ICO und Sicherheit: Überprüfung des Competitive Intelligence-Wettbewerbs bei Positive Hack Days

    Bild

    Ein paar Wochen vor dem Positive Hack Days Forum wurde der traditionelle Competitive Intelligence-Wettbewerb veranstaltet. In diesem Jahr haben wir uns auf die Sicherheitsüberprüfung und Cyberbedrohungen von ICO verlassen , in der wir die gesamte externe Infrastruktur einschließlich eines Teams von Organisatoren, Entwicklern und Beratern analysieren mussten, um Risiken zu reduzieren. Wir haben unseren Wettbewerb auf der Grundlage realer Projekte erstellt.

    Alle Aufgaben konzentrierten sich auf die fiktive kleine Menge von Notsopositive, einer typischen ICO mit wenigen Mitarbeitern. Während des Wettbewerbs erfuhren die Teilnehmer viele versteckte Informationen über die Gründer und Mitarbeiter des Unternehmens, ihre Angehörigen und Freunde. Zunächst mussten die Teilnehmer eine große Anzahl von Online-Diensten und sozialen Netzwerken in ihrem Arsenal haben, um ihre Besonderheiten zu kennen und nutzen zu können. Darüber hinaus war es notwendig, mit den verfügbaren Informationen zu arbeiten, um die erforderlichen Daten über Personen zu finden und mit ihrer Hilfe neue Informationen zu erhalten.

    Die Aufgaben wurden so verteilt, dass sowohl Veteranen als auch Neuankömmlinge langweilig werden und jeder mindestens eine Flagge hinterlassen würde. Viele Aufgaben bildeten eine eigentümliche Sequenz und bildeten eine ganze Handlung. Es gab auch Aufgaben, die nichtlinear ausgeführt wurden. Daher mussten die Teilnehmer Informationen zu jedem einzelnen Schritt speichern.

    Um die erste Einführungsaufgabe zu lösen, von der der Rest

    Bild

    Bild

    ausging, musste Google verwendet werden: Alle Aufgaben umfassten acht Notsopositive-Mitarbeiter des Executive Teams (Executive Team) und des Entwicklungsteams.

    Bild

    Bild

    Nach sorgfältiger Untersuchung der Website stießen die Teilnehmer ab und zu auf verschiedene "Einstiegspunkte", die zur Lösung führten. Weitere Details zu jeder Aufgabe.

    Adam Wallace, CMO


    Fragen im Adam Wallace-Thread:

    • Adam Wallace-Benutzername?
    • Wofür hat Adams Sohn Allergien?
    • Was ist Adams Hausnummer?
    • Wo studiert Adams Sohn?
    • CMOs Lieblingsbarname?

    Sie mussten also auf der Whitepaper-Website stolpern und in ein beliebiges Online- System hochladen, um META-Daten (z. B. PDFCandy ) zu lesen, oder es in Word öffnen, wo Sie den Spitznamen CMO (auch bekannt als Adam Wallace, sumcoinz) finden.

    Fans, die alles mit ihren Händen machen, können die PDF-Datei in ihrem bevorzugten HEX-Editor öffnen und Adams Spitznamen alleine erhalten. Um die Kette fortzusetzen , musste

    Bild

    ein FTP-Server mit Knock Subdomain Scanner gefunden werden. Zu diesem Zweck konnte man die Dienstprogramme dnsmap , sublist3r und sublazerwlst verwenden .

    Bild

    Es gab einen anderen Weg: Ermitteln Sie die tatsächliche IP-Adresse der Website notsopositive.online, versteckt hinter CloudFlare, und scannen Sie das gesamte Subnetz auf der Suche nach dem 21. Port. Die Lösung dieser Aufgabe ist individuell und hängt von der Erfahrung und den Fähigkeiten jedes Teilnehmers ab.

    Die empfangenen IP-Adressen des FTP-Servers und des Login reichten aus, um das Passwort zu überlisten. Dafür musste das legendäre Hilfsprogramm THC-Hydra eingesetzt werden . Es klingt einfach, aber die Teilnehmer mussten das gesamte Wörterbuch der gefundenen Spitznamen der ICO-Organisatoren verwenden. In den FTP-Protokollen sahen wir übrigens auch Versuche, Root-, Admin- und Administratorbenutzer anzugreifen.

