2023 idekCTF) Write-up #2 (OSINT/ Osint Crime Confusion 1~4)

2023. 1. 16. 23:39CTF

목차

01) PWN) Typop

02) OSINT) Osint Crime Confusion 1~4


OSINT) Osint Crime Confusion 1: W as in Where (462 pts)

 

Osint Crime Confusion 1: W as in Where

검색어로 사용할 특정적인 단어는 doctor's Jonathan Abigdail 이 유일하다.

Start in a major social network -> 트위터, 페이스북, 인스타그램에 위 검색어를 검색

인스타그램에서 단서를 얻을 수 있었다.

게시물이 하나 있는 계정이다.

해시태그가 있다. 해시태그를 클릭하여 검색하면 다른 글을 확인할 수 있다.

문제 지문과 종합하면 eye convention에서 사람들이 울었다는 것을 확인할 수 있다.

해당 계정의 다른 글을 클릭하면 Heather를 애도하는 글을 확인할 수 있다.

여기서 정보를 특정지을 수 있는 키워드는 the great_painball_portugal competition.

그리고 인스타그램 게시물에 위치 정보가 포함되어있다. 범죄가 발생한 장소를 찾는 문제이므로 포르투갈의 페인트볼장에서 사고가 일어났음을 예측할 수 있다.

플래그에는 알수없는 문자열이 포함되어있으므로 전체 플래그를 알아내기 위해 플래그에 도달해야하므로 문제를 이어서 풀어본다.

ebay에 '그들'이 무언가를 판다는 사실을 알 수 있다.

ebay에 해당 검색어로 검색하여도 정보를 찾을 수 없었다. google에 검색해도 문제와 관련된 정보를 찾기 어려웠으므로

Microsoft Bing에 great_paintball_portugal 를 검색하였다.

 

그 결과 업체에서 ebay에 무언가를 팔기 위해 만든 계정을 찾을 수 있었다.

소개글에 포함된 링크

https://franparrefrancisco.wixsite.com/great-paintball-pt

접속하면 Home 메뉴 외에 다른 메뉴가 존재하지 않고, 검색을 통해서도 접근가능한 다른 페이지가 보이지 않았다.

 

ebay의 소개글에 blog post 라는 문장이 있었으므로 하위 디렉토리에 blog가 있을것으로 예상되어

https://franparrefrancisco.wixsite.com/great-paintball-pt/blog

에 접속하였고, 희생자인 Heather James를 기리는 rip post 를 확인할 수 있다.

https://franparrefrancisco.wixsite.com/great-paintball-pt/post/great-paintball-portugal-death-heather-james

플래그 획득. The Great Paintball Portual의 첫글자 대문자가 정답인 장소, WCIYD는 랜덤 문자열이다.

idek{TGPP_WCIYD}

OSINT) Osint Crime Confusion 2: W as in Where (476 pts)

Osint Crime Confusion 2: W as in Weapon

 

Osint Crime 문제 시리즈 중 가장 솔브가 적었다. 범행에 사용된 도구를 찾는 문제이다.

문제 풀기에 앞서 필자는 3-2-1 순서로 문제를 풀었기때문에 (4는 앞문제들과 무관)

3번을 푸는 과정에서 1,2번의 힌트를 얻을 수 있었다.

Heather의 자기소개에 있는 정보 중

Study and Teached blue birds at the University of Dutch ThE of Topics in Science (UThE_TS) 를 통해

Heather가 다니는 학교의 정보를 알 수 있다.

3번을 풀면서 학교의 트위터 계정이 있다는 사실을 알았고 2번을 푸는데 도움되었다.

학교 트위터 계정은 리스트를 가지고 있었는데 리스트에 어떤 주소가 있었다.

그러나 host주소 없이 하위디렉토리주소만 보였으므로 german chaos pad라는 정보를 통해 host주소를 알아내야했다.

역시 구글을 통해서는 검색할 수 없었으므로 Microsoft Bing에 german chaos pad를 검색하였다.

ChaosPad V1.1 (ccc.de)

위 링크를 찾을 수 있었고

https://pads.ccc.de/ep/pad/view/ro.lvGC01KAJWI/rev.354

트위터에서 찾은 주소와 연결하면 누군가의 리뷰를 확인할 수 있다.

패드에는 시간별로 글 수정 현황을 다시보기로 확인할 수 있는 기능이 있었다.

