Cubrimos un estudio de caso de inteligencia de código abierto desde un nombre de usuario de Reddit hasta la ubicación geográfica. TryHackMe Advenimiento de Cyber 2 / Día 14 ¿Dónde está Rodolfo?
Notas de estudio del equipo azul
El curso completo y práctico de pruebas de penetración de aplicaciones web
Reflejos
Objetivos de aprendizaje de OSINT para este escenario:
1) Identificar información importante según el historial de publicaciones de un usuario.
2) Utilice recursos externos, como motores de búsqueda, para identificar información adicional, como nombres completos y cuentas de redes sociales adicionales.
3) Identificar información importante según el historial de publicaciones de un usuario.
4) Utilice la búsqueda de imágenes inversa para identificar dónde se tomó una foto y posiblemente identificar información adicional, como otras cuentas de usuario.
5) Utilice datos EXIF de la imagen para descubrir detalles críticos, como la ubicación exacta de la foto, la marca y el modelo de la cámara, la fecha en que se tomó la foto y más.
6) Utilice los correos electrónicos descubiertos para buscar datos violados y posiblemente identificar contraseñas de usuario, nombres, correos electrónicos adicionales y ubicación.
Recursos adicionales:
Si bien el historial de publicaciones de Rudolph es suficiente para que podamos identificar que tiene otras cuentas de redes sociales, a veces no tenemos tanta suerte. Existen excelentes herramientas que nos permiten buscar cuentas de usuarios en plataformas de redes sociales. Sitios, como https://namechk.com/, https://whatsmyname.app/ y https://namecheckup.com/ identificará rápidamente otras posibles cuentas para nosotros. Herramientas, como https://github.com/WebBreacher/WhatsMyName y https://github.com/sherlock-project/sherlock haz esto también. Simplemente ingrese un nombre de usuario, presione buscar y revise los resultados. ¡Es fácil!
Esta tarea se creó para identificar pasos críticos comunes en una investigación OSINT. La búsqueda inversa de imágenes puede ayudar no sólo a identificar dónde se tomó una imagen, sino que también puede ayudar a identificar sitios web donde existe esa foto, así como fotos similares (posiblemente del mismo conjunto de fotos), lo que puede ser increíblemente útil en una investigación. Si bien en nuestro ejemplo se utiliza Google Imágenes, también se deben utilizar otros sitios para ser lo más completos posible. Ningún sitio es perfecto cuando se trata de búsqueda inversa de imágenes (o cualquier herramienta). Sitios como https://yandex.com/images/ , https://tineye.com/ y https://www.bing.com/visualsearch?FORM=ILPVIS son geniales también. Además, no descuide la posibilidad de que existan datos EXIF en una imagen. Si bien muchos sitios eliminan estos datos, no todos lo hacen. Nunca está de más mirar y puede proporcionar una gran cantidad de información cuando los datos todavía están ahí.
Finalmente, los datos filtrados pueden ser increíblemente útiles desde el punto de vista de la investigación. Los datos de violación no solo incluyen contraseñas. A menudo tiene nombres completos, direcciones, información de IP, hashes de contraseñas y más. A menudo podemos utilizar esta información para vincularla a otras cuentas. Por ejemplo, digamos que encontramos una cuenta con el correo electrónico v3ry1337h4ck3r@gmail.com. Si buscamos en ese correo electrónico datos vulnerados, es posible que encontremos una contraseña o un hash asociado a él. Si es lo suficientemente única, podemos buscar esa contraseña o hash en una base de datos de violaciones y usarla para identificar otras posibles cuentas. Podemos hacer lo mismo con nombres de usuario, IP, nombres, etc. Las posibilidades son amplias y una dirección de correo electrónico puede generar una gran cantidad de información.
Sitios web como https://haveibeenpwned.com/ ayudará a identificar si alguna vez una cuenta ha sido vulnerada y, como mínimo, nos informará si existió una cuenta en algún momento. Sin embargo, no proporciona ninguna información de contraseña. Sitios gratuitos como http://scylla.so/ proporcionará información de contraseña y será fácil de buscar. Los datos de los sitios gratuitos pueden tender a ser más antiguos y no estar actualizados con la información más reciente sobre violaciones, pero estos sitios siguen siendo un recurso poderoso. Por último, los sitios pagos como https://dehashed.com/ ofrecen información actualizada y se pueden buscar fácilmente a precios asequibles.
PD: Mira también Herramientas y técnicas de inteligencia de código abierto
Respuestas de la habitación
¿Qué URL me llevará directamente al historial de comentarios de Rudolph en Reddit?
https://www.reddit.com/user/IGuidetheClaus2020/comments
Según Rudolph, ¿dónde nació?
chicago
Rudolph menciona a Robert. ¿Puedes usar Google para decirme el apellido de Robert?
Puede
¿En qué otra plataforma de redes sociales podría tener una cuenta Rudolph?
Gorjeo
¿Cuál es el nombre de usuario de Rudolph en esa plataforma?
IGuideClaus2020
¿Cuál parece ser el programa de televisión favorito de Rudolph en este momento?
despedida de soltera
Según el historial de publicaciones de Rudolph, participó en un desfile. ¿Dónde tuvo lugar el desfile?
chicago
Bien, encontraste la ciudad, pero ¿dónde específicamente se tomó una de las fotos?
41.891815, -87.624277
¿Encontraste también una bandera?
{FLAG}SIEMPRE COMPRUEBE EL EXIFD4T4
¿Rudolph ha sido engañado? ¿Qué contraseña suya apareció en una infracción?
juego de espías
En base a toda la información recopilada. Es probable que Rudolph esté en la Ciudad de los Vientos y se aloje en un hotel en Magnificent Mile. ¿Cuáles son los números de las calles de la dirección del hotel?
540
Tutorial en vídeo
