YogoshESD-CTF - OSINT Challenges

[NO ENGLISH VERSION - Only French is available for this post]

Le Yogosh-ESD CTF est un évènement en ligne proposé par l’école ESD en partenariat avec Yogosha et BZHack. Plusieurs catégories de challenges étaient présentes, comme pour la majorité des évènements de ce type. Arrivé 7e au classement, en m’étant notamment concentré sur les challenges OSINT, ce billet détaille les solutions de quelques un de ces challenges (hors challenge CLUEDOSINT qui a droit à un articlé dédié!).

ESD Challenge (100 points)

A la fin du premier hiver de la vie du compte ESD academy, celui-ci a posté 
une photo prise par un stagiaire. Trouvez le numéro de téléphone du batiment
 avec un toit en alliage de cuivre et d étain sur la photo. exemple : FLAG{+33805626000}

Ce premier challenge se décompose en deux parties distinctes :

  • Identifier la photo mentionnée dans l’énoncé
  • Localiser le lieu dont ce dernier fait référence

Une recherche rapide sur Twitter nous amène vers le compte suivant : @esd_academy. La période mentionnée est plutôt vague, puisqu’on nous parle de “la fin du premier hiver de la vie du compte”. Il va dônc être nécessaire non seulement d’identifier la date de création du compte, mais plus important encore, de remonter l’historique de tweets de ce dernier.

Heureusement, il existe pour cela des outils en ligne très pratiques, tels que “All My Tweets” (lien). Grâce à ce dernier, on peut remonter jusqu’au premier tweet du compte, le 23/11/2017 (lien). Suite à cela et en retraçant progressivement l’historique de publication, on arrive logiquement autour du 21/03/2018, période de fin de l’hiver.

OSINT_img_1

En réalité, deux tweets ont été postés le 20 Mars 2018 :

Cependant, le premier des deux n’affiche aucun batiment avec un alliage, comme celui mentionné dans l’énoncé. Le second tweet correspond quant à lui à la description faite.

OSINT_img_2

Bien, il faut maintenant trouver quel est ce batiment, puis le numéro de téléphone associé. Première indication, on sait via le tweet que nous sommes à Singapour.

Sans aller trop loin dans l’analyse des éléments visuels, voici quelques informations utiles à relever :

  • Terrain de sport au premier plan ;
  • Batiment de HSBC en arrière plan, à gauche ;
  • Batiment de Singtel en arrière plan, à droite.

Dans les faits, ces seules informations sont suffisantes pour trouver l’endroit. En effet, en cherchant successivement les batiments Singtel, mais surtout HSBC à Singapour sur Maps, on trouve assez rapidement une correspondance, notamment grâce aux photos des différents batiments de HSBC sur place. Une tour comme celle ci, il n’y en a pas 40 :).

OSINT_img_3

Si on se déplace maintenant légèrement au Nord, on trouve un terrain ressemblant en tous points à notre image, nommé “Padang”. De fil en aiguille, en regardant les batiments situés à côté de ce dernier, on tombe rapidement sur la Galerie Nationale de Singapour, ainsi que sur son numéro, via la page Google. \o/

OSINT_img_4
OSINT_img_5

Bonus : Les éléments sur ce challenge étant plutôt reconnaissables (du moins, pour notre cher Internet) il est possible de se passer de cette recherche manuelle au profit d’une recherche par image. L’outil Duplichecker (lien) permet notamment de comparer les résultats de plusieurs moteurs de recherches, dont Yandex et Bing, généralement pertinents pour ce type de recherche.

Et en effet.. ;-)

OSINT_img_6

Email Investigation (150 points)

Il y a une personne qui s'appelle Alexandre ALBERT. Il est enquêteur forensic, et il a le flag.

Selon ma source :

il a récemment visité l'Espagne pour une tournée, et il a gardé le flag quelque part en Espagne.
Le flag est enveloppé sous les services Google. Alors trouvez-le, je veux une enquête limpide.
Prenez toutes les mesures que vous devez prendre. Nous avons reçu que son adresse e-mail 
qu'il a utilisé pour réserver les billets. E-mail : alexandrea6nmm8@gmail.com

Ce challenge se concentre sur la recherche d’informations associées à un compte Gmail, en pivotant sur l’adresse e-mail comme point de départ. J’utiliserai comme base deux super articles de @Sector035 sur le sujet :

Pour faire court, à chaque utilisateur possédant un compte Google est associé un identifiant de la forme “11XXXXXXXXXXXXXXXXXXX” qu’il est possible d’utiliser au travers des autres services de Google.

