EHC OSINTET 2024

Author:

• Pham Quoc Trung

Used Tools:

• Brain and Google

• OSINT Framework

Problem Solving

Những step đầu

Đầu tiên thì đây là challenge của chúng ta: link

Ở đây trên ảnh mình thấy có một dòng chữ là @m1ssgr4ndvi3tnam. Mình thử search username này trên một số nền tảng phổ biến như facebook, instagram, x, ... và kết quả là mình có một profile trên Pinterest (link)

Có 2 ảnh trên trang Pinterest này. Một ảnh là ảnh đã được đăng trên facebook và có vẻ không có gì mới

Đến với ảnh thứ hai:

Mình đã thử tìm các thông tin liên quan tới id MarkXuanDepTrai kia nhưng có vẻ không có gì. Ở đây mình để ý ở comment có một user tên là Nhi3n có profile Pinterest như sau:

Đoạn này thì mình éo search ra được gì nên mình thử tìm thêm về cụm @m1ssgr4ndvi3tnam và khi tìm với từ khóa m1ssgr4nd trên Github, mình tìm được một repo như sau

Về trang Github

Ở đây có một số ảnh. Mình nghĩ là có steganography, tuy nhiên mình không tìm được gì ngoài một số câu văn vẻ ở trong ảnh backgroundw2.png

Thử xem profile github của repo này

Nhìn cái tên Nhi3n thì có vẻ đây cũng chính là thứ mình cần tìm ra sau cái Pinterest kia. Trong đoạn giới thiệu cũng có một dãy số đáng ngờ 387, 521, 63, 789, 245, 432, 78, 605, 124, 356, 892. Ở đây khi mình xem file README.md thì mình thấy có một vài lịch sử commit. Cụ thể:

Với commit này thì mình thấy trước đó dãy số kia có giá trị là 19 14 30 50 92 55 73 88 49 31 10. Mình có thử XOR xủng modulo các thứ 2 dãy này cơ mà có vẻ không cao siêu đến vậy. Sau cùng thì khi đọc markdown của README.md, mình thấy có một số dòng có link dạng như này

Có 11 dòng như vậy, và số của các dòng này cũng đều tồn tại trong list 387, 521, 63, 789, 245, 432, 78, 605, 124, 356, 892. Mình thử lấy kí tự cuối cùng của từng link theo thứ tự trong list thì ra được chuỗi J6gDm5yvYy0. Thử cho vào Youtube và mình được video sau: link

Cả video chỉ có cái tên Telsom TWC-1150 là được thêm vô. Tra google thì mình thấy nó là một mẫu điện thoại

Mình chưa thấy có gì lắm, nên quay lại xem các commit khác

Link màu xanh chỉ là một link nhạc (link), không có gì thú vị. Đối với link màu đỏ thì có vẻ nó đã bị mã hóa đoạn đầu. Mình thử đáp vào Quipquip

Nhìn sơ qua thì mọi kết quả đều có chữ google. Dựa vào số các kí tự, mình đoán đây là trang sites.google.com. Thử ghép vào và mình ra được trang sau: link

Ở cuối trang có một số thông tin như sau

Cái Pinterest thì mình đã thấy rồi. Ở đây có thêm về X và Email.

Về phần X

Ở đây mình có link X: link

Ở đây mình có 2 ảnh, một ảnh nền và một ảnh trong post

Với đoạn hex ở ảnh đầu thì sau khi decode, mình ra được cụm ILoveHimSoMuch<3. Có vẻ không để làm gì.

Ở ảnh sau thì mình thấy có một đoạn binary. Một số chỗ đã bị che mất, tuy nhiên sau khi so sánh với phần binary ở trong ảnh bìa thì mình thấy nó chính là phần bị che mất. Mình viết được cụm này

0000111001000011011000001100110000111001000011010000001110000000110010000011001100001110010000111000000011010000001100010000110010000011011000001101000001100001000000000000111001000110110000110011000111001000110100000111000000110010000110011000111001000111000000110100000110001000110010000110110000110100001100001000000000001000111001000110110000110011000100011100100011011000011001100001110010001101100001100100011100100011011000011000011100100011011000000011100100011011000001110010001100000111001000100011100100001110000011

Tuy nhiên khi decode với đủ kiểu byte length thì mình chả ra cái mẹ gì. Nhớ đến một challenge mình từng chơi trên page Whitehat, mình nghĩ chỉ cần quan tâm tới các dòng trước dòng bị che. Nghĩa là chỉ còn như sau

0000111001000011011000001100110000111001000011010000001110000000110010000011001100001110010000111000000011010000001100010000110010000011011000001101000001100001

Với Byte Length là 10 thì mình ra được chuỗi 963948239841264a. Thử tìm kiếm trên một số trang thì mình ra được một trang facebook sau: link

Có vài bài viết, nhưng mấu chốt là đây

Dựa vào comment, mình dễ dàng nhận ra thông điệp là _FROM.