    Nachdem er das Login von Adam (sumcoinz) gelernt hatte, musste das Passwort laut dem bekanntesten Wörterbuch unter den CTF-Spielern gelesen werden .

    Während des Wettbewerbs hatten einige Teilnehmer aufgrund der begrenzten Anzahl von Clients Probleme, eine Verbindung zu FTP herzustellen, der Konfigurationsfehler wurde jedoch später korrigiert. Wir haben das Passwort des FTP-Servers in ein einfacheres geändert, um die Teilnehmer für die Erledigung der Aufgabe zu vereinfachen und zu beschleunigen.

    Bild

    Der Angriff dauert in der Regel nur wenige Sekunden. Als Nächstes mussten Sie auf bequeme Weise auf FTP zugreifen und einen für einen Personal Server typischen Dateispeicher finden.

    Bild

    Neben der Software gab es neugierige Fotos, die mehrere Flaggen auf einmal enthielten.

    Bild

    Adams stumpfe Handschrift gibt den Namen, den Studienort, die Schuladresse und die Wohnadresse seines Sohnes an. Eine andere Flagge ist das Allergen von Sohn Adam. Auf demselben Server konnte eine interessante Datei namens screenshot.jpg gefunden werden:

    Bild

    Der Screenshot der WhatsApp-Korrespondenz, vermutlich Adam und sein Freund. In der Nachricht erfährt Adams Freund, wo sich die Bar gerade befindet, in der sich Adam zum Zeitpunkt der Kommunikation aufhält. Mit einem beliebigen Service mit Spokane-Stadtplänen konnte der Teilnehmer die beschriebene Route „durchlaufen“ und über diese sehr beliebte CMO-Notsopositive-Bar namens „7th Rail“ stolpern.

    Bild

    Zum Ende des Wettbewerbs hatten nur 20 Teilnehmer alle Aufgaben aus der Storyline von Adam Wallace erfolgreich abgeschlossen und erreichten das beschriebene Stadium.

    Ryan Evans, CTO


    Fragen an die Niederlassung Ryan Evans:

    • Github-Benutzername?
    • E-Mail-Adresse des Unternehmens
    • E-Mail-Adresse von Ryans Frau?
    • Ryans Frau Benutzername
    • Ryans Ehefrau?
    • Ryans Ehefrau Freunds Nachname?
    • Ryans Frau Arbeitsort (Firmenname)?

    Ryan Evans - Technischer Direktor des ICO-Projekts. Mit dem Dienstprogramm für Dateien und Verzeichnisse, wie suchen DIRB oder Wörterbuch fuzz.txt könnte grundsätzlich notsopositive.online Website .git Verzeichnis, in dem Sie die gesamten Quellcode aus dem Repository zu bekommen. Als Nächstes mussten Sie die Quelle mithilfe dieser Methode abrufen. Verwenden Sie GitRipper , geben Sie die tatsächliche IP-Adresse der Site als Ziel an und extrahieren Sie die Konfigurationsdateien des Git-Versionskontrollsystems. Sie könnten /.git/config mit einem regulären Browser erhalten.

    Bild

    Bild

    In der Konfigurationsdatei gab es einen Link zu Ryans GitHub-Konto ( github.com/ryanevans0082 ), wo Sie auf seinen Jabber-Account stoßen könnten:

    Bild

    Bild

    Das Schreiben hatte keinen Sinn, aber die Suche mit Google war eine gute Idee. Die erste Flagge wurde übergeben, dann musste das Speaker Deck-Konto und die einzige heruntergeladene Präsentation "Initial Coin Offering" in der Google-Ausgabe gefunden werden.

    Bild

    Die Teilnehmer erwarteten die Auszeichnung und schrien Tränen aus der Präsentation - auf der letzten Folie wurde die Unternehmens-E-Mail von Ryan veröffentlicht.

    Bild

    In diesem Fall war es sinnlos, das Passwort aus der E-Mail zu lesen, aber es könnte auf eine geheime Frage zurückgesetzt werden:

    Bild

    Großmutter, ja :) Die Frage ist nicht die zuverlässigste. Bei echten Projekten haben wir uns oft mit ähnlichen Projekten getroffen. Die Antwort auf diese Fragen finden Sie in der Regel in sozialen Netzwerken - Odnoklassniki, VKontakte und Twitter. Der nächste Schritt ist die Suche nach Konten:

    Bild

    Auf Twitter erschien auf Anfrage von "Ryan Evans" ein bekannter Bart. Übrigens war es möglich, mit Yandex ein Konto zu finden.

