Introducción
Este artículo sobre el desafío fue uno de los desafíos administrados por TrendMicro CTF 2017. Estos desafíos requieren habilidades de inteligencia de código abierto.
Empecemos…
El texto del desafío era el siguiente:
"Descripción: Desafío Este desafío ha sido resuelto. Categoría: Iot/osint/scada Puntos: 100 Hoy recibió un correo electrónico que parecía provenir de un sitio de compras en línea que utiliza, pero cuando siguió el enlace algo no parecía estar bien. Parece que el peor phisher del mundo debe haber configurado la página y ¡le ha dirigido un ataque de phishing!
El texto del correo electrónico decía que necesitaba visitar un enlace para actualizar la seguridad de su cuenta. Sin embargo, el enlace conduce al sitio ctf.superpopularonlineshop.com.definitelynotaphishingsite.com
Para este desafío, debes encontrar a la “Persona Real” que está detrás de este ataque, aprovechando tus habilidades de Inteligencia de Código Abierto (OSINT).
La Bandera se encontrará en una de sus páginas de perfil social.
NOTA: Hacer una prueba de penetración en el sitio no ayudará; de hecho, todo lo que necesita para iniciar el recorrido ya se encuentra en este correo electrónico "
Obtenga notas del certificado OSCP
———————————————————–
Palabras clave: OSINT, Whois, Maltego
Ahora Comenzando por explorar el sitio web del dominio ctf.superpopularonlineshop.com.definitelynotaphishingsite.com nos brinda
Y como siempre, lo primero que hay que hacer al hacer OSINT es identificar los artefactos del dominio mediante el uso de "whois".
Y esta vez usé whois para “definitelynotaphishingsite.com” porque usar todo el dominio no produjo nada.
Ahora, la búsqueda del correo electrónico señalado por las flechas en la figura anterior no arrojó nada concreto, por lo que el foco se centró en el número de teléfono.
Usar Maltego para analizar a dónde pertenece el número de teléfono nos brinda tres opciones como se muestra
Probar cada uno de ellos me llevó a ir con la URL
que redirige a la página con información whois
Ahora, al ir al sitio web resaltado en amarillo, se muestra lo siguiente
Y como ocurre con cualquier caso OSINT, debemos profundizar en el perfil social. Si buscamos un poco en Google, aparece la siguiente cuenta de Twitter que se supone pertenece a la persona real a la que estamos acosando.
Trabajar con casos OSINT requiere centrarse también en las conexiones del sujeto y, después de sumergirnos en sus seguidores, la cuenta que se muestra en la imagen a continuación era la que se suponía que debíamos considerar desde el principio.
Buscar en Google el nombre de la cuenta nos llevó a su página vinculada que finalmente tenía las pistas y pistas que nos interesan.
Ahora bien, este texto cifrado GZPGS{SGE0FVAG101 parece una de las variantes de ROT; una pequeña búsqueda y descifrado nos proporciona
Y la bandera es TMCTF{FTR0SINT101}
