# Onsintet Season 4 - EHC Tet Event ## Writeup Walkthrough ### Step By Step > Player : [TMQrX](https://www.facebook.com/taquan1203/) >TLDR : Đây là lần đầu tiên mình tham gia một thử thách Osint và đến với thử thách này đó chính là sự kiện Osintet của CLB EHC. Vì đây là lần đầu nên writeup này sẽ mô tả chi tiết cách làm và tổng hợp những thông tin mình lấy được. Đầu tiên, đến với thử thách này ta có một bức ảnh như sau :  Để ý thấy rằng có credit ở trong ảnh, dùng một chút google dork ta được một trang [printerest](https://www.pinterest.com/m1ssgr4ndvi3tnam/) như sau :   Để ý ở phần comment thấy rằng, có một tài khoản có nickname là Nhi3n. Sử dụng [whatsmyname](https://whatsmyname.app/) để scan username này và đã tìm được github profile.  Profile github này có 2 repo. Ở repo đầu tiên, trong file readme có một description như sau : > Trong thế giới náo nhiệt của ánh đèn sân khấu và ống kính máy ảnh, âm nhạc luôn là nguồn cảm hứng không thể thiếu trong cuộc sống hàng ngày của tôi - một người mẫu chuyên nghiệp. Dường như, âm nhạc là bí mật giúp tôi giữ được sự cân bằng, sự tĩnh tâm giữa những lúc căng thẳng và hối hả. Tôi thích những con sô và tôi thường ngân nga những con số này 387, 521, 63, 789, 245, 432, 78, 605, 124, 356, 892 mỗi ngày Ngoài ra còn có 1 list playlist music là link rickroll và mình để ý thấy rằng nó có 4 commit history. Vì vậy mình vào kiểm tra và thấy rằng có một số đoạn đã được sửa.  Ta thấy rằng có một link youtube đã được sửa lại, truy cập link youtube ấy thì đó là một bài hát có tên là "MƠ REMIX - NAMNOIGI X QUYENQUI ( TK REMIX ) LOÀI BƠ KHÔNG THÍCH ĐÓ LÀ ANH BƠ REMIX" Đến với url còn lại, có vẻ đoạn domain đã được mã hóa, sau khi decode với ROT16, ta có một đoạn domain mới là sites.google.com Có một website về MissGrand như sau, kéo xuống cuối trang có một số thông tin như sau :  Ngoài link printerest đã có thì chúng ta có thêm một link twitter.  Kiểm tra qua thì không có bài tweet nào khả nghi, tuy nhiên ta thấy rằng ở ảnh bìa của account này, có một đoạn hex khả nghi và sau khi decode ra thì ta được :  > Hint 1 : ILoveHimSoMuch<3 Quay trở lại repo github, cùng phân tích chuỗi số ở readme, ta thấy rằng nó có vẻ là các dòng trong đống link youtube kia và các link youtube ở các dòng đó đều có một ký tự ở cuối cùng  Tìm và ghép lại ta được một [link youtube](https://www.youtube.com/watch?v=J6gDm5yvYy0) hoàn chỉnh. Truy cập vào đó và xem thì có một hint như sau :  > Hint 2 : telsom TWC-1150 Sau khi search google thì đây có vẻ là một chiếc đồng hồ được sản xuất từ năm 2004  Quay trở lại repo thứ 2, chúng ta có 4 bức ảnh của author. Sau khi phân tích qua những bức ảnh này, ta thấy rằng ở bức ảnh thứ 2 chính là bức ảnh được post ở trên twitter và kiểm tra metadata của nó, ta thấy rằng có một comment được encode. Mình decode nó ra thì có thêm một hint mới  > Hint 3 : Nếu bạn không nhìn thấy tôi, hãy hỏi tôi cái bạn thấy là gì? Quay trở lại google site, ta thấy có contact email nên vì thế nên mình sẽ gửi mail thử cho họ và kết quả là nhận lại được một email :  Decode flag bằng ROT47 ta được flag đầu tiên :  > Flag 1 : EHC{H4pPy_N3w_Y3ar_ Truy cập vào link discord, ta thấy có 2 con bot. Bằng 1 vài biện pháp nghiệm vụ, sau khi chơi với con bot, ta được một link mã hóa.  