Cyberdefenders蓝队-溯源-L'espion
2023-3-7 08:33:7 Author: 安全孺子牛(查看原文) 阅读量:68 收藏

1、题目简介

1.1 背景介绍

一位客户委托您调查事件并确定攻击者的身份,该客户的网络遭到破坏并脱机。

事件响应人员和数字取证调查人员目前正在现场并进行了初步调查。他们的发现表明,攻击源自单个用户帐户,可能是内部人员。

调查事件,找到内幕,并揭露攻击行动

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/73

2、题目解析

2.1 内部人员的 GitHub 存储库的 API 密钥是什么(Github.txt)?

打开文件后发现GitHub的地址如下

查看他的GitHub仓库,发现只有Project-Build---Custom-Login-Page仓库属于自有仓库,其他均为fork其他仓库。在该仓库的登录页面js脚本中发现API KEY

2.2 内部人员的 GitHub 存储库的明文密码是什么?(Github.txt)

在Login Page.js中查看发现存在密码内容,根据提示为base64编码,解码后内容为:PicassoBaguette99

2.3 内部人员用的是什么加密货币挖矿工具?(Github.txt)

查看GitHub仓库地址,发现fork了一个xmrig的挖矿

2.4 内部人员上的是什么大学?

通过谷歌图片搜索查找,发现在领英站点有相关信息

教育经历为Sorbonne Université

2.5 内部人员在哪个游戏网站上有帐户

根据开源信息收集站点搜索发现有游戏账号

https://whatsmyname.app/

根据网页链接提示为Steam

2.6 内部人员 Instagram 个人资料的链接是什么

通过关键字搜索intext:EMarseille99 site:www.instagram.com

2.7 内部人员假期去哪儿了?(仅限国家/地区)

根据历史记录发现度假的图片

基于以图搜图的方式查看该位置在新加坡

2.8 知情人的家人住在哪里?(仅限城市)

根据2张图片显示在有摩天大楼和沙漠地带,并根据旗帜判断为迪拜的哈利法塔

2.9 您已获得公司办公大楼的图片,公司位于哪个城市?(office.jpg)

根据以图搜图的方式,提示位置在伯明翰新街站

2.10 根据你提供的情报,我们的地面监视单位现在正在监视相关人员的可疑地址。他们看到他们离开公寓,就跟着他们去了机场。他们的飞机起飞并降落在另一个国家。我们的情报小组用这个 IP 摄像机发现了目标。这个相机处于什么状态(Webcam.png)?

通过查看摄像头信息,该摄像头为网络在线摄像头,通过关键字搜索earthcam dome aerial view,查看到相似的图片内容,根据摄像头位置显示University of Notre Dame Camera.


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDI0NTM2Nw==&mid=2247489792&idx=1&sn=2e11a5221eb12f9f979dd86ff877dd15&chksm=ea6dcb18dd1a420e87e3fa68136baaddc4437783b4131ebc232f7fc828b5ca4db9c96ee620dc#rd
如有侵权请联系:admin#unsafe.sh