1、题目简介
1.1 背景介绍
一位客户委托您调查事件并确定攻击者的身份,该客户的网络遭到破坏并脱机。
事件响应人员和数字取证调查人员目前正在现场并进行了初步调查。他们的发现表明,攻击源自单个用户帐户,可能是内部人员。
调查事件,找到内幕,并揭露攻击行动
1.2 题目链接
https://cyberdefenders.org/blueteam-ctf-challenges/73
2、题目解析
2.1 内部人员的 GitHub 存储库的 API 密钥是什么(Github.txt)?
打开文件后发现GitHub的地址如下
查看他的GitHub仓库,发现只有Project-Build---Custom-Login-Page仓库属于自有仓库,其他均为fork其他仓库。在该仓库的登录页面js脚本中发现API KEY
2.2 内部人员的 GitHub 存储库的明文密码是什么?(Github.txt)
在Login Page.js中查看发现存在密码内容,根据提示为base64编码,解码后内容为:PicassoBaguette99
2.3 内部人员用的是什么加密货币挖矿工具?(Github.txt)
查看GitHub仓库地址,发现fork了一个xmrig的挖矿
2.4 内部人员上的是什么大学?
通过谷歌图片搜索查找,发现在领英站点有相关信息
教育经历为Sorbonne Université
2.5 内部人员在哪个游戏网站上有帐户
根据开源信息收集站点搜索发现有游戏账号
https://whatsmyname.app/
根据网页链接提示为Steam
2.6 内部人员 Instagram 个人资料的链接是什么
通过关键字搜索intext:EMarseille99 site:www.instagram.com
2.7 内部人员假期去哪儿了?(仅限国家/地区)
根据历史记录发现度假的图片
基于以图搜图的方式查看该位置在新加坡
2.8 知情人的家人住在哪里?(仅限城市)
根据2张图片显示在有摩天大楼和沙漠地带,并根据旗帜判断为迪拜的哈利法塔
2.9 您已获得公司办公大楼的图片,公司位于哪个城市?(office.jpg)
根据以图搜图的方式,提示位置在伯明翰新街站
2.10 根据你提供的情报,我们的地面监视单位现在正在监视相关人员的可疑地址。他们看到他们离开公寓,就跟着他们去了机场。他们的飞机起飞并降落在另一个国家。我们的情报小组用这个 IP 摄像机发现了目标。这个相机处于什么状态(Webcam.png)?
通过查看摄像头信息,该摄像头为网络在线摄像头,通过关键字搜索earthcam dome aerial view,查看到相似的图片内容,根据摄像头位置显示University of Notre Dame Camera.
原文始发于微信公众号(安全孺子牛):Cyberdefenders蓝队-溯源-L'espion
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论