    Bild

    Im Twitter-Feed wurde der Geburtstag meiner Großmutter am 20. April erwähnt.

    Bild

    Das genaue Alter der Großmutter könnte anhand der Zahl berechnet werden, die von der Sahne auf die Torte geschrieben wird.

    Bild

    Ein wenig rechnen und jetzt wissen wir das genaue Geburtsdatum - 20. April 1946. Dann stellt sich eine vernünftige Frage - in welchem ​​Format könnte Ryan das Datum schreiben? Dies konnte durch einen Bildlauf durch Twitter festgestellt werden: Es gab einen Beitrag über ein Auto, einen grauen Kia Carens, der am 1. Oktober 2014 gekauft wurde. Das Datum hat das Format TT.MM.JJJJ. Vielleicht hat Ryan die Antwort auf die geheime Frage in demselben Format geschrieben.

    Bild

    Nicht alle OSINT-Liebhaber waren gleichzeitig Autofahrer, daher hatten einige Teilnehmer Probleme, die Marke und das Modell von Adams Auto zu bestimmen. In Fällen, in denen die Suche nach Bildern bei Google oder das Fahrerlebnis nicht helfen, kann Yandex helfen. Er hat die Marke und das Modell von Kia Carens genau identifiziert.

    Bild

    Flag CTO's Automodell wird übergeben. Als nächstes musste das Geburtsdatum der Großmutter im richtigen Format (20.04.1946) als Antwort auf die geheime Frage von Yandex.Post ersetzt werden.

    Nachdem Sie ein neues Passwort eingegeben haben (der nächste Teilnehmer hat es auf jeden Fall geändert), und jetzt haben wir die Mailbox von Ryan erreicht. In den gesendeten Nachrichten befand sich ein Brief an seine Frau, in dem der Teilnehmer seine E-Mail finden konnte evansmegan02282@yahoo.com.

    Bild

    Von der Adresse aus war es leicht, den Namen zu berechnen - Megan, und eine Suche in sozialen Netzwerken führte zu einer VKontakte-Seite:

    Bild

    Suchen Sie nach Megan VKontakte, können Sie auch das Passwort-Wiederherstellungsformular verwenden. Dazu müssen Sie eine Kennwortwiederherstellung anfordern, die E-Mail-Adresse und den Nachnamen Evans angeben:

    Bild

    Auf der Seite finden Sie eine Vielzahl von Informationen:

    • Heimatstadt,
    • universität
    • Arbeitsort (in Abonnements),
    • Ruheplatz (GPS-Tags in EXIF-Fotos),
    • mehrere fotos, um das aussehen zu bestimmen
    • ungefähre Interessen.
    • Mehrere Flaggen über Megan wurden auf einmal geliefert.

    Wenn man sich an alles Neue von Megan erinnert, dachte der Teilnehmer wahrscheinlich: "Warum hat Megan in der E-Mail-Korrespondenz nie auf das Foto mit der Katze geantwortet?". In der Tat ist hier etwas unrein.

    Nur wenige ahnten den Weg, um die Entscheidung fortzusetzen, aber wer es vermutete, kam unter den Top 10 der Teilnehmer heraus.

    Installieren Sie also Tinder und emulieren Sie Geolocation mit Anwendungen wie Fake GPS - oder installieren Sie Tinder auf Bluestacks, wo bereits eine ähnliche Funktion vorhanden ist.

    Bild

    Die Megan (Miami, Florida) Ruhestätte wurde anhand der Geotags auf ihren Fotos von der VKontakte-Seite gefunden. Mit Hilfe von Fake GPS musste man nach Miami, Florida "fliegen", die Zielgruppe unter den Parametern Megan (bereits bekanntes Alter und exakter Ort aus dem Profil von VKontakte) festlegen und Mädchen streichen. Nach 5–10 schönen Damen erschien Megan Evans, die „einzige“. Nur ihr Vor- und Nachname in Tinder erwies sich als anders, und um genau zu sein, dass es sie war, halfen die Fotos von VKontakte.

