CTF Разбор задания "Финский инсайдер" с площадки Игры Кодебай

​

Всем привет! Рассмотрим задачу «Финский инсайдер» с площадки codeby.games из раздела OSINT.

[далее имена, хеши, адреса сайтов и электронных почт изменены]

Выделяем факты из текста задания:

• финская компания имела филиал в России и компании было что сливать
• сотрудник, который сливал инфу, имел какое-то отношение к почте mаriа.bruun@рр.inеt.fi
• при обследовании рабочего места сотрудника, был обнаружен блокнот Moleskine Studio с записями, фигурка слона, конфеты Porvoon Lakritsi, золотистая зажигалка Zippo и открытка с теплохода Christina
• пол сотрудника - мужской

Попытаемся выяснить, сколько вообще финских компаний работает в России:

Думаю, можно составить список всех компаний и попытаться собрать о каждой информацию из прессы, баз данных судебных решений и прочих источников, но мне не кажется, что компаний слишком много — пока оставим этот вектор.

Из текста задания мы выделили, что мужчина, допустивший утечку корпоративных тайн, имел отношение к электронной почте mаriа.bruun@рр.inеt.fi.
Переходим

Ссылка скрыта от гостей

и пробуем получить какую-нибудь информацию о почте mаriа.bruun@рр.inеt.fi. Запускаем процедуру восстановления пароля и получаем последние 4 цифры телефона владельца почты.

В поисковике забиваем адрес электронной почты и смотрим результаты выдачи:

Первую ссылку пропускаем — там датчанка продает шкафы.

А вот по второй ссылке открывается сервис проверки электронных почт — посмотрим:

В результатах проверки из полезного можем выделить только то, что имя пользователя Maria Bruun и пользователь с этой почтой зарегистрирован в Gravatar.

Посмотрим, что можно достать из Граватара. Читаем документацию Gravatar

Ссылка скрыта от гостей

,

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

.

Получаем хеш:

echo md5( strtolower( trim( "mаriа.bruun@рр.inеt.fi" ) ) );

hash = da3db8b66ca67889095a0ca25cd1d3d6

Получаем профиль:

Гуглим никнейм из профиля и по первой ссылке получаем ссылку на сайт разработчиков какой-то платформы “6sense” в сфере торговли, но платформа нам не важна — главное что тут есть запись о том, что пользователь с таким же ником как и в системе граватар пользуется услугами компании «6sense” с указанием адреса сайта подключенного к этой платформе:

Переходим по адресу и видим сайт антикварной лавки. Прокрутив вниз находим номер телефона и e-mail.

Последние четыре цифры телефона 0405-984-734 совпадают с последними цифрами телефона используемого при восстановлении пароля почты mаriа.bruun@рр.inеt.fi.

Сдаем найденную почту в качестве флага, а под этим постом оставляем реакцию.

PS: Не смог найти какую-либо информацию про утечку данных — ткните меня в комментах... Или же это выдуманная история? И, кстати, путь через Skype получается существенно короче.

 

[Kevgen]

Спасибо за разборчивую статью!
Но я бы посоветовал Вам не светить флаг, чтобы дать возможность другим игрокам пройти, а не скопировать ответ

 

[DragonSov]

Спасибо за разборчивую статью!
Но я бы посоветовал Вам не светить флаг, чтобы дать возможность другим игрокам пройти, а не скопировать ответ

Не вижу засвета флага в данной статье, если он всё же есть - просьба написать о том, где именно

 

[ALT1RE]

Спасибо за разборчивую статью!
Но я бы посоветовал Вам не светить флаг, чтобы дать возможность другим игрокам пройти, а не скопировать ответ

Спасибо за отзыв. Засвета флага не было - имена, хеши, почты изменены. Был лишь номер телефона засвечен - исправил.

 

[lcmn]

Спасибо Вам большое за разбор. Я только начинаю осваиваться в этой теме и сам пока до всего не могу додуматься. Но все-таки я не совсем понял, почему Вы указываете, что "финская компания имела филиал в России". Это не очевидно. В задании упоминаются рос. и фин. компании, фин.гражданин и сам подозреваемый - по контексту сотрудник рос.компании. О филиале, о гео нет ни слова.
Я Вас не критикую, просто хочу разобраться в Вашем ходе мыслей, который привел к правильному результату. Еще раз благодарю за помощь.

 

[ALT1RE]

Спасибо Вам большое за разбор. Я только начинаю осваиваться в этой теме и сам пока до всего не могу додуматься. Но все-таки я не совсем понял, почему Вы указываете, что "финская компания имела филиал в России". Это не очевидно. В задании упоминаются рос. и фин. компании, фин.гражданин и сам подозреваемый - по контексту сотрудник рос.компании. О филиале, о гео нет ни слова.
Я Вас не критикую, просто хочу разобраться в Вашем ходе мыслей, который привел к правильному результату. Еще раз благодарю за помощь.

Постоянно сталкиваюсь с проблемой понимания описания задачи с площадки codeby. Я раз 50 прочитал задние к Финскому инсайдеру и понял как-то так - возможно ошибся и поэтому не смог найти какую-либо информацию о самом инциденте.