En este reto practicaremos mediante técnicas Open-Source Intelligence (OSINT) la extracción y el análisis de datos públicos para obtener información significativa para investigar amenazas externas.
Sin mas preámbulos comenzamos el reto
#1 Respuesta: NAMECHEAP
Who is the Registrar for jameskainth.com?
Obtención de la evidencia
Buscamos el dominio en https://whois.domaintools.com/
#2 Respuesta: TimeWarnerCable
You get a phone call from this number: 855-707-7328, they were previously known by another name? (No spaces between words)
Obtención de la evidencia:
Buscando en google encontramos el siguiente enlace: https://www.callercenter.com/855-707-7328.html el cual parece ser numero de la lineal de soporte de Spectrum/Time Warner
Buscamos por el antiguo nombre de: «Spectrum» y comprobamos que se llamaba «Time Warner Cable»
#3 Respuesta: 539544323
What is the Zoom meeting id of the British Prime Ministers Cabinet Meeting?
Obtención de evidencias:
Buscamos en Google: «Zoom British meeting Ministers Cabinet Meeting» y encontramos varias noticias en donde indican que Boris Johnson mediante Twitter expuso el ID de la reunión.
Mediante Dorks buscamos en twitter
El primer enlace que nos muestra es una reunión mediante Zoom que podemos obtener el ID en la esquina superior izquierda.
Query
site:https://twitter.com/ intitle:boris johnson intext:digital cabinetMas información sobre Google Dorks
#4 Respuesta: 82,5%
What Percentage of full-time degree-seeking freshmen from the fall of 2018 re-enrolled to Champlain in the fall of 2019?
Obtención de evidencias:
Buscamos en Google: «Full-time degree-seeking freshmen re-enrolled to Champlain»
En la primera pagina vemos que el ratio es de 82%, pero como podemos ver en la pregunta es necesario poner un decimal. Podríamos ir probando de 82.1 al 82.9 pero creo que el cometido de esta pregunta es intentarlo sacarlo mediante técnicas de OSINT
Seguimos con nuestra busqueda : «Full-time degree-seeking freshmen re-enrolled to Champlain» en google y unas cuantas paginas mas abajo encontramos el siguiente dato
Como podemos ver estos datos sin de 2020 y a nosotros nos están pidiendo los datos de 2019 por lo tanto vamos a emplear la web de https://archive.org/
Si nos vamos al 2019 encontramos un snapshot el 13 de Noviembre
Como podemos ver en la foto a fecha del 13 de noviembre de 2019 aun nos reflejaba los datos de 2018. Por lo tanto tenemos que revisar otras fechas hasta obtener los datos de 2019.
Llegamos hasta 07 de Marzo de 2020 el cual nos muestra los datos de 2019.
#5 Respuesta: c96ee03c4043c366c6f573bb1d194dec8f4c0c81150c60d310bc59d9e17a6906
Champlain College Has A Public Excel Sheet Listing Addresses Of Campus Locations Available on The Internet, what’s the SHA256 hash of the excel file?
Obtención de evidencias:
Nuevamente empleamos Dorks para buscar en champlain.edu archivos xls
Nos descargamos el fichero
wget https://my.champlain.edu/media/physical_addresses.xls
--2022-01-13 16:58:26-- https://my.champlain.edu/media/physical_addresses.xls
Resolving my.champlain.edu (my.champlain.edu)... 216.93.150.217
Connecting to my.champlain.edu (my.champlain.edu)|216.93.150.217|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 26112 (26K) [application/vnd.ms-excel]
Saving to: ‘physical_addresses.xls’
physical_addresses.xls 100%[========================================================================================================================================>] 25.50K --.-KB/s in 0.09s
2022-01-13 16:58:28 (274 KB/s) - ‘physical_addresses.xls’ saved [26112/26112]Obtenemos el hash
sha256sum physical_addresses.xls
c96ee03c4043c366c6f573bb1d194dec8f4c0c81150c60d310bc59d9e17a6906 physical_addresses.xlsQuery
inurl:champlain.edu file:xlsMas información sobre Google Dorks
#6 Respuesta: f4952b314eb15acf0eec79c954f83881c17d50d2b5922ee37e8fc5e5cd1aeac2
In 1998 specifically on February 12th, Champlain was planning on adding an exciting new building to its campus. Back then, it was called “The Information Commons”. Can you find a picture of what the inside would look like? Upload the sha256 hash here.
Obtención de la evidencia:
Nuevamente vamos utilizar https://archive.org/ dado que nos están pidiendo datos de 1998.
Al ir a Febrero de 1998 nos encontramos la siguiente web en donde no cargan bien las imágenes. Vamos buscando dentro de la web las imágenes que nos solicitan.
Encontramos dos imágenes en el apargado «Information Commons Project» que podrían ser las nuestras. Por lo tanto descargamos las imágenes.
Obtenemos el hash sha25
sha256sum tree2.jpg
be6c83c3921d1bafd78613243244c41bcac4879bc954624a34dfa29bf01a6d44 tree2.jpg
sha256sum inside1.jpg
f4952b314eb15acf0eec79c954f83881c17d50d2b5922ee37e8fc5e5cd1aeac2 inside1.jpg#7 Respuesta: Todd Schroeder
One of Champlain College's Cyber Security Faculty got a bachelor's degree in arts from this Ohioan university. Who was the other faculty member who studied there? (FirstName LastName - two words)
Buscamos en google: «Champlain College Cyber Securit»
En la primera pagina podemos encontrar la sección de: «Faculty»
En dicha sección encontramos todos los profesores
Buscando todas las ubicaciones de las universidades en donde han estudiado los profesores encontramos: Joe Eastman que estudio en la universidad de Toledo
Como podemos ver la universidad de Toledo se encuentra en Ohio
Nuevamente nos servimos de Dorks para encontrar las demás personas que estudiaron en dicha universidad. Intente usar «intext:» pero por alguna razón no me encontraba a Todd Schroeder.
Query
inurl:champlain.edu/academics/our-faculty University of Toledo#8 Respuesta: saccopharyngiformes
In 2019 UVM’s Ichthyology Class Had to Name their fish for class. Can you find out what the last person on the public roster named their fish?
Buscamos en google «UVM’s Ichthyology Class»
En la primera pagina encontramos una sección llamada: «Student fish name»
Al acceder a: «Student fish name» nos descarga un excel llamado: studentfishnames2019 en el que podemos encontrar la respuesta.
#9 Respuesta: Virginia
Can You Figure Out Which State This Picture Has Been Taken From? See attached photo
Intentamos buscar mediante Google la imagen sin ningún resultado. Pasamos a Bind: https://www.bing.com/visualsearch/Microsoft/SimilarImages y parece ser que encontramos resultados mas interesantes
La primera imagen que encontramos parece ser que es de un canal de Youtube el cual nos deja un mensaje.
Seguimos buscando en las demás imágenes y en la tercera podemos observar que es un parque llamado: «Dinosaur Land»
Buscamos la ubicación y vemos que se encuentra en Virginia
:wq!