Để decode được đoạn text trên, ngồi vọc một lúc thì mình biết được rằng chỉ có thuật toán Vigenere là sử dụng pass để dịch các ký tự. Vì cũng có hint là tên con bot là key nên mình dùng nó để decode thì được 1 link youtube :  Link youtube là một video về một thế lực siêu nhiên có tên gọi là SCP và nội dung chính là gọi cho số điện thoại của SCP > Hint 4 : 9515722602 Ở phân mô tả video, ta có flag cuối cùng : > Flag 5 : _2017} Tiếp tục chơi với con bot Inv1s1bl3, sau khi test qua tất cả các command, mình nhận thấy con bot này có 1 command là storyline có 1 hint như sau :  > Hint 6 : Trên hành trình trở thành hoa hậu, Elisa nhận được một lá thư bí mật và một chiếc đồng hồ cổ từ gia tộc. Bằng sự thông minh và can đảm, cô giải mã tin nhắn và khám phá bí mật, đồng thời vẫn đối mặt với áp lực từ cuộc thi. Cuối cùng, Elisa không chỉ giành chiến thắng mà còn làm sáng tỏ bí mật của gia đình, góp phần thắng lợi trong cuộc đời của mình. Đọc hint này có vẻ như nó liên quan đến đồng hồ và mật thư. Có thể đồng hồ ở đây liên quan đến hint 2 : telsom TWC-1150 mà ta đã tìm được trước đó Quay trở lại trang web, trang web có hint là có thể có web ẩn nên vì vậy mình đã bruteforce nhẹ sub url và tìm thấy 1 link ẩn là /hidden  Thực hiện phép toán, ta tiếp tục vào phase tiếp theo  Sử dụng wikipedia thì mình biết cuộc thi này được tổ chức ở Bangkok ở trung tâm hội nghị Impact Arena. Google map các nhà hàng gần đó và thử ở sub url, ta đã đi tiếp được vào phase tiếp theo. Nhà hàng lemecier bangkok  Mình xin hint phần này thì biết được rằng ta cần tìm ô chữ ở một social network khác. Vì chưa có thêm thông tin gì nên mình sẽ quay lại phân tích những thứ chưa làm. Quay trở lại github, ta biết rằng có 1 repo tên là M1ssGr4ndUnderGround. Truy cập vào thì ta có 4 bức ảnh. Xem qua thì thấy có một ảnh trùng với ảnh mà tài khoản trên twitter up lại là backgroundw2.png nên mình sẽ tập trung vào nó.  Ta biết rằng hint 2 là "Nếu bạn không nhìn thấy tôi, hãy hỏi tôi cái bạn thấy là gì?" thì nhìn vào bức ảnh sẽ thấy thứ duy nhất sus đó là dãy binary code. Vì vậy mình sẽ decode đống binary trong ảnh xem có gì không. Ngoài ra mình cũng có Osint fb của authors là anh Kevil và chị Ánh thì biết rằng 2 anh chị đã từng comment một post ở group WhitehatVN về một event giải mã thông tin trên ảnh có chứa binary code. Vì vậy mình xác định được điều cần làm ngay lập tức.  Mình mất tương đối nhiều thời gian ở việc decode binary code này vì mình không biết chính xác đoạn nào của binary code chứa nội dung và byte length của nó là bao nhiêu. Vì vậy ngoài cách ngồi thử thì mình chưa nghĩ ra cách nào khác. > Binary code : "000011100100001101100000110011000011100100001101000000111000000011001000001100110000111001000011100000001101000000110001000011001000001101100000110100000110000100000000000011110001101100001100110001110010000000111000000110010000110011100100011100000011010000100100001101100001101000000000" Sau khi bruteforce một thời gian tương đối lâu thì mình nhận ra chỉ có khoảng 160 bit binary code chứa thông tin và nếu mình để byte length là 10 thì có thể dịch được đoạn thông tin đó. Sử dụng cyberchef thì mình đã có được nội dung như sau :  > Hint 5 : 963948239841264a Sau khi đã có hint 5, mình nhanh chóng tìm kiếm thông tin dựa trên nó và thấy rằng có 1 account trên facebook có url như trên đó là "fb.com/963948239841264a"  Kéo xuống ta thấy 1 bài post về trò chơi ô chữ. Như vậy là mình đã tìm được đúng nơi, giờ việc cần làm là giải cái puzzle này.  Sau khi đọc post thì mình đã xác định được rằng 5 chữ cái trong ô chữ này có thể sẽ là flag. Đọc thêm phần comment càng làm mình chắc chắn điều đó.  Đọc hint ở comment thì mình xác định đường rằng những chữ cái cần tìm ở ô chữ này đó là FROM_ > Flag 2 : FROM_ Quay trở lại google sites, thử nhập FROM_ vào sub url thì không direct được đến path tiếp theo. Mình khá là bất lực và ngồi nghĩ một lúc khá lâu. Tuy nhiên mình đọc đi đọc lại title ở site.googles thì mình thấy rằng có một cái khá sus đó là "9_6"  Mình suy nghĩ là path url tiếp theo sẽ là một chuỗi gì đó. Và 9_6 có thể là lấy chuỗi từ các hàng hoặc các cột của ô chữ. 9_6 có thể là hàng 9 cột 6, cột 9 hàng 6, hàng 9 bắt đầu từ ký tự thứ 6, cột 9 bắt đầu lấy từ ký tự thứ 6 theo format 9_6. Vì vậy mình đã thử  Sau khi thử thì mình đã tìm ra sub url cần để qua bước tiếp theo đó là "OLICAOSINTETEOF_LXLKMCGDOFVGMYN" ở dạng lowcase. Tuy nhiên có một lỗi đánh máy là ở hàng 9, ký tự cuối cùng phải là K. Mình đã liên hệ với author và được fix. Sau khi vào được directory bị ẩn, mình thấy rằng flag sẽ nằm ở 1 list các tọa độ bao gồm vĩ độ và kinh độ. Không chần chừ nhiều mình post hết đống đó vào google map.  Sau khi nhập tay và lưu lại thì mình có một đoạn flag tiếp theo :  > Flag 3 : EHC Mình được hint từ author là các phần trước có một số thứ chưa khai thác hết. Và mình tóm tắt lại thì mình thấy rằng các video youtube là mình chưa làm gì với nó cả. Vì vậy, quay trở lại video, xem đi xem lại 100 lần thì mình thấy rằng ở video scp khi mình truy cập video gốc thì đoạn bấm điện thoại không hề có tiếng bip bip như video mà author hint. Vì vậy, dựa vào kinh nghiệm chơi Forensics, mình biết rằng đây là đoạn âm thanh được tạo từ dtmf engine. Sử dụng nó để decode thì mình ra được thông tin như sau : > Hint 6 : 944484455566688833 Được một chuỗi số như này, mình nghĩ là sẽ phải decode tiếp thêm một lần nữa.  Dùng identifier của d.code và thử decode theo các thuật toán xác định. Mình đã decode được nó ở Multi-tap Phone (SMS)  > Flag 4 : WITHLOVE Tổng hợp lại các part của flag ta được : > FLAG : EHC{H4pPy_N3w_Y3ar_FROM_EHC_ WITHLOVE_2017} Mang flag xác thực với author thì được confirmed  SIUUUUUUUUUUUUUUUUUUUUU GGWP !!!