Táto úloha je taká všehochuť, hlavne o orientovaní sa na webe (viaceré sociálne siete). Pre vyriešenie je potrebné sa registrovať do aplikácie Telegram, ktorá vyžaduje telefónne číslo.
Boli ste cieľom phishingovej kampane. Rozhodli ste sa túto kampaň zanalyzovať.
Reported Difficulty: 1
1. Phishing link
Linka v phishingovej kampani je http://spotify-web.rf.gd/ a zameriava sa na kradnutie informácií kreditných kariet
V zdrojovom kóde danej stránky vidieť na konci zvláštny komentár:
<!--
TODO:remove this debug comment aHR0cHM6Ly9pbmZvc2VjLmV4Y2hhbmdlL0ByaW5fZGlkZSNTSy1DRVJUezVwMDcxZnlfcGgxNTFuZ193M2J9ICAgIDw+Pj5UaGlzIHdlYiBpcyBwYXJ0IG9mIGN5YmVyLXNlY3VyaXR5IENURiAtIEN5YmVyIEdhbWUgMjAyMzw8PD4K
-->
Prekladom cez Base64 v CyberChef získame prvú vlajku.
https://infosec.exchange/@rin_dide#SK-CERT{5p071fy_ph151ng_w3b} <>>>This web is part of cyber-security CTF - Cyber Game 2023<<<>
2. Network
Sociálna sieť, viete z nej zistiť niečo užitočné?
3. Collaboration
Telegram konverzácia? Je tu niečo zaujímavé?
Zaregistroval som sa na Telegram sieti. Ako som neskôr po úmorných pátraniach zistil, pre riešenie tejto úlohy je treba nainštalovať aplikáciu, nestačí použiť web klienta.
Pripojil som sa na kanál "Phishers - public". Je tu vidieť históriu komunikácie, pripojených používateľov vpravo.
Rini Tiede, či tak podobne sa volajúci autor textov, má vo svojom popise (klikať na ikonke pripojených vpravo) vlajku:
SK-CERT{t3l3gr4m_c0ll4b0r4t10n}
4. Docs
Google dokumenty? Pozrime sa na to bližšie
V histórií komunikácie v telegrame sú obrázky, v jednom z nich je v EXIF dátach (user comments cez exiftool phish_final.png) linka na google docs.
V dokumente je text s pokusom o získanie údajov platobnej karty, za akože exspirovanú kartu.
Pri pokuse o kliknúť na tlačidlo "Update card" sa zobrazí linka aj s vlajkou:
https://gitlab.com/mist-schi-fhuu/my-web#SK-CERT{f0rg0773n_gi714b_link}
5. Lab
https://gitlab.com/mist-schi-fhuu/my-web
Odpoveďou v minulej úlohe bola linka na git s projektom "my-web". Tu boli ukladané postupné zmeny pri programovaní web stránky. Teda ak nenájdeme nič priamo v zdrojových kódoch, je šanca niečo zaujímavé nájsť v histórií "repository - commits".
https://gitlab.com/mist-schi-fhuu/my-web/-/commit/816e643f18e2d22fb012e969ca1a9326e63ea317
V tejto zmene v zdrojovom kóde bol odmazaný okrem iného aj text:
the url with endpoint is card-stealer-url.evil/info#SK-CERT{unw4n73d_c0mm17}
A máme poslednú vlajku.
Zaujímavosť:
- používanie GITu alebo iného verzionovacieho nástroja prináša riziko zverejnenia citlivých údajov a najmä hesiel, tokenov - je potrebné myslieť na výnimky v zbieraných súboroch
- ďalšie spísané riešenia tohto ročníka sa objavili aj na https://github.com/bakiba/SK-CERT-CYBERGAME-2023
Žiadne komentáre:
Zverejnenie komentára