Nous avons couvert une étude de cas sur le renseignement Open Source, depuis le nom d'utilisateur Reddit jusqu'à l'emplacement géographique. TryHackMe Advent of Cyber 2 / Jour 14 Où est Rudolph ?
Notes d'étude de l'équipe bleue
Le cours pratique complet sur les tests d’intrusion d’applications Web
Points forts
Objectifs d'apprentissage OSINT pour ce scénario :
1) Identifiez les informations importantes en fonction de l'historique des publications d'un utilisateur.
2) Utiliser des ressources externes, telles que les moteurs de recherche, pour identifier des informations supplémentaires, telles que des noms complets et des comptes de réseaux sociaux supplémentaires.
3) Identifiez les informations importantes en fonction de l'historique des publications d'un utilisateur.
4) Utilisez la recherche d'images inversée pour identifier l'endroit où une photo a été prise et éventuellement identifier des informations supplémentaires, telles que d'autres comptes d'utilisateurs.
5) Utilisez les données EXIF de l'image pour découvrir des détails critiques, tels que l'emplacement exact de la photo, la marque et le modèle de l'appareil photo, la date à laquelle la photo a été prise, et plus encore.
6) Utilisez les e-mails découverts pour rechercher dans les données violées afin d'identifier éventuellement les mots de passe des utilisateurs, leur nom, leurs e-mails supplémentaires et leur emplacement.
Ressources additionnelles:
Bien que l'historique des publications de Rudolph soit suffisant pour nous permettre d'identifier qu'il a d'autres comptes sur les réseaux sociaux, nous n'avons parfois pas cette chance. Il existe d'excellents outils qui nous permettent de rechercher des comptes d'utilisateurs sur les plateformes de médias sociaux. Des sites, tels que https://namechk.com/, https://whatsmyname.app/ et https://namecheckup.com/ identifiera rapidement pour nous d’autres comptes possibles. Des outils, tels que https://github.com/WebBreacher/WhatsMyName et https://github.com/sherlock-project/sherlock faites cela aussi. Entrez simplement un nom d’utilisateur, lancez la recherche et parcourez les résultats. C'est si facile!
Cette tâche a été créée pour identifier les étapes critiques courantes dans une enquête OSINT. La recherche d'images inversée peut non seulement aider à identifier l'endroit où une image a été prise, mais également à identifier les sites Web sur lesquels cette photo existe ainsi que des photos similaires (éventuellement issues de la même série de photos), ce qui peut être extrêmement utile dans une enquête. Bien que Google Images soit utilisé dans notre exemple, d'autres sites doivent également être utilisés pour être aussi complets que possible. Aucun site n'est parfait en matière de recherche d'images inversée (ou de tout autre outil d'ailleurs). Des sites comme https://yandex.com/images/ , https://tineye.com/ et https://www.bing.com/visualsearch?FORM=ILPVIS sont super aussi. De plus, ne négligez pas la possibilité que des données EXIF existent dans une image. Bien que de nombreux sites suppriment ces données, tous ne le font pas. Cela ne fait jamais de mal de regarder et peut fournir une mine d’informations lorsque les données sont toujours là.
Enfin, les données piratées peuvent s’avérer extrêmement utiles du point de vue de l’enquête. Les données de violation n'incluent pas seulement les mots de passe. Il contient souvent des noms complets, des adresses, des informations IP, des hachages de mots de passe, etc. Nous pouvons souvent utiliser ces informations pour établir des liens avec d'autres comptes. Par exemple, disons que nous trouvons un compte avec l'e-mail de v3ry1337h4ck3r@gmail.com. Si nous recherchons dans cet e-mail des données violées, nous pourrions trouver un mot de passe ou un hachage qui y est associé. S'il est suffisamment unique, nous pouvons rechercher ce mot de passe ou ce hachage dans une base de données de violations et l'utiliser pour identifier d'autres comptes possibles. Nous pouvons faire la même chose avec les noms d'utilisateur, les adresses IP, les noms, etc. Les possibilités sont vastes et une seule adresse e-mail peut conduire à une multitude d'informations.
Des sites Web tels que https://haveibeenpwned.com/ aidera à identifier si un compte a déjà été piraté et nous informera, au minimum, si un compte a existé à un moment donné. Cependant, il ne fournit aucune information sur le mot de passe. Des sites gratuits comme http://scylla.so/ fournira des informations sur le mot de passe et sera facile à rechercher. Les données des sites gratuits peuvent avoir tendance à être plus anciennes et à ne pas être à jour avec les dernières informations sur les violations, mais ces sites restent une ressource puissante. Enfin, les sites payants comme https://dehashed.com/ offrent des informations à jour et sont facilement consultables à des tarifs abordables.
PS : Découvrez aussi Outils et techniques de renseignement open source
Réponses de la salle
Quelle URL me mènera directement à l'historique des commentaires Reddit de Rudolph ?
https://www.reddit.com/user/IGuidetheClaus2020/comments
D'après Rudolph, où est-il né ?
Chicago
Rudolph mentionne Robert. Pouvez-vous utiliser Google pour me donner le nom de famille de Robert ?
Peut
Sur quelle autre plateforme de médias sociaux Rudolph pourrait-il avoir un compte ?
Quel est le nom d'utilisateur de Rudolph sur cette plateforme ?
IGuideClaus2020
Quelle semble être l'émission télévisée préférée de Rudolph en ce moment ?
Célibataire
D'après l'historique de Rudolph, il a participé à un défilé. Où a eu lieu le défilé ?
Chicago
D'accord, vous avez trouvé la ville, mais où précisément l'une des photos a-t-elle été prise ?
41.891815, -87.624277
As-tu aussi trouvé un drapeau ?
{FLAG}TOUJOURS VÉRIFIER L'EXIFD4T4
Rudolph a-t-il été tué ? Quel mot de passe est apparu lors d'une brèche ?
Jeu d'espion
Basé sur toutes les informations recueillies. Il est probable que Rudolph se trouve dans la Windy City et séjourne dans un hôtel sur Magnificent Mile. Quels sont les numéros de rue de l’adresse de l’hôtel ?
540
Vidéo pas à pas