    Bild

    Um sicherzustellen, dass dies kein Fehler ist, aber die Megan, die wir brauchen, war es erforderlich, den Ort des Studiums und die Heimatstadt zu überprüfen, die automatisch von Facebook importiert werden, wenn eine Verbindung zum Konto hergestellt wird. Die Arbeitsstätte von Flag CTOs Frau ist bestanden.

    Dann wurde die Suche nach der zweiten "Schatten" -Personal von Megan fortgesetzt. Feature Tinder - Der Arbeitsplatz wird automatisch aus dem Profil von Facebook ersetzt. Daher war es sofort möglich, die Seite Scamsopositive auf Facebook zu finden.

    Bild

    Wenn Sie die "eifersüchtige Studentin" -Nachrichtenmethode verwenden, die auch als "Durchbruch-Likes" bekannt ist, können Sie die Joanne Brandt-Seite finden und den letzten Namen des einzigen Freundes dieser Seite, Rossi, als letzte Flagge übergeben.

    Bild

    Die verbleibenden Aufgaben waren von geringerer Komplexität und wurden zu kleinen Quests mit relativ billigen Flaggen kombiniert. Die Lösung erfordert möglicherweise spezielle Kenntnisse über den Betrieb einiger Dienste. Bei der Ermittlung des Mobiltelefonmodells des Front-End-Entwicklers Alexey Nitshchikov ging man beispielsweise davon aus, dass dem Teilnehmer die Möglichkeit bekannt war, das Modell eines bevorzugten Gadgets im Profil im Forum w3bsit3-dns.com anzugeben.

    Also mussten wir zunächst Alexei's Frontend-Anbieter in sozialen Netzwerken finden.

    Bild

    Die Aufforderung an Facebook wurde mehrfach ausgestellt, aber der IT-Spezialist ist nur einer von ihnen. Die subtile Verbindung zwischen der Beschreibung auf der Website des Unternehmens und dem Facebook-Konto war ein Themen-Avatar, der die berufliche Orientierung unseres Opfers aufzeigte.

    Bild

    Die eindeutige Adresse der Seite (m0arc0de) gab uns einen häufig verwendeten Spitznamen. Dann folgte die Suche nach w3bsit3-dns.com oder xda-Entwicklern. Durch Nick war es möglich, den gleichen Frontend-Entwickler von Notsopositive zu finden. Im Feld "Über mich" hat Alexey alle Informationen geschrieben, die wir über uns selbst benötigen. So können wir eindeutig feststellen, dass dies genau das ist, was wir brauchen. Fahne mit einem Telefonmodell übergeben.

    Bild

    Bei der Suche nach einem unbekannten Hacker (Benutzername von Evil Guy in Anonymous-Freelance-Service) wurde davon ausgegangen, dass der Teilnehmer über das neue Portal zur anonymen Veröffentlichung verschiedener Dienste und kommerzieller Angebote namens Yukon informiert würde. Nach einem kurzen Durchblättern des Abschnitts „Arbeiten“ konnten Sie eine neugierige Anzeige finden, die direkt auf die untersuchte Website verweist. In den Kontakten wurde für Feedback angegeben und die Postanschrift, in der der Spitzname des "bösen" Mannes stand.

    Bild

    Wie kann man denen sein, die noch nicht von Yukon gehört haben? Hier kommen die einfachsten Google-Trottel zur Rettung und die Antwort ist oft in der Frage selbst versteckt.

    Bild

    Das allererste Ergebnis in der Ausgabe - wir brauchen die Site. Eine Suche nach dem Spitznamen ergab, dass d34dl0ck ein sehr verbreiteter Spitzname ist. Es gibt also so viele Leute, die mit diesem Spitznamen in der Ausgabe verbunden sind. Es war möglich, das benötigte d34dl0ck anhand der Ausscheidungsmethode zu identifizieren, indem man jede davon prüfte.

    Bild

    Durch die Eingrenzung der Suche auf die E-Mail-Adresse haben wir ein eindeutig passendes Ergebnis erhalten.

    Bild

    Eine Nachricht im Forum ergab, dass unser Kunde von Schattendiensten die Fähigkeit besitzt, Malware zu entwickeln.

