Wir haben eine Fallstudie zu Open Source Intelligence durchgeführt, angefangen bei einem Reddit-Benutzernamen bis hin zum geografischen Standort. TryHackMe Advent of Cyber 2 / Tag 14 Wo ist Rudolph?

Blue Team-Studiennotizen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Höhepunkte

OSINT-Lernziele für dieses Szenario:

1) Identifizieren Sie wichtige Informationen basierend auf dem Postingverlauf eines Benutzers.

2) Nutzen Sie externe Ressourcen wie Suchmaschinen, um zusätzliche Informationen wie vollständige Namen und zusätzliche Social-Media-Konten zu ermitteln.

3) Identifizieren Sie wichtige Informationen basierend auf dem Postingverlauf eines Benutzers.

4) Verwenden Sie die umgekehrte Bildsuche, um herauszufinden, wo ein Foto aufgenommen wurde, und ermitteln Sie möglicherweise zusätzliche Informationen, z. B. andere Benutzerkonten.

5) Nutzen Sie die EXIF-Daten des Bildes, um wichtige Details wie den genauen Aufnahmeort, Marke und Modell der Kamera, das Aufnahmedatum des Fotos und mehr zu ermitteln.

6) Verwenden Sie entdeckte E-Mails, um die kompromittierten Daten zu durchsuchen und möglicherweise Benutzerkennwörter, Namen, zusätzliche E-Mails und den Standort zu ermitteln.

Zusätzliche Ressourcen:

Obwohl Rudolphs Posting-Historie ausreicht, um festzustellen, dass er andere Social-Media-Konten hat, haben wir manchmal nicht so viel Glück. Es gibt großartige Tools, mit denen wir auf allen Social-Media-Plattformen nach Benutzerkonten suchen können. Websites wie https://namechk.com/https://whatsmyname.app/ Und https://namecheckup.com/ identifiziert schnell weitere mögliche Accounts für uns. Tools wie https://github.com/WebBreacher/WhatsMyName Und https://github.com/sherlock-project/sherlock tun Sie dies auch. Geben Sie einfach einen Benutzernamen ein, klicken Sie auf „Suchen“ und durchforsten Sie die Ergebnisse. So einfach ist das!

Diese Aufgabe wurde erstellt, um häufige kritische Schritte bei einer OSINT-Untersuchung zu identifizieren. Die umgekehrte Bildsuche kann nicht nur dabei helfen, herauszufinden, wo ein Bild aufgenommen wurde, sondern auch dabei, Websites zu identifizieren, auf denen dieses Foto vorhanden ist, sowie ähnliche Fotos (möglicherweise aus demselben Fotoset), was bei einer Untersuchung unglaublich nützlich sein kann. Während in unserem Beispiel Google Images verwendet wird, sollten auch andere Websites genutzt werden, um so gründlich wie möglich zu sein. Keine Website ist perfekt, wenn es um die umgekehrte Bildsuche geht (oder um jedes andere Tool). Websites wie https://yandex.com/images/ , https://tineye.com/ Und https://www.bing.com/visualsearch?FORM=ILPVIS sind auch großartig. Außerdem sollten Sie nicht die Möglichkeit außer Acht lassen, dass ein Bild EXIF-Daten enthält. Viele Websites entfernen diese Daten, aber nicht alle. Ein Blick darauf schadet nie und kann eine Fülle von Informationen liefern, wenn die Daten noch vorhanden sind.

Schließlich können gestohlene Daten aus investigativer Sicht unglaublich nützlich sein. Geglaubte Daten umfassen nicht nur Passwörter. Sie enthalten oft vollständige Namen, Adressen, IP-Informationen, Passwort-Hashes und mehr. Wir können diese Informationen oft verwenden, um sie mit anderen Konten zu verknüpfen. Nehmen wir beispielsweise an, wir finden ein Konto mit der E-Mail-Adresse v3ry1337h4ck3r@gmail.com. Wenn wir diese E-Mail nach gestohlenen Daten durchsuchen, finden wir möglicherweise ein damit verbundenes Passwort oder einen Hash. Wenn das Passwort oder der Hash eindeutig genug ist, können wir in einer Datenbank nach gestohlenen Daten suchen und es verwenden, um andere mögliche Konten zu identifizieren. Dasselbe können wir mit Benutzernamen, IP-Adressen, Namen usw. tun. Die Möglichkeiten sind zahlreich und eine E-Mail-Adresse kann zu einer Menge Informationen führen.

Websites wie https://haveibeenpwned.com/ hilft festzustellen, ob ein Konto jemals gehackt wurde, und informiert uns zumindest, ob ein Konto irgendwann einmal existierte. Es werden jedoch keine Passwortinformationen bereitgestellt. Kostenlose Websites wie http://scylla.so/ bieten Passwortinformationen und sind leicht zu durchsuchen. Die Daten auf kostenlosen Websites können zwar älter sein und nicht auf dem neuesten Stand der Informationen zu Sicherheitsverletzungen, aber diese Websites sind dennoch eine leistungsstarke Ressource. Schließlich gibt es kostenpflichtige Websites wie https://dehashed.com/ bieten aktuelle Informationen und sind zu günstigen Preisen leicht durchsuchbar.

PS: Schaut auch mal rein Open Source Intelligence-Tools und -Techniken

Raumantworten

Welche URL führt mich direkt zu Rudolphs Reddit-Kommentarverlauf?

https://www.reddit.com/user/IGuidetheClaus2020/comments

Wo wurde Rudolph laut seinen Angaben geboren?

Chicago

Rudolph erwähnt Robert. Können Sie mir mit Google Roberts Nachnamen sagen?

Mai

Auf welcher anderen Social-Media-Plattform könnte Rudolph ein Konto haben?

Twitter

Wie lautet Rudolphs Benutzername auf dieser Plattform?

IGuideClaus2020

Was scheint im Moment Rudolphs Lieblingsfernsehsendung zu sein?

Bachelorette

Basierend auf Rudolphs Postverlauf nahm er an einer Parade teil. Wo fand die Parade statt?

Chicago

Okay, Sie haben die Stadt gefunden, aber wo genau wurde eines der Fotos aufgenommen?

41.891815, -87.624277

Hast du auch eine Flagge gefunden?

{FLAG}ÜBERPRÜFEN SIE IMMER DAS XIFD4T4

Wurde Rudolph gehackt? Welches seiner Passwörter ist bei einem Datenleck aufgetaucht?

Spionagespiel

Basierend auf allen gesammelten Informationen ist es wahrscheinlich, dass Rudolph sich in der Windy City befindet und in einem Hotel an der Magnificent Mile wohnt. Wie lauten die Hausnummern des Hotels?

540

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen