Asta
GhostInTheShell Write-ups
Asta

MidnightFlagCTF[TimeTraveller]

Midnight Flag CTF

Durant la nuit du 15 au 16 avril, à eu lieu le MidnightFlag CTF organisé par l’ESNA. Nous avons donc participé au CTF en tant qu’hidden avec mon équipe GhostInTheShell.

Time traveller 1/3

Time Traveler était une suite de 3 challenges, autour d’un voyageur temporel du nom d’ibm_5100_.

/TimeTraveller1_description.png

Pour ce premier challenge, nous inspectons directement les réseaux sociaux les plus connus, comme Facebook, Instagram, Linkedin, Twitter. Nous pouvons réaliser nos recherches manuellement ou utiliser un outil comme sherlock par exemple :

/sherlock.png

Nous pouvons ainsi retrouver un Instagram, un Twitter et peut être une chaine YouTube ?

Après avoir inspecté les différents comptes, la chaine YouTube et le compte Instagram étant des faux positifs, on s’intérrèsse seulement au twitter.

/twitter_ibm.png

On regarde donc de fond en comble le compte Twitter, on va pouvoir récupérer seulement les informations suivante :

  • Ibm_5100_ s’appelle surement John Titor
  • On peut le contacter de façon sécurisée via : 62C8 3A30 59CF 2B85 D385 0647 FC34 0FE7 54A8 DA4D

(J’ai personnellement, directement attaqué mes recherches autour de la clé PGP que nous donne John Titor, après une petite heure de recherches et avoir récupéré des éléments importants pour les prochaines étapes. J’ai réalisé que j’étais parti beaucoup trop loin)

C’est vrai que nous n’avons pas beaucoup d’informations sur ce compte Twitter, et lorsqu’il s’agit d’enquêter autour d’un voyageur temporel il est de bonne pratique d’utiliser WayBack Machine. Un outil particulièrement utilisé en OSINT.

On retrouve donc plusieurs snapshots à l’url suivante : https://twitter.com/ibm_5100_

En regardant la snapshot la plus ancienne datant du 13 Avril on retrouve le premier flag. MCTF{t1M€_7r4v3L_O}

/time_flag1.png

Note : Important d’avoir le réflexe de WayBack les profils trouvés en CTF, un réflexe que je n’avais pas qui m’a fait perdre un petit peu de temps, même si du coup j’avais déjà le flag de la step 2 avant la 1 ^^

Time traveller 2/3

Dans la suite du challenge, nous devons trouver l’émail de John Titor. Pour cela nous allons nous intérrésser à la PGP qu’il nous a partagé sur son Twitter.

/TimeTraveller2_description.png

Pour savoir que c’est une clé PGP, il suffit soit de copié coller la clé dans google (On tombe sur un site de keys PGP) soit on demande à ChatGPT (Qui personnellement m’a bien confirmé que c’était une clé PGP). Après une courte documentation nous savons que les clés PGP sont liés au email. Nous pouvons donc en déduire que ce sera notre moyen de pivot pour trouver l’email de John Titor.

Après avoir chercher des informations sur comment retrouver un utilisateurs depuis sa clé PGP, on tombe sur le site suivant : https://keys.openpgp.org/ qui va nous générer une clé PGP à partir d’une clé publique (Si j’ai bien compris). En entrant la clé PGP de John Titor, le site va nous permettre de Download une clé PGP, dans laquelle on retrouvera l’email.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: 62C8 3A30 59CF 2B85 D385  0647 FC34 0FE7 54A8 DA4D
Comment: john.titor.contact00@proton.me <john.titor.contact00@pr
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=2yC0
-----END PGP PUBLIC KEY BLOCK-----

On a ainsi le deuxième Flag : MCTF{john.titor.contact00@proton.me}

Time traveller 3/3

A présent que nous avons obtenu l’e-mail, on nous demande de pivoter autour de cette inrformations.

/TimeTraveller3_description.png

On va donc utiliser un outil qui s’appelle holehe qui est très puissant pour savoir si un mail a été utilisé ou non pour créer un compte. Soit vous possédez le script directement, soit vous pouvez utiliser le site en ligne d’epios : https://epieos.com/

/holehe.png

Nous savons donc que l’email à été utilisé pour un compte Github. On tombe alors sur la partie technique de ce challenge. En effet, comme sur Twitter, Google etc… il existe des dorks qui nous permettent de faire des recherches plus précise. En l’occurence sur Github il est possible de réaliser le dork suivant : author-email:

/dork.png

On tombe donc bien sur le Github de t1ME7r4v3L, dans le README on retrouve un lien vers son Twitter ce qui confirme la source, (il était possible de trouver ce Github en recherchant simplement le pseudo ibm_5110_ car dans le readme y a le lien du Twitter donc son pseudo).

Dans les commits du Github, on trouve rapidement un lien Skype.

📫 You can contact me on Skype @ **live:.cid.663c9b872010ad9f**

On ajoute le contact et ce dernier va nous répondre le message suivant :

Je suis désolé, je ne suis pas disponible pour l'instant. Si vous êtes là pour l'IBM 5100, référez-vous à ma bio Skype.
Bonne soirée.

/skype.png

Directement on court sur leBonCoin en cherchant un IBM5100 car c’est peu commun donc il devrait pas avoir beaucoup d’annonce.

/leboncoin.png

On trouve donc l’annonce de John Titor, et dans la description de l’annonce on retrouve le flag : MCTF{w4s_tH1s_4ll_@_h0Ax?}

Conclusion : Cette série de challenge était très sympa, je n’avais jamais eu l’occasion de WayBack des profils Twitter directement donc c’est vrai que j’ai perdu beaucoup de temps sur cet étape la, car j’étais focalisé sur la clé PGP. De plus, je ne connaissais pas ce dork Github, qui est très intéréssant.