owned this note
owned this note
Published
Linked with GitHub
# CTF OSINT
[TOC]
## Introduction
> Le COMCYBER a créer un CTF autour de l'OSINT entre septrembre et octobre 2024. Les personnels du minarm sont conviés à y participer.
## Lancement
>On se connecte sur la boite mail, nous avons 2 PDF :
>
>Dans 1 des PDF, un mot (ATTENTIF) emmène vers un lien linkedin :
>
>
> https://www.linkedin.com/in/marc-carr%C3%A9-de-grabarre-296635286/
>
>Lorsqu'on arrive sur le profil, un lien est joint : 
>
>On se connecte donc à un proton drive qui demande un mot de passe. Dans les articles linkedin du profil, on trouve un article "Comment choisir un bon mot de passe" :
>https://www.linkedin.com/pulse/comment-choisir-un-bon-mot-de-passe-marc-carr%25C3%25A9-de-grabarre/?trackingId=gplXU4LmT%2F2M33YB3NLQ1g%3D%3D
>
>
>
> On peut donc ouvrir le drive :
> 
>
> On arrive ensuite sur un url CTFd https://53589793.fr/challenges :
> 
---
## CTFD
### Chapitre 1 : Le recrutement
#### Salle de briefing
> Le 1er chall demande "Allez, on n’a pas que ça à faire. Montre-moi que tu as compris en me donnant la date et la ville de naissance du premier président de la Vè République. C’est aussi ça, l’OSINT. Simplement chercher de l’information sur Google, ça devrait être à ta portée.".
> La réponse est
Le premier président de la Cinquième République française était Charles de Gaulle. **Il est né le 22 novembre 1890 à Lille, en France.**
> On vient de valider notre premier flag.
#### Premier exercice
> La deuxième tâche consite en "A partir de là, je te demande de trouver le nom de l’entreprise pour laquelle travaille ma sœur."
> Pour cela, nous trouvons un profil Facebook associé à marc mais rien d'autre. Rien sur Twitter. Lorqu'on va plus loin sur le profil Facebook de marc, on trouve un profil coline cdg avec une photo aimé par anne-sophie marquet. On a les infos a ce moment là.
> 
https://www.facebook.com/photo/?fbid=101065123090054&set=ecnf.100095596981879
#### Deuxième exercice
> Nous allons chercher l'entreprise sur internet et trouvé les infos sur un site :
> https://www.ascs-secu.com/mentions-legales/
>
>=> https://www.pappers.fr/entreprise/assistance-securite-345179253
>
>=> 15051988
#### Troisième exercice
> Il est nécessaire de faire un Dork google pour accèder à des informations liée à l'entreprise accessible directement sur internet
> google: site:www.ascs-secu.com
>
>On trouve /download
>
>https://www.ascs-secu.com/content/files/2023/09/Rapport-confidentiel.pdf
#### Quatrième exercice
> Il est maintenant nécessaire de trouver un login et un mot de passe. Lorsqu'on va sur la page https://www.ascs-secu.com/login/, on obtient un indice `Hint : birthday-dog`. On retourne sur la page des réseaux sociaux.
> https://www.ascs-secu.com/contact/ => asmarquet@ascs-secu.com
> Le flag asmarquet@ascs-secu.com_1977-puffy
#### Fin du recrutement
> Il faut envoyer un mail à cordial.recrutement@gmail.com, on recoit une réponse :
> ```
> Bonjour,
>
>Je vous remercie pour votre mail. Marc m'a parlé de vous.
>
>Rencontrons-nous ce soir à la Rotonde (Montparnasse), je vous expliquerai de quoi il retourne.