Si le sujet vous intéresse je vous conseille vivement les deux articles ci-dessus. Non pas que je ne veuille pas expliquer et le faire manuellement, mais cela me permet de citer l’excellent outil de (@Epieos, permettant d’automatiser le tout : Email Lookup

Voilà ce quue nous pouvons récupérer avec l’adresse e-mail donnée dans l’énoncé :

L’énoncé mentionne un voyage en Espagne où il aurait laissé un flag. Ce qu’il faut comprendre ici, c’est qu’il est possible de retracer les différents messages ou photos postés par un utilisateur sur les lieux référencés dans Maps. Appelés contributions, ces messages peuvent par exemple être des avis laissés.

L’analyse ci-dessus permet notamment de récupérer les différentes contributions de l’utilisateur et ainsi de voir que Alexandre a laissé un avis sur le stade Santiago Bernabéu, à Madrid.

OSINT_img_7

Flag \o/

Ph nglui mglw-nafh (200 points)

Durant sa vie le créateur du mythe des grands anciens fut cité dans un journal d'une 
université américaine ou il gagna un prix. Mais pouvez vous me donnez le nom du magasin
actuellement à la place du vendeur de ventilateur de l'époque ? exemple : FLAG{Ascendances}

Challenge légèrement plus complexe, mais pas moins intéressant car il m’a permis de découvrir un nouvel outil !

Première chose à faire, comprendre de quoi nous parle cet énoncé pour le moins… flou :

  • Créateur du mythe des grands anciens ?
  • Journal d’une université américaine –> Ok, ça, plus tard
  • Le nom du magasin actuellement à la place du vendeur de ventilateur de l’époque –> Gné ?? On verra plus tard, peut être lié au journal.

Bon. Peut être que ma culture générale est limitée, mais il m’a fallu chercher qui était ce fameux créateur. Une rapide recherche Google nous indique que le mythe des grands anciens fait référence à l’oeuvre de Howard Phillips Lovecraft. Peut être le nom de Cthulhu vous parait-il plus familier ? Il s’agit bien de cet univers.

On sait donc que notre cher Lovecraft a été cité, durant sa vie (et c’est important), dans le journal d’une université américaine, où il a gagné un prix. On sait donc quoi chercher.

Et là, c’est le drame. Peut-être existe-t-il des écrits facilement accessibles à ce sujet sur Internet, mais les 2 heures passées ne m’ont pas permis de récupérer ce fameux journal, ni même de l’identifier.

C’est à ce moment qu’intervient un indice MAJEUR donné sur le channel Discord du CTF :

prends une tisane éléphant pour te réchauffer sur cthulhu !D

Kesako ? Ce n’est que quelques recherches plus tard, croisant les éléments en notre possession que l’on découvre l’existant du Graal (du moins, pour ce challenge :D), j’ai nommé Elephind, qui, comme le titre le dit si bien, permet de chercher dans les journaux historiques du monde entier !

On peut donc commencer notre recherche avec le terme “Lovecraft” puis en filtrant sur le pays : United States. Oui, mais pas que ! On sait également que cette citation a été réalisée de son vivant. On peut donc également se faciliter le travail en rajoutant un filtre sur la date.

Lovecraft est né en 1890 et est décédé en 1937. En supposant qu’il avait au moins 10 ans au moment de cette parution, on filtre sur 1900-1937.

OSINT_img_8

Seulement 5 résultats à traiter, et inutile d’aller bien loin. Le premier journal, “The Cambridge Tribune” du 03/07/1920 cite notamment Lovecraft avec la phrase suivante :

It is interesting to note that the first award went to Howard Phillips Lovecraft, of Providence...

C’est donc cohérent avec l’énoncé. Mais l’élément qui nous permet de confirmer que nous sommes sur le bon document est également sur la page, puisque dans le coin supérieur droit, une publicité est faite pour “Cambridge Electric Light Co.”, un vendeur de ventilateurs !

OSINT_img_9

Situé à l’époque au 8 Brattle Street à Harvard Square, il ne nous reste plus qu’à chercher quel commerce y est actuellement installé.

OSINT_img_10

Et c’est donc Origins !

Sound2teuf (200 points)

frédéric Thouin a fait une vidéo sur son jeu préféré publique sur internet.
Il a utilisé un son. Trouvez l'artiste de ce son, il a appartenu a 2 sound
System associatif, dont un d'angers. A partir de nom de l'association d'Angers,
trouvez le speudo de la personne qui faisait des émissions de radio sur Radio-G
et qui les a publié en vidéo.

A partir de ce pseudo trouvez l'unique mix qu'il a mis a disposition sur une plateforme
de son en ligne, et donner le nom du mix. Hint : frédéric thouin a commenté le mix avec son speudo

exemple : FLAG{taTayoyo Hardcore Mix 25.12.06 by bibi.}

Plusieurs étapes dans ce challenge qui n’était au final pas si compliqué, mais plus long. Découpons l’énoncé :

  • Premièrement, trouver Frédéric Thouin, son jeu préféré ainsi que la vidéo ;
  • Puis, identifier le son, ainsi que l’artiste ;
  • Puis identifier l’association mentionée ainsi que le pseudo de la personne ;
  • Enfin, aller chercher le mix publié sur une plateforme de son en ligne.