    Bild

    Bild

    Welche Art von Malware hat er geschrieben? Das Archiv mit dem versprochenen Quellcode war die ausführbare Datei. Das Ziel-.NET 3.5-Framework verweist auf die wahrscheinlichste Entwicklungssprache - C #. Eine Websuche nach „Hidden Tear“ zeigte ebenfalls auf C #. Aber was genau hat sich im Code geändert? Hier hilft der .NET Reflector-Dekompilierer. Beachten Sie alle Vorsichtsmaßnahmen, wenn Sie mit bösartigem Code arbeiten. Sie müssen die ausführbare Datei in den Decompiler laden. NET Reflector leistet hervorragende Arbeit beim Dekompilieren einer Anwendung. GenEthAddress wurde in der Liste der Funktionen gefunden, die in einem Formular verwendet werden. Der Name stimmt am besten mit der Frage in der Brieftaschen-Aufgabe des Bösen überein.

    Bild

    Ein kurzer Blick auf den dekompilierten Code machte es möglich, den Algorithmus des "Zusammenbaus" der Adresse einer vierzeiligen Geldbörse zu verstehen. Gleiche Strings werden zu einem großen String verkettet und dann in ein Array von Zeichen umgewandelt. Das resultierende Array ist umgekehrt. Die Funktion GenEthAddress wird von der Funktion messageCreator aufgerufen, und die endgültige Version der Wallet-Nummer wird darin erstellt. Vor dem Anfang des Arrays wird '0x' eingesetzt.

    Bild

    Eine einfachere Lösungsmethode, bei der ein virtueller Computer betroffen ist, ist das Starten der ausführbaren Datei eines Virus. Die Dateiverschlüsselungsnachricht zeigt die ETH-Wallet-Adresse an.

    Bild

    Die hinter CloudFlare verborgene IP-Adresse des Webservers notsopositive.online war ebenfalls auf verschiedene Weise möglich. Jede Aufgabe wurde gemäß der von den Organisatoren geplanten Route festgelegt, die Teilnehmer fanden jedoch häufig alternative Wege.

    Oben auf der ICO-Website finden Sie einen Link zur Abonnementseite für Unternehmensnachrichten. Um die IP-Adresse von CloudFlare herauszufinden, können Sie eine E-Mail vom Server an Ihre E-Mail senden und die Kopfzeilen anzeigen. Es gibt jedoch noch andere .

    Bild

    Gehen Sie zum Formular, wir geben darin einen Namen und Ihre E-Mail-Adresse an.

    Bild

    In dem Brief, der kam, war es notwendig, die Service-Header zu öffnen und Folgendes zu erhalten:

    Bild

    Als Flag 178.170.172.110 übergeben.

    Ein Mitglied mit dem Spitznamen @ AlexPavlov60 hat einen alternativen Weg gefunden, um mithilfe von Shodan eine versteckte IP-Adresse zu finden. Wenn der Teilnehmer während der Passage bereits die IP-Adresse des FTP-Servers kannte, empfiehlt es sich, das gesamte Subnetz auf das Vorhandensein anderer Notsopositive-Server zu überprüfen.

    Auf Anfrage: netto: 178.170.172.0/24 produkt: »Apache httpd"Shodan gibt mehrere Server auf einmal zurück, darunter einen mit einem bekannten DNS.

    Bild

    Eine weitere Schatten-Suchmaschine, die uns helfen kann, Censys, wurde vom Teilnehmer @rdafhaisufyhiwufiwhfiuhsaifhsaif vorgeschlagen.

    Auf Anfrage: https://censys.io/ipv4?q=80.http.get.title%3ANotSoPositive, gibt es auch die gewünschte Adresse zurück.

    Bild

    Natürlich gibt es fertige Lösungen zum Extrahieren der hinter CloudFlare versteckten IP-Adresse. Ein Blablablashenka- Mitglied hat das Hatcloud- Dienstprogramm verwendet , das eine benachbarte Adresse aus dem Subnetz findet. Es blieb nur noch die Suche nach den Webservern.

    Es stellte sich als ziemlich einfach heraus, eine andere Domäne zu finden, auf die diese IP-Adresse verweist: Es stellte sich heraus, dass der PTR-Datensatz alle Dienste anzeigt, für die Sie Informationen zu IP erhalten können, sodass die Kosten für die Aufgabe nicht der Komplexität entsprachen. Die Antwort lautet scamsopositive.com.

