Mùa Giáng Sinh 2021 năm nay Cyber Space đã tổ chức một kỳ OSINT CTF bao gồm 12 flag tất cả, với định dạng chung được đánh số là CSFLAGn_CM2021{___}, trong đó có 2 flag đặc biệt không được đánh số. Trong vòng 48 giờ, tất cả các flag đã được các bạn tìm thấy, cùng với các hint rất nhiệt tình đến từ phía đội ngũ. Dưới đây là lời giải chi tiết cho từng flag của kỳ CTF. Xin cảm ơn bạn Long Thanh Nguyễn, người đoạt giải Cyber WarriorCyber Writer, đã cung cấp cho Cyber Space writeup của 10 flag.

Đề bài

Chuyện là vừa có một email khẩn cấp vừa được gởi đến cho chúng mình có nội dung như sau:

"Chúng tôi đến từ Trung tâm Tình báo Nam Cực (Antarctica Central Intelligence). Ngài Santa Claus đã được trình báo mất tích từ 3 ngày trước, và mới hôm qua, Mr. X, thủ lĩnh bang hội The Unknowns đã lên tiếng nhận trách nhiệm cho vụ bắt cóc này. Với nguồn lực hiện tại của ACI, chúng tôi chưa thể tìm ra manh mối nào dẫn đến nơi giam giữ Santa Claus. Biết được độc giả của Cyber Space là những bậc thầy lão làng trong lĩnh vực OSINT, chúng tôi kêu gọi sự giúp đỡ của các bạn để giải cứu Santa Claus trước đêm Giáng Sinh. Mọi thông tin có ích dẫn đến nơi ngài Santa đang bị giam giữ đều sẽ được hậu thuẫn xứng đáng. Chúc các bạn may mắn!

Erica Semira."

Flag3: CSFLAG3_CM2021{34sy_70_f1nd}

Sau khi lướt qua đề bài thì mình xác định được ngay cái tên cần OSINT là Erica Semira. Mình thử tìm kiếm trên google và một số mxh lớn như twitter, facebook, linkedin thì may mắn tìm được người này trên linkedin https://www.linkedin.com/in/erica-semira-365917228/ cùng một chiếc flag lồ lộ ngay bên dưới, chỉ cần đảo ngược lại là được flag đúng.

Flag2: CSFLAG2_CM2021{Palmer_Station}

Trong phần Contact info của người này có chứa liên kết tới reddit của cô ấy.

Mình nghĩ có một flag trong các bản lưu reddit nhưng chưa tìm đc. Các bạn có thể thử https://web.archive.org hoặc https://archive.ph.

Trên tường nhà là chiếc flag 2 nhưng nội dung trong flag thì mình phải geoguess tiếp.

Do cảm thấy tốn thời gian nên mình không tập trung giải mà sau khi hết giải mình mới thử và tìm được địa điểm này là Palmer Station.

CSFLAG4_CM2021{s4D_3xp3r1Enc3}

Ấn chuột phải vào một thư mục bất kì, gmail chủ sở hữu sẽ hiện ra:

Sau đó mình đâm đầu vào OSINT chiếc email này với hàng tá cách khác nhau nhưng không nhận lại được gì. Cho đến khi vài cái flag bị blood thì mình mới tỉnh ngộ 🙂 và quay lại tìm kiếm trong đống ảnh kia vì nó mới có chìa khóa để mở các cánh cổng tiếp theo

Đầu tiên mình dùng tree để show hết thư mục. Có quá nhiều thư mục và hình ảnh, tuy nhiên hầu như là ảnh jpg, vì vậy mình loại các chuỗi có chứa jpg và lúc này kết quả cho ra ổn hơn nhiều https://pastebin.com/WzqzcKAa

Dễ dàng nhìn thấy Classified documents, và 2 file txt là đáng nghi. Sau khi kiểm tra 2 file txt đều là lừa thì mình đến thư mục Classified document: 06-20-2021/PEQJDRivHKzNp/lZ51DQ2PKkXAn/Classified documents

Ở đây có bức ảnh g37tptUqyTg4iUQ.jpg có chứa flag 4, do hơi tối nên mình đã chỉnh độ sáng và độ tương phản một tí cho dễ nhìn

Flag RHUAPV4_RB2021{h4S_3me3g1Tcr3} -> rot11: CSFLAG4_CM2021{s4D_3xp3r1Enc3}

Bên cạnh đó có 3 hình ảnh hồ sơ vụ án liên quan đến băng đảng The Unknowns ở đây chứa nguồn thông tin rất lớn để tìm các flag sau.