>
>À vous voir,
>
>Cordial
> ```
> Le flag est donc 105-Boulevard-du-Montparnasse-75006-Paris
### Chapitre 2 : L'enquête
#### 00 (Consignes du chapitre)
> On arrive sur un drive google https://drive.google.com/drive/folders/1i7wp65M_P9YOajIeEeRbmN2VSVni6PZj, plusieurs fichiers sont présents. On essaye de récupére des infos depuis les feuilles volantes :
> * 01_FeuillesVolantes.pdf ➡️ Une note de l'organisation Cagoule avec un URL google tronqué (https://drive.google.com/drive/folders/1F3XukjLqmq3DNb5x4LcZM), un URL en bas de page : https://docs.google.com/document/d/1YmKb5PZGf07iblZjIe0IcU6kszU5JrgQva2gcdDrV-k/edit
> Lorsque nous nous rendons dans document, nous trouvons une autre URL en bas de page:
> https://drive.google.com/drive/folders/1F3XukjLqmq3DNb5x4LcZMXgLLiRMVJ5Q
> * 02_FeuillesVolantes.pdf ➡️ Une lettre destiné à Eloise, signé Grikkmal
> * 03_FeuillesVolantes.pdf ➡️ Document sur VeraCrypt
> * 04_FeuillesVolantes.pdf ➡️ Document sur la crypthographie militaire
> * 05_FeuillesVolantes.pdf ➡️ Chartre d'une entreprise avec les mentions "*Inutiles*" et "*On s'en fiche, on fais des attentats. On fais des attentats, pas la plateforme e-commerce du coin*"
> * 06_FeuilleDechirée.pdf ➡️ Billet de train avec un code FZA3KC
> * 07_PostItVolant.pdf ➡️ On récupére un identifiant @hello_marini qui est un compte twitter
> * Dans l'USB, un coffre véracrypt qui se déchiffre avec la keyfile POPULAIRE et des articles de presse.
>
> On continue nos recherches sur le lien google en bas de page, et obtenons un autre dossier avec :
> * panier.png ➡️ Achat d'acide choloridrique avec un code postal de livraison 75019
> * Un document de travail sur l'état d'esprit des Cagoulards
> * Des photos de repérage, avec indication "Point d'observation" et "cible"
> * Et des articles sur des modes opératoires (attaque au vitriol/stratégie de la mouche)
#### 01
> Il faut récupérer l'URL en bas de page et allé sur la page : https://drive.google.com/drive/folders/1F3XukjLqmq3DNb5x4LcZMXgLLiRMVJ5Q
> Pour trouver le nom du projet : projet-collectif
##### 01.1
> On doit rechercher l'image de repérage, avec google image on trouve la référence de l'image : https://commons.wikimedia.org/wiki/Category:Rue_Marx-Dormoy_(Paris)#/media/File:Rue_marx_dormoy_(regardant_vers_le_nord)_03.jpg
> Le flag est donc rue-marx-dormoy-75018-paris
##### 01.2
> Une simple recherche google avec les mots clés "le bouquet marx dormoy" nous fait tomber sur l'adresse à savoir : 38 Rue Marx Dormoy, 75018 Paris
> En utilisant google street view, nous trouvons que le nouveau restaurant s'appelle le "Kaboul Restaurant 75"
> 
##### 01.3
> Avec le plan on retrouve le lieu :
> 
#### 02
> Les indices pour résoudre ce challenge sont :
> * La rentrée des enfants
> * La fleuraison des kakis
> Nous récupérons le flag 06/09/2023 depuis l'application Strava ou le compte twitter de sa copine.
##### 02.1
> Le nom du parc est celui correspondant à Strava : Parc des Buttes Chaumont
##### 02.2
>
#### 03
> On nous demande le nom d'un fichier CSV se trouvant dans le fichier véracript.
> En cherchant dans les documents, on trouve une procedure d'installation de veracrypt.
> Il est écrit que nous devons utiliser un mot de passe ou un fichier clé.
> Une annotation indique POPULAIRE.
> Nous utilisons donc le fichier contenant l'article du POPULAIRE pour ouvrir le véracrypt.
> Nous trouvons un CSV nommé boites.csv.
#### <8>
> Il faut revenir au fichier réglement pour obtenir le flag :
> 
#### <9>
> Il faut revenir sur le profil facebook de Anne-Sophie Marquet et revoir la photo datant du 12092023
### Informations connexes
>Marc est le tonton de Claire Marquet
Claire marquet est la neveu de marc
Google Drive
Gist
Clipboard
Sign in with Wallet