    James Taylor, Geschäftsführer


    Fragen in diesem Thread:

    • CEO Automodell
    • 'Finden Sie den Spitznamen des CEO (wir wissen, dass James Cottone heißt)
    • Facebook: Finden Sie den Sohn des CEO
    • Der CEO ist verbunden.

    Auf der ICO-Seite wurde Telegram erwähnt, der Link führte jedoch nicht weiter. Es war ein kleiner Hinweis, nach einem Kanal zu suchen oder zu chatten. NOTSOPOSITIVE:

    Bild

    Dort konnte man einen CEO-Account mit einem Avatar und seinem Auto finden.

    Bild

    Bei der Suche nach Bildern bei Google war es leicht, das Auto von James auf dem Foto zu finden - dies ist ein Toyota Cruiser.

    Bild

    Als nächstes musste der Spitzname des CEO gefunden werden, der nicht in Telegram enthalten war. Es war jedoch bekannt, dass einer seiner Freunde James Cottone hieß. Eine der von uns vorgeschlagenen Lösungen besteht darin, den Passwortwiederherstellungsdienst auf Facebook zu verwenden, wo Sie den Namen eines Freundes eingeben können, um nach einem Konto zu suchen:

    Bild

    Tatsächlich ermöglichen viele Dienste auf diese Weise herauszufinden, ob eine bestimmte E-Mail- oder Telefonnummer mit dem Dienst verbunden ist. Nach der Eingabe des Vor- und Nachnamens eines Freundes erscheint eine Warnmeldung, dass der Zugangscode an das Postamt gesendet wird:

    Bild

    Es ist nicht schwer zu erraten, dass die Mail taylor@notsopositive.online lautet. Eine der Optionen, die der Teilnehmer vorschlägt, ist die Nutzung des Dienstes anymailfinder.com, auf dem die E-Mail-Adressen einiger Mitarbeiter sofort angezeigt werden: Wenn Sie die E-

    Bild

    Mail kennen, können Sie den Wiederherstellungsprozess erneut durchlaufen und sehen, wie sein Avatar aussieht:

    Bild

    Und dann die Seite finden und Spitzname:

    Bild

    Um einen Sohn zu finden, war es notwendig, die Facebook-Funktion zu verwenden: Er hat die Möglichkeit zu sehen, welche Publikationen dem Benutzer gefallen haben. Das alles kann man bei diesem Dienst sehen.. Nach den Vorlieben von James wurden die Profile seiner Frau und seines Sohnes offenbart.

    Bild

    Bild

    Auf der Seite des Sohnes - sein Login auf Tvich (br4yl0r), gab es jedoch nichts. Auch in den Suchmaschinen fast nichts. Wenn Profilseiten nicht indiziert werden, ist es in solchen Fällen nützlich, Dienstprogramme wie namechk.com zu verwenden, die die Verwendung von Kurznamen und Domänennamen für verschiedene Webdienste anzeigen. So war es möglich, ein Profil in Steam und daraus in GitHub - STKLRZSQUAD zu finden. Auch hier war es notwendig, die Besonderheiten des Dienstes zu kennen und zu sehen, was Bradley auf den Punkt gebracht hat. Finden Sie als nächstes diesen Bytecode:

    0x606060405234801561001057600080fd5b5061013d806100206000396000f30060806040526004
    3610610041576000357c010000000000000000000000000000000000000000000000000000000090046
    3ffffffff16806338cc48311461009e575b737527f9ac752aaddbb54432d288f9a89191f7954f73fffff
    fffffffffffffffffffffffffffffffffff166108fc349081150290604051600060405180830381858888
    f1935050505015801561009b573d6000803e3d6000fd5b50005b3480156100aa57600080fd5b506100b36
    100f5565b604051808273ffffffffffffffffffffffffffffffffffffffff1673fffffffffffffffffffff
    fffffffffffffffffff16815260200191505060405180910390f35b6000737527f9ac752aaddbb54432d28
    8f9a89191f7954f9050905600a165627a7a72305820a369acc2650e24d84edd29c97cee2db1f5caada8315
    81fa2482a002b87404aba0029

    Auf der Suche nach den Kopfzeilen stellten wir fest, dass dies ein intelligenter Vertrags-Bytecode ist:

    Bild

    Als nächstes mussten wir das Dienstprogramm verwenden, um es beispielsweise hier in Opcode zu konvertieren . Im Inneren finden Sie eine bereits bekannte Brieftasche aus einer anderen Aufgabe:

    Bild

    Hat der Sohn des CEO einen Angriff auf die ICO seines Vaters angeordnet?

