𝐖𝐇𝐈𝐓𝐄𝐇𝐀𝐓 𝐏𝐋𝐀𝐘 𝟏𝟏 [𝐎𝐒𝐈𝐍𝐓] - WRITEUP

The Anh
39 minute read




Halo mng sau chuỗi 7 ngày sự kiện WhiteHat Play 11 thì hôm nay mình xin có 1 bài Writeup về lĩnh vực Osint để mng có thể tham khảo và hiểu rõ hơn về cách để mình giải những challlenge đó nhée :v Gét gô!!!
Link Wargame: https://wargame.whitehat.vn/thuchanh

osint02-Summer vacation: Flight Flight Flight

Mình sẽ làm Osint02 trước theo yêu cầu của đề bài
Đầu tiên, theo đề chúng ta có cái tên Incent Eva và hint nho nhỏ: "Her trip has been updated on the popular social platform" - mình lấy cái tên đó để tìm trên các nền tảng mxh phổ biến rồi tìm thấy ở Twitter: twitter.com/incent_eva
Check một lượt thì không có gì đáng chú ý mình chuyển sang phần "Lượt thích" thì thấy người này đã tương tác với Tweet của một người có tên là Vy Tran có vẻ đây chính là người 
bạn mà đề bài nhắc tới:



Truy cập vào trang cá nhân của cô ấy thì đập vào mắt mình chính là một đường link Facebook đưa mình tới mục Album của Fanpage có tên là Tiftravel: facebook.com/tiftravel/photos/?ref=page_internal
Sau đó mình xem mục Ảnh đại diện thì tìm thấy được Flag nằm trong phần Comment của bức ảnh này:




Xếp các chi tiết theo Format đề cho NAME_FLIGHT_SEAT_DATE, chúng ta có ngay Flag:
Flag: WhiteHat{VYTRAN_VJ375_3F_30MAR}

Ngoài ra mình thấy có cả hint "Flag in ggdriver, Can U find it?" và 1 địa chỉ email. Vì chưa đủ thông tin nên mình tạm gác nó qua một bên.

osint01-Summer vacation: my first place

Lại quay về Twitter của Incent Eva mình check mục List thì ở đây mình đã tìm thấy được rất nhiều hint: 


Hint số 3 cho ta biết rằng cô ấy đã xoá link về chuyến đi của họ thì thứ ta cần chính là cỗ máy thời gian của Doraemon để có thể ngược về quá khứ :)))
Đùa thôi :v mình đã dùng công cụ  https://web.archive.org/ để làm được điều đó:

Sau đó mình đã có được 1 đường link dẫn đến thư mục Google Driver:

Truy cập vào thì mình thấy khá nhiều những bức ảnh các địa điểm du lịch và cuối thư mục có 1 ảnh vé máy bay của INCENTEVA. Nhớ đến cái hint ở bài post Facebook ban nãy mình đã ngồi check từng bức ảnh xem có Flag được giấu ở trong không nhưng mà có cái nịt :')
*Khi đang viết bài này thì mình nhận ra có một cú lừa nếu bạn quá tập trung vào ảnh tấm vé máy bay thì khi click chuột vào sẽ ra địa chỉ email mà ban đầu chúng ta có. Và tất nhiên là nó không để làm gì cả =)))
Tiếp theo mình ấn chuột phải vào một file bất kì email của chủ sở hữu sẽ hiện ra:
Mình dùng https://tools.epieos.com/ để tìm thì thấy link ggmap của người này và có được Flag ở trong bức ảnh:

Flag: WhiteHat{1nd3p3nd3nc3_PAlAc3_1s_A_h1stor1c_MonuM3nt_of_V13tNAM}

osint03-Kidnapping case
Link: https://drive.google.com/file/d/1D45v18RoNEbw7A1kQcW3–kf18SOA8Sz/view?usp=sharing
Trước hết mình tải bức ảnh mà đề bài cho về:
Có được bức ảnh kiểu : wtf có mỗi cái ảnh này thì tìm kiểu gì ????????
Mình lên Google tìm kiếm thông tin về De4d pl4ce nhưng không ra gì. Lại dùng Sherlock để tìm kiếm và cũng không thu được gì cả.
Lúc này mình đã bí đường và đi làm bài khác nhưng qua bài khác cũng bí nên mình lại quay về đây :)))) Ngồi ngẫm một lúc thì mình search gg : How to find the location of wifi
Và mình đã tìm được công cụ:  wigle.net
Có nó mình đã tìm được vị trí của cái Wifi này :
Truy cập vào Website thì mng phải lập một tài khoản thì mới có thể sử dụng được các chức năng. Sau đó truy cập vào wiggle.net/mapsearch và nhập "De4d pl4ce" vào thanh tìm kiếm SSID/Network name. Vì mình nghĩ là đề sẽ ra ở khu vực Hà Nội nên kéo bản đồ lên Hà Nội thì thấy được vị trí Wifi:

Mình đoán lụi nên mới dùng bằng cách này nếu mà không đoán được kiểu này thì có thể truy cập: wigle.net/search để có thể tìm ra chính xác toạ độ của wifi.
Sau khi được cung cấp vị trí thì mình lên GG Maps để check và căn cứ vào điểm mốc chính là: Nhà Tù Hoả Lò

Dùng chế độ Street View để xem và với hint ở đề bài : "Flag is in the sky" thì khi kéo bức ảnh lên trời ta thấy được một dòng chữ bị bẻ cong:
Tải ảnh 360 này về ta sẽ đọc được dòng chữ đó:
(Có rất nhiều cách để tải về nhưng mình làm theo cách này mng có thể tham khảo: youtu.be/xj_FJjjG014)

FpfzjWdw{Rwhwvsxxvm_fy_fazdxu_orv_cihc_wc_cmpw_phicd_sf}
Hint ở đầu bài nên ta biết đây là Vigenere cipher
Dùng tool để decode Vigenere cipher với KEY : JixgfPddzcVKRbEp
(là một nửa tên của người chia sẻ bức ảnh trên gg map)
=> Lụm tiền
Flag: WhiteHat{Summertime_is_always_the_best_of_what_might_be}

osint04-Adultery I
Sau khi lướt qua đề bài thì mình xác định được ngay cái tên cần OSINT là Cuming Brian. Mình lại tiếp tục tìm kiếm trên Facebook, Twitter,.... và rồi tìm được tài khoản của anh zai này trên Instagram: instagram.com/brcum1337
cùng với 1 chiếc Flag được ghi ở tiểu sử tài khoản:
Flag: WhiteHat{N3xt_p4rt_1S_h@rd3r_g0_9o_bruh}

osint06-Adultery II

Vì không muốn làm gián đoạn mạch câu chuyện nên mình xin được viết bài Osint06 trước và bài Osint05 mình sẽ đặt ở cuối cùng nhaaa :3

Mình kiểm tra các bài viết của người này trên Instagram, có một bức ảnh đáng lưu ý:


Mình đã thử tìm vị trí được chụp trong ảnh nhưng không thu được gì nên mình tạm bỏ qua bước này.
Nhìn thấy các tab anh ta đang mở thì mình biết được rằng anh ta có tài khoản Linkedin và theo như đề anh ta có giấu một đoạn tin nhắn bí mật ở đó cho người tình của mình: https://www.linkedin.com/in/brian-cuming-984101238/


Trên tường của anh ta có 2 bài viết, trong đó có 1 bài viết nêu ra địa điểm mà anh ta cùng cô người tình của mình gặp mặt: 

 
Mình đã dùng Google Reverse Image để tìm kiếm tuy nhiên không cho ra được kết quả mong muốn.
Mình quay lại trang cá nhân của anh ta, nhìn vào Bio thấy Location của anh ta là ở Germany, mình thử reverse bức ảnh 1 lần nữa và thêm từ khoá Germany vào thì đã tìm ra được bức ảnh có cái tháp trông giống với cái ở phía xa xa kia.

Ngồi 5 phút tìm hiểu thì mình biết được cái tháp đấy gọi là Berlin TV Tower. Mình đã lên gg map và đã tìm ra nó: 

Tiếp theo đó mình bắt tay vào việc tìm vị trí giống như bức ảnh của anh zai kia post lên. Mình đã đi lòng vòng quay cái tháp này cỡ khoảng hơn 1h đồng hồ và may mắn tìm được 1 bức ảnh 360 ở trên cao giúp mình có thể định hình được bao quát vùng này: 
https://goo.gl/maps/iYAbbaxuWejHVMJr9

Từ bức ảnh post trên trang cá nhân mình đã để ý vào một dãy nhà trắng và với tầm nhìn ở trên cao nhờ tấm ảnh 360 kia thì mình đã dễ dàng tìm ra nó :
Lại đến chương trình mò đường :))) mình đã lấy cái tháp đồng hồ và dãy nhà màu đỏ ở phía sau để làm đặc điểm nhận biết các bạn có thể xem hình mình mô tả ở dưới =)))


Và cái gì đến cũng phải đến, mình đã tìm được vị trí ở bài post và thu được toạ độ
​Coordinates: 52.5183,13.4134​

    


Thứ tiếp theo mình đi tìm chính là thời gian mà anh ta đăng bài viết. Khổ ở cái là Linkedin không hiển thị chính xác thời gian mà chỉ ước chừng :'( Lên google mình tình cờ tìm được tool này:
https://ollie-boyd.github.io/Linkedin-post-timestamp-extractor/
Chỉ cần gắn link là sẽ có được chính xác những thứ chúng ta cần :>




=> PostingDate: 17042022-17:01:10

Cùng đến với chi tiết cuối cùng -> chi tiết này khiến mình muốn bỏ cuộc :v
Mình đã check hết những gì có thể check được và mình đã được một người anh cho đọc 2 dòng này:



Não mình đã được thông :))) Mình quay trở lại trang Linkedin bật F12 để tìm kiếm ("the alt text" nằm trong phần code HTML)


Chỉ cần Select vào bức ảnh thì ta đã thu được dữ kiện thứ 3:
SecretNotice: Summ3r-m34ns-p3rfect-blue-sk1e5
+1 điểm nhân văn cho chức năng này
Cuối cùng ghép cả 3 dữ kiện thu thập được mình có được Flag hoàn chỉnh :
Flag: WhiteHat{17042022-17:01:10_52.5183,13.4134_Summ3r-m34ns-p3rfect-blue-sk1e5}

osint05-leak


Sau khi tải file đề cho thì có một bức ảnh lời đe doạ được gửi qua mail kèm theo đó là 1 đường link:
https://controlc.com/52402d70
Truy cập vào đường link ở trên thì lại có thêm 1 link Mega:
https://mega.nz/file/n98FyR4b#R-bhul7CZ2cQpplDp1CRE2Gb03UfbcSlI8tQhts0HaQ
Tải file Mega về và giải nén ra thu được 1 bức ảnh tên là "stylesuxx" và 1 file nén "database.zip" cần có pass để giải nén


Lên gg search tên của file ảnh mình tìm được 1 tool để giải mã bức ảnh : https://stylesuxx.github.io/steganography/

Decode xong cho ra một đường link truy cập dẫn đến một web blog: https://springaz.blogspot.com/
Đọc trong phần comment thì mình thấy có 1 link Youtube  https://www.youtube.com/watch?v=_S0CXWTjBas và một đoạn base64:
aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj1VVmJ2LVBKWG0xNA==

Decode base64 chúng ta sẽ được đưa đến một MV của chú Đen Vâu UwU



Truy cập vào link youtube ban đầu đưa mình đến một video có âm thanh nghe giống như là Morse code nên mình đã tải video đó về convert ra file mp3 và dịch nó bằng tool: morsecode.world/international/decoder/audio-decoder-adaptive.html


Dịch xong ta có 1 lời nhắn: CONNECT FACEBOOK WITH ME POUND KEY SPRINGAZPRIVATECG
Mình lên fb và tìm kiếm với hashtag #springazprivatecg nhưng mà không ra nên mình dịch lại một lần nữa thì mình thấy cái chữ "CG" cuối cùng nó thay đổi :))) nên mình bỏ luôn chỉ search #springazprivate và ra kết quả:

Truy cập vào trang cá nhân của người này thì mình thấy ở phần tiểu sử có ghi một dòng: Default password: tyvdzl8Mpzw
Mình lấy pass đó để giải nén file "database.zip" và đã giải được: Bên trong có 2 file txt và 1 file có Flag ở trong
 

                           
Flag: ​WhiteHat{https://www.youtube.com/watch?v=Flh95aLaGB8}
----------------------------------
Túm cái váy lại thì những challenge nó không có quá khó (gà như mình còn làm được :]]]), có hint đầy đủ và khá là straigh, chỉ cần để ý kĩ là sẽ làm được, nhưng dù sao thì đó cũng là những challenge hay, hấp dẫn cho mùa hè của mình bớt buồn chán :v
Writeup của mình đến đây là kết thúc, hi vọng mọi người có thể học được gì đó từ bài writeup này :3  

Thanks for reading!!!