Skip to content

AgentX

Description

Write Up: Nathan
Créateur: xElessaway
Difficulté: Hard
Points: 500
Format du flag: 0xL4ugh{flag}

Enoncé

  • Français: Nous avons confié à notre nouvel agent une tâche difficile : protéger les informations importantes. Nous avons créé une situation simulée pour voir dans quelle mesure il peut cacher les données. Maintenant, il est parti dans un autre pays pour cette mission. Il nous a laissé un petit indice pour vous aider à l'attraper et à récupérer l'information secrète. Votre travail consiste à utiliser cet indice et à essayer différentes manières de vérifier si l'agent protège les données. Nous voulons savoir s'il est doué pour protéger des choses importantes.
  • English: We gave our new agent a tough job - keep important information safe. We made a pretend situation to see how well he can hide the data. Now, he's gone to another country for this mission. He left us a little hint to help you catch him and get back the secret info. Your job is to use this hint and try different ways to check if the agent is keeping the data safe. We want to find out if he's good at protecting important stuff.

Pièce(s) jointe(s):

Solution détaillée

La seule image mise a notre disposition est censée nous mettre sur la piste de l'agent. En examinant attentivement l'image, qui ne contient pas d'exif, on se rend compte que l'on peut zoomer dans une partie de l'image et que la qualité s'ajuste automatiquement, pour nous montrer ce qui semble être un billet de transport.

Plusieurs informations sont partiellement lisibles, mais les seules qui vont nous intéresser pour le challenge sont les initiales "JC" et la destination "FRA".
En se renseignant sur les billets à destination de "FRA" on découvre que "FRA" est le code IATA de l'aéroport de Francfort-sur-le-Main.

Pour la suite, il fallait deviner que l'agent a sûrement dormi dans un hôtel dans cette ville et qu'il a peut être laissé un avis. Un hint rendu accessible pendant le CTF a précisé cette information en précisant que c'était un "Motel". On se met donc en quête de trouver les avis des motels de Francfort. Pour se faire, on peut penser a Google Maps bien entendu, mais aussi a Booking et a Tripadvisor. Ici, c'est Tripadvisor qui va nous donner l'information, en regardant les derniers avis postés sur un certain "Motel One Frankfurt-Eastside" et pour lequel un monsieur nommé "Jacke Carimin" a posté un avis.

En passant sur son profil Tripadvisor, on trouve un lien vers son "about.me" où il répertorie plusieurs liens le concernant.

Les Facebook/Twitter/Instagram ne menant à rien, il nous reste 4 informations sur lesquelles nous pouvons pivoter:
- son username Tripadvisor "JackeCarimin" - son nom/prénom "Jacke Carimin" - son numéro de téléphone - son email On découvre avec Epieos que son email n'existe probablement pas, ou ne possède aucune information intéressante, et on se doute que le numéro de téléphone est faux lui aussi. Il reste donc son username et son nom/prénom sur lesquels nous allons faire des recherches.
Après de longues recherches sur Google/Bing/Yandex, sur des sites comme Whatsmynape.app, sur les réseaux sociaux etc, on en vient à une recherche sur Télégram, qui s'avère retourner un résultat pour "Jacke Carimin".

Cela semble être un canal de partage de leaks, dans lequel nous pouvons retrouver plusieurs posts concernant plusieurs entités, dont un post où l'agent est mentionné, et qui nous envoie vers un lien en .onion

Une fonction JavaScript s'exécute lors de l'appui sur le bouton vert, afin de révéler le flag.

FLAG: 0xL4ugh{1F_Y0u_C4nT..........}

Retex

La toute première partie d'identification de la ville ne s'est pas bien passée car j'ai considéré que "FRA" était pour "France" et non pour une ville, je n'ai donc pas pu passer à l'étape d'après. Il s'est avéré qu'uniquement 2 équipes ont flag ce challenge et beaucoup se sont plain que le challenge était trop "guessy" notamment pour "deviner" que l'agent a écrit un avis sur un Motel dans la ville en question. La partie de recherche sur Télégram reste cependant très intéressante car assez peu commune.

Lien(s) utile(s)

  • https://www.torproject.org/