최종 글에는 플래그 형식을 확인할 수 있었고 시간을 앞으로 당겨 확인하면 범행 도구를 확인할 수 있다.

HUBBLE SPACE TELESCOPE MODEL, BY PENWAL INDUSTRIES FOR NASA, CA 1990

대문자 4글자 HSTM가 정답이 된다.

idek{HSTM_X!#$}

OSINT) Osint Crime Confusion 3: W as in Who (461 pts)

Osint Crime Confusion 3: W as in Who

범인을 찾기 위해 문제에 첨부된 사진의 실제 장소를 찾아 리뷰를 통해 사설탐정과 교신해야한다.

문제

문제 이미지는 다음과 같고 CABELEIREIROS 라는 가게 옆에 Alfaiate D'interiores 라는 가게가 존재한다.

Alfaiate D'interiores 는 가구점이고 정확한 위치를 특정하기에 더 적절했으므로 이를 구글지도에 검색하여 스트릿 뷰로 주변 풍경이 일치하는 가게를 찾았다.

https://www.google.com/maps/@41.155504,-8.6805483,3a,75y,65.41h,77.32t/data=!3m6!1e1!3m4!1sbDzzaeIYxtlnWnKuvcLawA!2e0!7i16384!8i8192?authuser=0&hl=ko

사진과 일치하는 가게를 확인하였다.

https://www.google.com/maps/place/Alfaiate+D%27interiores+-+Foz+do+Porto/@41.155504,-8.6805483,17z/data=!4m7!3m6!1s0xd246f4cad5e6c69:0x6258a11778e75667!8m2!3d41.1555129!4d-8.6803163!9m1!1b1?authuser=0&hl=ko

리뷰를 확인하고 메일 주소를 알아내었다.

메일 주소는 noodlesareramhackers@gmail.com 

정보를 받기 위해 본인임을 식별할 수 있는 창의적인 서명을 추가 (문제 지문에서 요구하였기때문에 추가하였으나 필수적인지는 모르겠다.)

답변을 통해 Heather의 대학 트위터 계정에 삭제된 게시물이 있고 관련 정보를 깃허브에서 확인할 수 있다는 사실을 알아냈다.

게시물 링크는 https://twitter.com/계정/status/게시물번호 형식이다. 따라서 계정과 게시물 번호만 알고있다면 쉽게 삭제 게시물 정보를 웹 아카이브에서 확인할 수 있다.

https://web.archive.org/web/20230109094239/https://twitter.com/UThE_TS/status/1612383535549059076

정보를 특정할 수 있는 키워드 potatoes eating camels 확인, 메일 답변의 조언대로 깃허브에 검색하였다.

README.md에서 본인이 살인자임을 암시하는 문장이 있다. 또한 wiki에 다른 정보가 있을 것이라는걸 예측할 수 있다.

모스부호를 확인할 수 있고 이를 변환하면 YOUREALLYDOTHINKIWOULDGIVE 라는 문자열을 얻을 수 있다.

You really do think I would give -> 이름을 알아내는데 도움이 되지 않는 정보이므로 github에서 wiki탭을 확인하였다.

쓸데없는 글로 보이지만 앞글자를 따오면 THENaMEISJULIANA라는 문장을 얻을 수 있다.

The name is Juliana

범인의 이름을 알아내었고 마지막줄 Note에서 플래그 형식을 확인할 수 있다.

idek{JULIANA_APOSIDM723489}

OSINT) Osint Crime Confusion 4: W as in Why (462 pts)

Osint Crime Confusion 4: W as in Why

플래그 형식을 처음부터 제시해주었으므로 STAMP_IDENTIFIER만 알아내면 되는 문제이다.

다른 나라의 언어가 포함된 88 서울 올림픽 우표 이미지가 증거로 제시되었다.

1988 seoul olymiske sommerleker stamp 로 검색한 결과

https://digitaltmuseum.no/021027988861/frimerke 에서 동일한 이미지를 찾을 수 있었고, 바로 우표 식별자를 알아낼 수 있었다.

idek{OLM-08741}

OSINT 는 해킹 실력 자체에는 도움되지 않아 ctf의 등수를 올리고 싶을 때 가끔 재미로 풀고있다.

간혹 억지스러운 문제들이 있어 원래는 푸는걸 좋아하지 않지만 이번 ctf의 crime 시리즈 문제는 억지스러운 부분이 없었고 너무 쉽게 구성되지도 않았어서 재밌게 해결할 수 있었다.