Về email

Chưa thấy gì thêm ở facebook nên mình quay về vụ email. Có thể thấy là từ trong sites tới X, Facebook đều có dòng kiểu Contact email .... Mình thử mò một vài email và có cái như sau hiện lên thông tin

Thử gửi một email bất kì tới đó và mình nhận được phản hồi như sau

Vào thời điểm mình viết wu thì cái mail ml này đã éo phản hồi nữa mà mình lỡ lọc email rồi nên mượn tạm ảnh người khác

Ở đây mình có được part1 của flag là twrLwcA!J0}bH0b2C0*. Thử giải mã bằng CyberChef

Và part 1 của flag chính là EHC{H4pPy_N3w_Y3ar_.

Về kênh Discord

Ở đây sau khi join server discord, mình thấy có 2 con bot là Inv1s1bl3 và Miss Grand. Mình thử chat cho chúng. Với con Inv1s1bl3 thì đây là thứ có vẻ có ích duy nhất

Có vẻ nó gợi ý mình sử dụng loại mật mã nào đó. Đến với con bot Miss Grand, đây là con bot sẽ đưa ra captcha cho người dùng và bắt người dùng trả lời. Đây là khi mình trả lời sai

Còn đây là khi mình trả lời đúng hết

Vậy là mình có 2 link cần phải giải mã. Đoạn này thì mình cũng phải nghĩ một hồi. Tuy nhiên, dựa trên việc đoạn đầu mình đoán ngay được là https://www.youtube.com/watch?v=, và nhận thấy các kí tự giống nhau khi mã hóa lại khác nhau, cũng như đây là osintet, sẽ không sử dụng các cipher quá lạ, mình đoán được đây là Vigenere Cipher. Do không biết key nên mình sẽ phải mò

Sau một hồi mò thì mình thấy missg sẽ ra được https. Từ đây, mình đoán ra key là missgrand

À đm cái này ra rickroll :v, đây mới đúng

Đây là link youtube mình thu được: link

Thử xem description của video này, mình có được part cuối của flag là _2017}.

Bonus

Ban đầu thì mình nghĩ là video này chỉ để lấy flag cuối. Tuy nhiên, khi đến đoạn bấm số điện thoại, mình cảm giác tiếng bấm và hành động của mấy bà chị này có vẻ không khớp cho lắm. Đó là ở phút 3:44

Mình thử search youtube với từ khóa gọi điện đến số điện thoại ma ám và ra được video gốc sau: link

Và đúng là video gốc không có tiếng gõ như vậy. Nhớ lại bên trên, mình có hint về cái điện thoại Telson TWC 1150, mình đoán có vẻ đây là một thông điệp dạng nào đó. Trước đây, mình có chơi một giải CTF cũng có kiểu tiếng như vậy, và mình nhận ra nó là DTMF (dual tone multi-frequency)

Mình thử lấy ra đoạn sound bằng cách bỏ chữ ube khỏi link đi và sử dụng một trang DTMF Decoder bất kì

Mình ra được chuỗi là 944484455566688833, cái này thì khá quen thuộc với mình. Mình sẽ decode nó luôn

Và mình ra được thêm 1 part của flag là WITHLOVE.

Quay lại google sites

Vì được biết là có 5 part của flag nên mình quay lại google sites xem có gì hay không. Vì đây là google sites, mình biết chức năng search của mỗi trang sẽ nằm ở /search/<tentrang>

Google sites nên chức năng tìm kiếm cũng khá giống google. Bằng cách tìm *, mình ra được toàn bộ page của web này

Thấy kết quả thứ hai có chữ flag, mình vào xem thử

Ở đây mình thấy có một list các tọa độ, mình sẽ thử tìm chúng trên Google Map

Mình tạo một sheet như sau

Vào Google Maps chọn Saved -> Maps -> Create Map

Import file xlsx trên vào với tùy chọn là Latitude, Longitude. Mình có được map như sau

Vậy là part còn lại của flag chính là EHC.

Tổng kết

Vậy là mình đã có 5 mảnh của flag lần lượt theo thứ tự mình tìm ra là _FROM, EHC{H4pPy_N3w_Y3ar_, _2017, WITHLOVE và EHC. Chắc đến đấy các bạn có thể dễ dàng ghép lại được rồi nhỉ?

FLAG: EHC{H4pPy_N3w_Y3ar_FROMEHCWITHLOVE_2017}

© 2024,Pham Quoc Trung. All rights reserved.