防守更聪明,而不是更难

0x01 前言

CyberDefenders 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。

0x02 题目简介

题目链接

L'espion

https://cyberdefenders.org/blueteam-ctf-challenges/73

解压密码

cyberdefenders.org

案情介绍

1
2
You have been tasked by a client whose network was compromised and brought offline to investigate the incident and determine the attacker's identity.Incident responders and digital forensic investigators are currently on the scene and have conducted a preliminary investigation. Their findings show that the attack originated from a single user account, probably, an insider.Investigate the incident, find the insider, and uncover the attack actions.
一位客户委托您调查事件并确定攻击者的身份,该客户的网络遭到破坏并脱机。事件响应人员和数字取证调查人员目前正在现场并进行了初步调查。他们的发现表明,攻击源自单个用户帐户,可能是内部人员。调查事件,找到内幕,并揭露攻击行动。

推荐工具

  1. Google Maps
  2. Google Image search 谷歌图片搜索
  3. sherlock

0x03 解题过程

0x03_1 File -> Github.txt,What is the API key the insider added to his GitHub repositories?(内部人员添加到他的 GitHub 存储库的 API 密钥是什么?)

解题

​ 下载的题目文件里存在一个Github.txt文件,打开发现了the insider的GitHub 存储库,进入github仓库发现Project-Build—-Custom-Login-Page/Login Page.js 文件存在我们想要的api密钥

image-20230413093625230

image-20230413094009746

答案

​ 他的 GitHub 存储库的 API 密钥是aJFRaLHjMXvYZgLPwiJkroYLGRkNBW

0x03_2 File -> Github.txt,What is the plaintext password the insider added to his GitHub repositories?内部人员添加到他的 GitHub 存储库的明文密码是什么?

解题

​ 同样是在Project-Build—-Custom-Login-Page/Login Page.js 文件里发现登录密码Password: UGljYXNzb0JhZ3VldHRlOTk=,但是通过base64进行加密,所以我们受用base64在线解密网站进行解密。

image-20230413094636087

image-20230413094801763

答案

​ 内部人员添加到他的 GitHub 存储库的明文密码是PicassoBaguette99

0x03_3 File -> Github.txt,What cryptocurrency mining tool did the insider use?知情人使用了什么加密货币挖矿工具?

解题

​ 在github仓库中发现一个为矿工的仓库,发现这是一个挖矿的工具,下拉发现使用的比特币的挖矿工具

image-20230413095134767

image-20230413095304152

image-20230413095315444

答案

​ 知情人使用的加密货币挖矿工具是BTC

0x03_4 What university did the insider go to?知情人上的是什么大学?

解题

​ 通过领英这个这个网站,去使用关键字限定的方法去查询(基于github上给出的这个人的信息去查询

image-20230413095748935

根据github我们可以用来限定的有:

  1. 姓名:Marseille
  2. 职位:Back end(后端开发工程师

使用领英进行检索

image-20230413101021777

image-20230413101051441

点击进入发现此人的大学信息

image-20230413101201399

  1. 答案

​ 知情人上的大学是Sorbonne Université

0x03_5 What gaming website the insider had an account on?内部人员在哪个游戏网站上有帐户?

解题

​ 在此人的领英自我介绍上说可以在steam上联系她

image-20230413101451046

答案

​ 内部人员在Steam游戏网站上有帐户

解题

​ 在Instagram 上搜索Émilie Marseille,发现存在账户,且头像与领英和Github上一样,所以可以基本确定是她image-20230413110622724

答案

     所以知情人的**Instagram** 个人资料的链接是**https://www.instagram.com/emarseille99/**

0x03_7 Where did the insider go on the holiday? (Country only)知情人假期去哪儿了? (仅限国家/地区)

解题

​ 通过检索ins上的旅游的图片,通过使用谷歌识图进行检索,我们发现知情人假期去新加坡旅游了。

image-20230413102126558

通过谷歌识图,我们发现这个是新加坡的滨海湾金沙酒店

image-20230413102343883

答案

​ 知情人假期去了Singapore

0x03_8 Where is the insider’s family live? (City only)知情人的家人住在哪里? (仅限城市)

解题

​ 通过检索知情人的ins发现一个回家的动态,我们通过检索上面的国旗发现是迪拜

image-20230413110127966

答案

​ 知情人的家人住在Dubai

0x03_9 File -> office.jpg: You have been provided with a picture of the building in which the company has an office. Which city is the company located in?您已收到一张公司办公大楼的照片。公司位于哪个城市?

解题

office.jpg

image-20230413103346551

​ 通过谷歌识图,对office.jpg进行检索发现,也可以对图片上的街道直接进行检索

image-20230413103145299

image-20230413103221471

答案

​ 公司位于的城市为Birmingham

0x03_10 File -> Webcam.png: With the intel, you have provided, our ground surveillance unit is now overlooking the person of interest’s suspected address. They saw them leaving their apartment and followed them to the airport. Their plane took off and has landed in another country.Our intelligence team spotted the target with this IP camera. Which state is this camera in?根据你提供的情报,我们的地面监视单位现在正在监视相关人员的可疑地址。他们看到他们离开公寓,就跟着他们去了机场。他们的飞机起飞并降落在另一个国家。我们的情报小组用这个 IP 摄像机发现了目标。这个相机处于什么州?

解题

Webcam.png为:

image-20230413110538596

在图片上我们发现了关键的字符串A View from the Dome,我们使用谷歌进行检索

image-20230413103840193

image-20230413104117092

从上面可知这是University of Notre Dame,我们接着使用维基百科查询这个学校的具体信息,找寻在哪个州,发现在Indiana

image-20230413104402003

答案

​ 这个相机处于Indiana