## KCSC BIRTHDAY OSINT GAME WRITEUP
Nhập cuộc hơi muộn nên chắc k có giải rồi huhu, enjoy my writeup !
Dựa vào đề bài, với 1 userid là longnguyen511074, mình tìm được các dữ kiện sau:
https://www.facebook.com/longnguyen511074
https://www.instagram.com/longnguyen511074/
https://www.threads.net/@longnguyen511074
Bắt đầu từ facebook trước, đập vào mắt mình là 1 bio với dòng base64 encoded, biết là fake flag nhưng vẫn thích decode :>
**KCSC{Oh_shittt,_T0i_r4T_t14C}**
Dựa vào bài viết của anh, ta có thể thấy địa điểm diễn ra bữa tiệc là ở Vạn Hạnh Mall ( mình đi hoài nên nhìn phát biết luôn )
và kết hợp với 1 bài viết của anh trên threads, địa điểm chính xác là Hoàng Yến Buffet ở Vạn Hạnh Mall, Quận 10.
Tìm kiếm Hoàng Yến Buffet Vạn Hạnh Mall trên Google Maps,
đi đến mục "Đánh giá" và lọc những đánh giá gần đây nhất, mình thấy 1 đánh giá đến từ "Long Nguyễn" kèm theo 1 đường dẫn
https://mega.nz/file/AhtQwaiQ#55y8QB1Bz09APoBi-esxkWMrqiVXGJUNs-aMqdqCxcY
Đi theo đường link dẫn ta đến 1 đoạn video ngắn, nhìn bề ngoài thì có vẻ giống 1 video review ẩm thực, nhưng ở tầm giây thứ 20 thì xuất hiện 1 ảnh chụp màn hình kèm 1 đường link đến web telegram:
https://web.telegram.org/k/#@CGV_KCSC_bot
Tới đây lại thấy 1 chuỗi lạ, đem decode base64 tiếp thoai:
Lại là phờ lag pha ke -_-
Để ý 1 chút ở mục "Xem thông tin chi tiết", dựa vào chữ cái đầu và các mục bị ẩn, đáng chú ý là chỗ `.**`, dựa vào đó mình có thể nhận ra đây là invite link của discord với format là https://discord.gg/abcxyz
https://discord.gg/psGcaAgB
Đi theo đường link dẫn ta đến 1 server với cuộc hội thoại giữa anh Long và "nhân viên" CGV. Xem list thành viên của server mình thấy 1 member khả nghi với cái tên Flag1 đi kèm với 1 đường link dẫn tới 1 playlist spotify có tên Fl4g_Part1.
https://open.spotify.com/playlist/7f1BCeuGS5AQu9dHU6xPj6
Để ý kỹ thì sẽ thấy rằng, các chữ cái đầu của các bài hát trong playlist tạo thành flag format: KCSC{
Kết hợp tất cả chữ cái đầu trong play list lại, ta có được part 1 của flag:
***Part 1: KCSC{CHUC_MUNG_SINH_NHAT***
Quay trở lại với server discord, ta có được 1 tấm thiệp từ "nhân viên" CGV
và đường link trong bio của "nhân viên" dẫn ta đến github của zsteg, 1 công cụ steganography dùng để trích xuất những thông tin ẩn được nhúng trong hình ảnh, dựa vào đó ta có thể hiểu rằng sẽ dùng zsteg cho tấm thiệp này. Quăng tấm thiệp lên https://www.aperisolve.com/ và phần còn lại là lịch sử.
Ở vị trí **b1,rgb,lsb,xy**, ta có được đường dẫn tới X của a Long ( hay twitter )
https://x.com/LongNguyen54700
Trong bio twitter của a Long có 1 đường dẫn đến github của anh ấy
https://github.com/L0ng-nguY3n-470115
Quay lại lục lọi twitter thôi nào.
Dựa vào bài viết ở trên và repo "AES" của a Long, mình đoán được rằng a Long đã dùng thuật toán AES với chế độ CBC để mã hoá ingame của anh ấy.AES - CBC là phương pháp được thiết kế để cung cấp tính bảo mật và toàn vẹn cho dữ liệu truyền qua mạng. Phương thức AES này chia thông điệp thành các khối và thực hiện mã hóa từng khối bằng cách kết hợp với khối trước đó và một vector khởi tạo duy nhất (IV hay Initialization Vector). Việc chúng ta cần làm bây giờ là tìm IV, tìm key và ingame của anh Long sau khi được mã hoá (cipher text) để giải mã và tìm ra ingame của anh Long.
Xem xét 1 chút ở lịch sử commit ở trong repo "AES" của anh Long, ta có thể tìm được IV và key
**IV: 4b4353434b4353434b4353434b435343**
**Key: 48347070595f42495274685f44615959**
Thứ mình thiếu ở đây nữa là cipher text, làm sao đây ta. Lục lọi thêm 1 chút, ở lịch sử commit gần nhất, ta có được thêm 1 hint có vẻ là về cipher text
Tìm kiếm thêm ở twitter cho ta đoạn hội thoại sau giữa anh Long và anh Thợ Làm Bánh:
Hmmm có vẻ chuỗi kia là thứ chúng ta đang cần, vậy là ta đã có mọi thứ, IV, key, cipher text, quăng lên cyberchef và let it cook thoi :>
https://gchq.github.io/CyberChef/#recipe=AES_Decrypt(%7B'option':'Hex','string':'48347070595f42495274685f44615959'%7D,%7B'option':'Hex','string':'4b4353434b4353434b4353434b435343'%7D,'CBC','Hex','Raw',%7B'option':'Hex','string':''%7D,%7B'option':'Hex','string':''%7D)&input=OTAwZjBkMDc3ZWRjYTFiMzY0YWM1MTlkOTBiYzEzNDhkNThhMmQ2Y2EzMTk3MTJmNzlkNGI1NGQ1YmUyOTU1ZiA
và ta có được ingame của anh Long:
**Ingame: nonono#9800**
Dựa vào việc anh Long chơi TFT, mình dùng https://tactics.tools/player/vn để tìm thông tin về ingame này. Đi đến lịch sử đấu của anh Long, ta có thể thấy 3 ingame lạ ở top 6-7-8
Có thể thấy đây tiếp tục lại là chuỗi base64 encoded, copy các username lần lượt theo thứ hạng 6-7-8 và quăng lên cyberchef hoặc base64encode.org, ta có được part2 và cũng là part cuối của flag:
***Part 2: _KCSC<m41_D1nH<3333>_0x882024420288}***
Kết hợp cả 2 part lại và ta có được flag:
***KCSC{CHUC_MUNG_SINH_NHAT__KCSC<m41_D1nH<3333>_0x882024420288}***
Mình xin cảm ơn KCSC vì 1 challenge quá là hay ho và thú vị. Anyways, Happy Birthday KCSC :333
Sign in with Wallet
Connect another wallet