Ok. Première chose, une rapide recherche sur le nom “Frédéric Thouin” nous amène à son pseudo, plus utile dans le cadre de ce challenge : penthium2 ! (lien)

Bonjour, pourrais-tu te présenter en deux ou trois phrases ? Quatre seront acceptées aussi.

Je m’appelle Frédéric Thouin, 37 ans. Je fais de l’informatique ludique depuis 1982
( TI99A, Spectrum, to7, cpc464, Commodore Amiga, Apple 2C, pc,..) et je suis devenu
informaticien professionnel en 1999. J’ai d’abord travaillé pour NEC computer SAS,
et maintenant je suis Formateur à ENI école. Je joue avec linux depuis 2009.

Quel est l’origine de ton pseudo, si tu en utilises un ?

Pseudo : penthium2 ! L’explication est une longue histoire personnelle, la seule
chose que je puisse dire c’est qu’il y a un H comme dans thouin.

A partir de là, une nouvelle recherche toute simple permet d’identifier une chaine Dailymotion associée à notre ami.

OSINT_img_11

La chaine en question ne convient qu’une vidéo, publiée il y a 9 ans sur le jeu Minecraft (lien).

Premier point : check =)

La description de la vidéo est tout autant intéressante :

un trip de 10000block environ en train
music : pedro l'ane aka kankrelune
http://soundcloud.com/kankrelune

Je crois bien que le second point est également : check !

Passons maintenant aux Sound System (associations) ainsi qu’à la personne sur Radio-G. Dans la continuité des précédentes collectes d’information, une recherche sur “kankrelune” nous amène directement sur le site “son2teuf” (lien), visiblement en lien direct avec le nom de notre challenge… Et notamment sur le message suivant :

Pédro l'Âne aka Kankrelune... Mixouilleur bidouilleur compositeur emmerdeur depuis le
milieu des années 90... membres d'USF jusqu'en 2001 puis de Cir-K-Son et de Kohort...
co organisateur de divers évènements (pour les) petits et grands... blabla bla bla...

http://kankrelune.cir-k-son.org/
http://www.cir-k-son.org/
http://kriktus.cir-k-son.org/

http://www.mixcloud.com/Kankrelune
http://www.soundcloud.com/kankrelune

Passons les liens vers diverses plateformes, on obtient deux éléments intéressants : Cir-k-son et Kohort, qui pourraient être les deux associations dont parle l’énoncé.

On avance, on avance ! On continue les pivots en cherchant un lien entre Radio-G et l’un des deux termes précédents, et on trouve ça.

OSINT_img_12

Un thread, d’un certain “kohort”, régulièrement alimenté d’une programmation radio pour l’émission “MIAOUMIX” sur Radio-G ! Cerise sur le gateau, on nous donne le nom de trois animateurs : Aliocha, Scratchy et Itchy.

Troisième point, check !

Dernière ligne droite, retrouver le mix. La plateforme de prédilection pour ce type de contenu étant SoundCloud, c’est tout naturellement que nous commençons nos recherches par là. Mais bon, ces pseudos sont assez “communs” :

  • Aliocha : 126 utilisateurs
  • Scratchy : +500 utilisateurs
  • Itchy : +500 utilisateurs

Hors de question de tous se les faire. On va donc utiliser la dernière partie de l’énoncé nous disant que notre cher penthium2 a commencé le mix recherché, avec son pseudo.

OSINT_img_13
OSINT_img_14

C’est déjà mieux ! :)

On file dans les commentaires voir qu’un unique post a été effectué sur un mix de “DJ Scratchy” nommé “RADIKAL IMPRO MiX D&Bass 27.07.07 By Dj Scratchy.” (Le point, c’est important pour flag!)

Quatrième et dernier point, check. Et flag, on a notre mix ! \o/

Bonus : Mais… Au fait, il se passe quoi si après la toute première recherche visant à trouver le pseudo de notre compère, on fouille un peu en détails les résultats Google ?

OSINT_img_15

Réponse : On bypass tout le challenge et on s’épargne des tonnes de recherches :D

Petite remarque/pensée personnelle : Bien que le challenge ait été intéressant à résoudre, j’ai trouvé l’énoncé quelque peu hasardeux ou flou dans les tournures, ne facilitant pas la chose !

Fin des challenges OSINT pour ce CTF ! Du moins, pour les challenges indépendant. En effet, un scénario nommé “CLUEDOSINT” a également été joué, mais c’est un autre histoire (cf. un autre billet juste après!).

CTF InterIUT 2020 - OSINT & SE (aka the world worst phishing) YogoshESD-CTF - CLUDEOSINT