    Rajesh Bishop, Systemadministrator


    Fragen in diesem Thread:

    • Finden Sie die persönliche Website Ihres Systemadministrators heraus.
    • Versuchen Sie, die persönliche E-Mail von sysadmin zu finden
    • Was ist die beliebteste Biermarke von sysadmin?
    • Wo Sysadmin vor kurzem Bier getrunken hat

    Wie üblich war es notwendig, mit typischen Intelligenz zu beginnen, um die Domäne mail.notsopositive.online zu finden, in der nmap verwendet wurde, um ein selbstsigniertes Zertifikat zu finden, das für eine andere Domäne gültig war:

    Bild

    Dann wurde eine elektronische Abfrage über DNS bishopshomepage.win durchgeführt Adresse:

    Bild

    Dann beantworten Sie die Frage zu Ihrem Lieblingsbier aus Rajesh. Viele Bierliebhaber kennen ein soziales Netzwerk wie Untappd (dies ist in der Suchanfrage "beer social network" zu finden). Eine der Optionen war wie immer, andere Suchmaschinen zu verwenden:

    Bild

    Als Nächstes ist es bereits einfacher: Um ein Sysadmin-Profil zu finden, gibt es ein einzelnes Foto mit einem Hashtag.

    Bild

    Es gibt jedoch keine Hashtags in diesem sozialen Netzwerk, was zu der Idee hätte führen können, dass Sie nach anderen suchen müssen: VKontakte, Facebook, Twitter und Instagram. Im letzten und Sie konnten ein Foto mit einem Geotag finden:

    Bild

    Hauptsitz NOTSOPOSITIV


    Die Suche nach dem Hauptsitz forderte erneut, dass die Teilnehmer sich bemühen und alle sozialen Netzwerke ausgraben sollten. Die Antwort war auf LinkedIn:

    Bild

    Mark Fox, CSO


    Um zu verstehen, wo der Wettbewerb mit CSO beginnt, musste fuzz.txt erneut verwendet werden und die .DS_Store-Datei im Root-Webverzeichnis gefunden werden, die macOS für sich reserviert. Nachdem Sie es mit dem Online-Dienstprogramm https://labs.internetwache.org/ds_store/ entschlüsselt haben oder indem Sie die Binärdatei anzeigen, können Sie die folgenden Zeilen finden:

    Bild

    An der Adresse befand sich tatsächlich ein Foto einer Person. Darüber hinaus eine der Funktionen von Faceboock: Beim Speichern einer Datei war der zweite numerische Wert die Foto-ID. So war es möglich, ein Profil zu finden:

    Bild

    Im Profil und in der Unternehmensadresse der Marke:mmmmmmmmfox@notsopositive.online

    Ergebnisse


    In diesem Jahr nahmen mehr als 500 Personen teil, und fast 300 Menschen bewältigten mindestens eine Aufgabe: Noyer_1k wurde erneut der Gewinner , dessen Bemühungen mit intelligenten Apple Watch-Uhren, Einladungen zum Forum und Mitbringseln der Organisatoren belohnt wurden. Der zweite Platz, die Power Bank , eine Einladung zum Forum und Souvenirs brachte Kaimi0 . Platz drei, das Buch Open Source Intelligence Techniques: Ressourcen für die Suche und Analyse von Online-Informationen, Einladungen und Souvenirs nahmen empty_jack . Endgültige Ergebnistabelle:

    #SpitznamePunkte
    1Noyer_1k816
    2Kaimi0816
    3empty_jack816
    4Antxak786
    5V88005553535661
    6jerh17611
    7shsilvs556
    8ein andererbenutzername526
    9trace_rt491
    10Schattenritter481

    Glückwunsch an die Gewinner!

    Analyse früherer Wettbewerbe:



    Jetzt auch beliebt: