Merhaba,
Dün akşam saatlerinde tesadüfen gördüğüm ve görünce hatırladığım (Berk İmran’ın kulakları çınlasın) TrendMicro CTF 2017’nin sorularına hızlıca bir göz attım. Panele girdiğimde yaklaşık 8 saatlik bir süre kalmıştı ve en son çekik gözlü arkadaşlarımız tabloda egemenliklerini ilan etmişlerdi hali hazırda. Uzatmayayım, OSINT’in ilk sorusunun çözümünü paylaşmak istedim.
Soru şu şekildeydi:
“Today you received an email that seemed to be from an online shopping site that you use – but when you followed the link something definitely did not seem right. It appears that the world’s worst phisher must have set up the page – and has targeted you with a phishing attack!
The email text said you needed to visit a link to update the security of your acccount. However the link actually lead to the site ctf.superpopularonlineshop.com.definitelynotaphishingsite.com
For this challenge you must find the “Real Person” who is behind this attack – leveraging your Open Source Intelligence (OSINT) skills.
The Flag will be found on one of their social profile pages
NOTE: Pen Testing the site will not help – in fact all you need to start the trail is in this email already”
İlk olarak sorudaki URL’e gittiğinizde şöyle bir sayfayla karşılaşıyordunuz:
Öncelikle hızlı bir subdomain araştırması yaptıktan sonra whois bilgilerini inceledim. Burada “osintisfun@gmx.com” mail adresi ve “+44.7441911980” numarası ilgimi çekti. İlk olarak maili araştırdım fakat bir şey çıkmadı. Numarayı araştırdığımda Hz. Google ilgi çekici sonuçlar çıkardı:
Not: Bu aşamada elbette maltego, theHarvester vb. araçları kullanabilirdiniz, ben biraz daha hızlı hareket etmek adına doğrudan denedim.
İkinci linkte bulunan domaine gidip biraz kurcaladım:
Aslında çok fazla kurcalamaya da gerek yoktu, sayfada kabak gibi sırıtan “T3-M4Haxor” nicki üzerinden gidilmesi gerektiği barizdi, öyle de yaptım ve şu Twitter profiline ulaştım:
Görünürde bir şey yoktu, takipçileri araştırdım. Bu aşamada takipçiler üzerinde çoklu arama sorguları gerçekleştirdim. Yanlış hatırlamıyorsam DKHOCTF’te buna yakın bir OSINT sorusu vardı. Oradaki soruda izlediğim çözümü hatırlayıp Linkedin ve Youtube profillerine daha çok odaklandım. Nitekim takipçilerden birisi olan David Surik isimli kişi adına bir Linkedin profili vardı. Aslında profil biraz daha doldurulabilirmiş 🙂
Şifrelenmiş flag’in TMCTF ile başlayacağı malumdu, “especially Secret Challenge “13”” ibaresi de boşa değildi, ilk denememi ROT13 ile yaptım ve bingo:
Vakit bulduğumda yine 2 tam + 1 yarı çözüm paylaşacağım.