidad de ir a su balcón. Al observar puntos de referencia, se puede ubicar un edificio con una cara (Edificio Barak). Análisis posteriores y resultados de referencia geográfica en unos pocos rascacielos. Estos pueden reducirse descubriendo cuáles son residenciales y tomando el ángulo y la altura. Otros edificios como el Melbourne Gaol y los edificios RMIT también se pueden ver en primer plano, proporcionando una percepción de profundidad.
Flag: CYBAR{QV1}
5-WFH (EoM) – Part 2
Necesitamos más información sobre el edificio para determinar el nivel desde el que se está filmando. ¿Cuántos niveles (sobre el suelo) tiene el edificio?
Solución: Al buscar las «bases de datos de edificios / ciudades de Melbourne», pueden encontrar la base de datos data.melbourne.vic.gov.au que contiene esta información. Otros sitios arquitectónicos y de bienes raíces también revelan esto. Alternativamente, pueden intentar usar guías o relatos de testigos oculares de los niveles de los edificios; estos pueden ser interesantes debido a que los ‘sótanos subterráneos’ y las ‘piscinas’ cuentan cómo niveles de piso. Si se hace referencia cruzada con suficientes fuentes, se puede encontrar la bandera. Dos banderas incluidas para contar sótanos y no.
Flag: CYBAR{44}
or CYBAR{36}
6- WFH (EoM) – Part 3
Muy bien, tenemos que averiguar cuánto tiempo ha vivido Marc allí, y lo más pronto que pudo haberse mudado. ¿Cuál fue el año en que finalmente se construyó el edificio?
Solución: Al buscar «bases de datos de ciudades / edificios de Melbourne», pueden encontrar la base de datos data.melbourne.vic.gov.au que contiene esta información.
Flag: CYBAR{2004}
and CYBAR{2005}
7- Clocking Overtime
Comencemos por sondear la vida laboral de Marc. ¿En qué ciudad se encuentra el lugar de trabajo primario (no el más nuevo) de Marc?
Solución: Vea la cuenta de Twitter de Marc, donde menciona retrasos en trenes / autobuses en su línea, entre dos ciudades. Averigua en qué dirección va y menciona que es un lugar de trabajo. Usando esto, puedes averiguar a dónde va.
Flag: CYBAR{werribee}
8- Pretty Fly for a WiFi
Necesitamos encontrar la segunda ubicación de la oficina de Marc (no el lugar de trabajo principal) para el seguimiento del contrato. Los registros comerciales nos dicen que es relativamente nuevo. Explore su cuenta de Twitter y vea si hay algo que pueda ayudarnos a ubicarlo geográficamente. No lo necesitamos hasta la carretera, solo la ciudad (no el suburbio) y podemos trabajar desde allí.
Solución: Al buscar formas de rastrear puntos de acceso inalámbrico y correlacionar esos datos con la información WiFi publicada por Marc en su twitter, pueden rastrear la dirección BSSID hasta la calle. Busque bases de datos de Wi-Fi abiertas. 74: 44: 01: 81: b8: e2 BSSID encontrado a través de Wigle.net por ejemplo
Flag: CYBAR{Ballarat}
9- Contact Tracing – Part I
Se sospecha que Roomba apuntó a una de las amigas de Marc, Alycee, con COVID19 basado en sus vuelos regulares alrededor del mundo a diferentes áreas críticas de infraestructura (por ejemplo, gas y petróleo). Debemos realizar un seguimiento de contactos para Alycee sin advertir al sujeto. Necesitamos averiguar cada ubicación en la que ha estado en los últimos años para obtener un perfil. Este perfil nos ayudará a predecir y prevenir a dónde irá después. ¿Cuál es la URL completa de la cuenta de arte de Alycee?
Solución: Busque su nombre de usuario / nombre de usuario como se muestra en la ‘ubicación’ en su perfil en las cuentas populares de carga de arte. Una vez que se encuentra DeviantArt,
Flag: CYBAR{https://www.deviantart.com/alyceedoesstem}
10- Contact Tracing – Part II
Necesitamos más ubicaciones que Alycee pueda tener o visitará en el futuro. ¿Cuál es el volcán exacto que visitó Alycee?
Solución: Busque en las imagnes de Alycce y use las fechas en la imagen y el magma para descubrir que el 30 de abril de 2018 hubo una erupción del cráter Pu’u ‘O’o en el volcán Kilauea de Hawai. Las imágenes de esa erupción disponibles en línea se parecen al dibujo con un volcán y a la mención de «HAWAII».
Flag: CYBAR{Kilauea}
or CYBAR{Kīlauea}
11- Contact Tracing – Part III
Necesitamos más ubicaciones que Alycee pueda tener o visitará en el futuro. ¿Cuál es el primer nombre del parque que Alycee le gusta visitar?
Solución: Use las coordenadas GPS en la imagen para discutir y localizar el parque botánico ‘Wilson «. Esto se puede hacer a través de una variedad de sitios web como https://www.gps-coordinates.net/
Flag: CYBAR{Wilson}
OR CYBAR{Wilson Botanic Park}
12- Contact Tracing – Part IV
Estamos tratando de ubicar en qué suburbio vive Marcel, el amigo de Alycee, para centrarnos en las posibles áreas de riesgo que podría causar tener COVID19. Encuéntrelo para que podamos conseguir algunos agentes allí en el terreno.
Solución: Vea sus respuestas y charla sobre su perro yendo al veterinario. Tiene un perro llamado Tyrone y su RSPCA local es Burwood. Esto se puede encontrar combinando los términos de búsqueda de:
RSPCA+euthenise+cat+ringworm+petition» with towns that include an RSPCA (e.g. RSPCA+euthenise+cat+ringworm+petition+burwood),
Hace 6 a 8 años y sugiere que El nombre del gato era algún tipo de ciervo o enfermedad de Papua Nueva Ginuea (Kuru disease, Kudu deer = Kudu the Cat)
Flag: CYBAR{Burwood}
13- Contact Tracing – Part V
Estamos tratando de localizar en qué ciudad vive Pong, el amigo de Alycee, para centrarnos en las posibles áreas de riesgo que podría causar tener COVID19.
Solución: vea la imagen del encabezado de Twitter de Pong, busque en reversa o busque palabras / caracteres en segundo plano (por ejemplo, el Partial Pub) para ubicar la ciudad de Blackall.
Flag: CYBAR{Blackall}
14- Contact Tracing – Part VI
Hemos aprendido que Pong tiene un vehículo y puede haber visitado ciudades cercanas en los últimos meses. Íbamos a hacer la detección de matrículas, pero sin duda los Roomba han cambiado esto o han impedido las lecturas de matrículas. Necesitamos saber la marca exacta y el modelo de automóvil que conduce Pong para obtener una confirmación visual. Encuentra la marca y modelo del vehículo de Pong.
Solución: Vea la conversación / publicación de Pong sobre cómo obtener una multa por exceso de velocidad y busque los detalles de registro del vehículo. Use una herramienta como: https://www.service.transport.qld.gov.au/checkrego/public/Welcome.xhtml para encontrar esto.
Flag: CYBAR{KIA Stinger}
15- Contact Tracing – Part VII
Puede que Pong haya viajado internacionalmente recientemente, y necesitamos que descubras en qué ciudad estaba.
Solución: Vea la imagen de Pong sobre comer cangrejo en Sri Lanka: la búsqueda de imágenes inversas le dice que el edificio es BMICH en Colombo
Flag: CYBAR{Colombo}