CSFLAG9_CM2021{u_c4m3_t0_th3_r1ght_pl4c3}

Đầu tiên đi vào hình ảnh picture-3.jpg

Mình thấy 1 username Cow_Lee. Dùng sherlock thấy 1 tài khoản reddit https://www.reddit.com/user/Cow_Lee

Có 1 email ở đây. Mình dùng https://tools.epieos.com/email.php (Ghunt) để tìm thì thấy link ggmap của ng này, ở đây có 1 bình luận chứa flag. Tuy nhiên hình như nó đã bị ai đó report nên khi mình viết writeup này thì nó ko còn nữa.

Flag: CSFLAG_CM2021{u_found_me!}

Dựa vào một loạt hint ở reddit thì mình biết được đây là một puzzle mang tên Cicada 3301(gg để biết thêm về tổ chức bí ẩn này). Google tiếp thì mình thấy walkthrough này, dựa vào đây để chơi thôi.

Đầu tiên ném hình ảnh bên trên vô https://aperisolve.fr/ rồi download Outguess file:

Nhận được message:

Hi. You found the hidden message. To advance to the next stage, there are three prime numbers associated with this image, 3301 is one of them. Find the other twos, multiply them and visit the subreddit r/<product_of_3_prime_number>. You will find the instructions for further steps. Good luck.

Chúng ta phải tìm 3 số nguyên tố liên quan đến hình ảnh rồi nhân chúng lại để lấy subreddit. 3 số nguyên tố đó chính là chiều dài (641), chiều rộng (643) của ảnh và số 3301. Nhân lại ta được link reddit https://www.reddit.com/r/1360550063/

Người điều hành reddit cũng là người đã đăng tất cả reddit là https://www.reddit.com/user/botezgambit2277/

Tìm kiếm cách import các tọa độ vào gg map rồi làm theo (https://www.youtube.com/watch?v=XRD9a2jlUcY), mình nhận được 2 nửa của flag xịn

CSFLAG_CM2021{D0ubl3_cH3ck3d}

Quay lại đọc walkthrough, mình hiểu các đoạn post được botezgambit2277 đăng thực chất là 1 văn bản bị cắt ra và bị mã hóa Vigenere bằng key ihalmtbuhyxatajqlsnevewzutzidicAOAGQnoglawdwg.

Dùng Cryptii giai mã xong mình nhận được key: THISISTHEKEYFORFLAG. Tiếp tục decode key ihalmtbuhyxatajqlsnevewzutzidicAOAGQnoglawdwg bằng key THISISTHEKEYFORFLAGmới nhận được này, mình nhận được message là link pastebin chứa flag xịn thứ 2 https://pastebin.com/tVAJBF97

CSFLAG10_CM2021{sk1ll3d_pl4y3r}

Đầu tiên các bạn chọn gắn dấu sao hoặc thêm lối tắt vào drive

Sau đó vào drive của mình (https://drive.google.com), cái sheet kia sẽ ở ngay trên đầu phần đề xuất, chuột phải để xem email thôi. trxncc3pt1234@gmail.com

Gần đây thì mình mới biết rằng có công cụ có thể tự động hóa việc tìm email từ sheet là Ghuntxeuledoc. Tuy nhiên thì mình thấy làm tay vẫn nhanh hơn 😀

Tiếp tục dùng Ghunt, mình thấy ở ggmap của ng này có 1 flag nhưng sau khi submit xong mình mới nhận ra sai format, hóa ra là flag của giải cũ. Tưởng cái email này không cần thiết và không cần phải đào sâu như vậy nên mình đã bỏ đi. Cho đến khi admin hint trên page thì mình mới nhớ ra là chưa gửi email cho địa chỉ đó, đôi khi dễ quá lại không nghĩ đến :v

CSFLAG7_CM2021{w3LL_m3t_StR4ng3rz}

Sau khi lục lọi một lúc mình thấy flag ở bài viết này: https://thetruthnews423666022.wordpress.com/2021/12/15/about-us/

Decode hex -> decode base64, flag 7 xuất hiện

CSFLAG5_CM2021{g00d_pr0bl3m_s0lv3r_th3_l3g4nd_47}

Nếu các bạn để ý và ấn vào phần tác giả của các bài viết là K ED, username tác giả sẽ hiện ra trên url (https://thetruthnews423666022.wordpress.com/author/karendouche1412/)

Dùng sherlock với username karendouche1412, nhận được facebook người này: https://www.facebook.com/karendouche1412/

Một số thông tin quan trọng trên facebook nói về password, the first Game of War player... sẽ có ích về sau.

Từ tên facebook Karen Douche, tìm đc linkedin

WordPress của người này: https://karenskitchen101286359.wordpress.com/

Lục lọi một lúc, sau khi ấn vào phần author K ED như bên trên hoặc admin đã làm nó dễ dàng hơn một chút bằng cách nhấn vào đây

Mình thấy một hidden protected blog

Quay lại facebook đọc các bài post, mình hiểu rằng password là tên của first Game of War player

Lúc đầu ý tưởng của mình là tải game Game of War trên CHPlay về bằng con iPorn Pro Max 13 của mình rồi tìm nhân vật có tên Karen Douche sau đó tìm danh sách bạn của người đó nhưng nohope. Cho đến khi admin tung hint số 4

Google và mình tìm đc tên người này là TheLegend27. Nhập mật khẩu và nhận được một nửa flag

Bên dưới còn có một comment để từ đó tìm pastebin:

Nội dung của Paste thứ 3:

Vậy là có một hidden site đường dẫn là /15_4 và mình đoán đó là đường dẫn của wordpress của Karen vì wordpress và các paste này đều được tạo cùng thời gian ngày 11/12. Có thể nó không có quá nhiều ý nghĩa trong thử thách này nhưng các bạn nên để ý thời gian khi OSINT, đó là điều quan trọng trong truy tìm và thu thập chứng cứ số.

Sau rất lâu mình mới hiểu rằng 15 và 4 là các ô chữ trong crossword puzzle blog

Ghép lại được https://karenskitchen101286359.wordpress.com/hidden_palace chứa nửa flag còn lại

Flag 8: CSFLAG8_CM2021{ZuP3rb_h4kk3r_m4N}

Nội dụng paste thứ 2 với password là karen

Decode mã morse được message: the initial letter of all the posts, from oldest to newest. Ý là bạn phải kết hợp các chữ cái đầu tiên trong các bài blog của Karen từ cũ nhất đến mới nhất.

Đây là tất cả blog https://karenskitchen101286359.wordpress.com/author/karendouche1412/

Ban đầu mình hơi ngu vì mình lại đi kết hợp chữ p trong từ Protected để tạo thành hiplep. Sau hint thì mình mới nhận ra và làm lại, từ đúng phải là hitler

Tiếp tục nhận được một hidden protected site nữa: https://karenskitchen101286359.wordpress.com/hitler. Password ở đây là deathtoSanta nhận được từ paste 2

Mở kho báu và lấy flag8 thôi :))

CSFLAG1_CM2021{@_sp3c14l_G1ft_fr0m S4nt4}

Quay lại với link Google Drive trên profile reddit của Erica, truy cập vào Travel Pictures > 11-03-2021 > fdVKmqRqJxxdu > qMD5B3SWRewiP > 75FJsfFANkpEG, chúng ta sẽ gặp một file txt:

Đây là một link dẫn đến 1 post reddit khác, tuy nhiên khi truy cập, chúng ta sẽ được thông báo post này đã bị xóa:

Đây là một gợi ý cho người chơi kiểm tra lại post này trên các trang web lưu trữ, trong trường hợp này là archive.ph:

Giải mã đoạn base64 kia ra là bạn đã có flag!

CSFLAG6_CM2021{s4nt4_1s_3v1L}

Quay trở lại với trang web The Truth News, trong bài viết phàn nàn về Santa Claus, bạn sẽ thấy có 2 chỗ được gạch chân:

Khi di chuột vào hai chỗ này, bạn sẽ có 2 phần của flag:

Cyber Space cảm ơn các bạn đã dành thời gian tham gia CTF. Hẹn các bạn tại các kỳ sau nha!

 This free site is ad-supported. Learn more