Writeups
  • ℹ️Infos
  • 🗓️2021
    • DvCTF (to join DaVinciCode)
      • Crypto
        • Baby RSA
        • Ressaye
        • Unbreakable encryption
      • Forensics
        • Broken Portrait
        • Russian Dolls
        • Sus USB
      • Misc
        • Jus de Flag
        • Welcome
      • OSINT
        • Absolutely Nuts
      • Progra
        • Snoop's Mission
      • Reverse
        • Baby Reverse
        • Basic Cracking
        • Code Pyn
      • Steganography
        • Colorful Code
        • Hurt Your Eyes
        • Orchestra of Flags
        • Tyger
      • Web
        • Have I Been Pwned
        • What's Up ?
  • 🗓️2022
    • DvCTF 2022
      • Crypto
        • Cwryptographic Owacle
        • Secure Or Not Secure
        • small weiner
      • Forensics
        • Very Bad Script
      • Misc
        • Data Leak
        • Going postal
        • The Hacker Man
      • OSINT
        • Elon Musk
        • Monkeey
        • Painting Spot
        • Welcome to the DaVinciCTF!
      • Pentest
        • DaVinci's Playlist : Part 1
        • DaVinci's Playlist : Part 2.5
        • DaVinci's Playlist : Part 2
      • Programming
        • Heaven's Gate
        • Sudoku
        • TicTacToe
      • Reverse
        • CryptoVault
        • Mine Game
        • Obfuscated
        • Peripheral Interface Controller XVI
      • Steganography
        • ICMP
        • The Arts of Details
        • Treasure
      • Warmup
        • EBG13
        • FrenchFlag
        • MP3
        • QmFzZTY0
        • RSA
        • Welcome
      • Web
        • CyberStreak v1.0
        • 🎵
    • picoCTF 2022
      • Challs WU
    • @HackDay - Qualifications
      • Crypto
        • Francis Bacon
        • Francs Maçons
        • Rotate-me!
        • Un message codé ?
      • Forensics
        • bad_timing_for_reversing
      • Hardware
        • Cubik'cipher
        • WebSDR
      • Reverse
        • Calling Conventions
        • Memory Investigation
      • Steganography
        • I can make pictures
        • J'ai perdu le flag :(
        • Pokémons
        • Un coup de maître
        • Un logo cachotier
      • Web
        • GIT!
        • Part. 1 - Uploads
        • Part. 2 - Old md5
        • Part. 3 - sudo python
    • 404CTF
      • Crypto
        • Un simple oracle [1/2]
        • Un simple oracle [2/2]
      • Misc
        • Je suis une théière
        • Pierre-papier-Hallebarde
        • GoGOLFplex
      • OSINT
        • À l'aube d'un échange
        • Collaborateur suspect
        • Equipement désuet
      • Reverse
        • Mot de passe ?
      • Steganography
        • La plume à la main
        • PNG : Un logo obèse [1/4]
        • PNG : Drôles de chimères [2/4]
        • Toujours obèse [3/4]
      • Web
        • Fiché JS
        • Le braquage
        • Du gâteau
        • En construction !
    • Operation Kernel
      • Crypto
        • Scytale
      • Forensics
        • Research Paper
        • Excel Confidential
      • Reverse
        • CryptoLocker
        • What_If_CryptoLocker
      • Social Engineering
        • Pour vivre secure vivons caché
        • Pour vivre secure vivons caché Part 2
      • Stegano
        • AudioSpectre
        • Datacenter
        • Takazume
      • WEB
        • Research paper blog
        • SQL Project 1
        • SQL Project 2
        • SQL Project 3
        • Tenue de soirée requise
  • 🗓️2023
    • 404CTF 2023
      • Résultats
      • Analyse forensique
        • Pêche au livre
        • Le Mystère du roman d'amour
        • Les Mystères du cluster de la Comtesse de Ségur [1/2]
        • Lettres volatiles
        • Note de bas de page
      • Cloud
        • Le Sot
        • Le Cluster de Madame Bovary
        • Harpagon et le magot
        • Les nuages menaçants 1/3
        • Les nuages menaçants 2/3
      • Cryptanalyse
        • Recette
        • ASCON Marchombre
      • Divers
        • Bienvenue
        • Exemple de connexion à distance
        • Discord
        • À vos plumes !
      • Exploitation de binaires
        • Je veux la lune !
      • Programmation
        • L'Inondation
        • Des mots, des mots, des mots
      • Radio-Fréquence
        • Navi
        • Avez-vous vu les cascades du hérisson ?
        • Le Plombier du câble
        • Ballistic Missile Submarine
      • Renseignement en sources ouvertes
        • Le Tour de France
        • Les OSINTables [1/3]
        • Un vol ?
        • L'âme d'un poète et le coeur d'une femme [1/4]
        • L'âme d'un poète et le coeur d'une femme [2/4]
        • L'âme d'un poète et le coeur d'une femme [3/4]
        • L'âme d'un poète et le coeur d'une femme [4/4]
      • Rétro Ingénierie
        • Le Divin Crackme
        • L'Inspiration en images
      • Sécurité Matérielle
        • Un courrier suspect
        • Un réveil difficile
      • Stéganographie
        • Odobenus Rosmarus
        • L'Œuvre
        • Les Félicitations
        • En Profondeur
        • Le Rouge et le vert, avec un soupçon de bleu
      • Web
        • Le Loup et le renard
        • L'Académie du détail
        • La Vie Française
        • Fuite en 1791
        • L'Épistolaire moderne
        • Chanson d'Inde
      • Web3
        • Art
        • L'Antiquaire, tête en l'air
Powered by GitBook
On this page

Was this helpful?

  1. 2022
  2. Operation Kernel
  3. Social Engineering

Pour vivre secure vivons caché

PreviousSocial EngineeringNextPour vivre secure vivons caché Part 2

Last updated 2 years ago

Was this helpful?

Catégorie: Social Engineering - Points: 100 - Difficulté: Très simple - Solves: 158 Description: Dans le fichier Excel récupéré précédemment, nous avons identifié une autre personne. Nos équipes ont retrouvé un blog lui appartenant. Il serait probablement intéressant d'examiner ce dernier à la recherche d'informations concernant cette personne. Bien commencer : Noter le maximum d'informations sur la personne pour ensuite les utiliser afin de récupérer son compte mail. Lien :

Solution: Pour résoudre ce challenge il faut trouver un moyen d'accéder à la boîte mail de la personne. Lorsque nous commençons ce challenge, nous arrivons un site Wordpress avec 1 article

Nous allons donc consulter cet article, mais rien de fameux n'a été trouvé dedans. Nous continuons notre investigation un peu partout et à un moment sur la page contact, il y a un lien vers un autre site (un ) :

Examens des posts, rien à signaler... Allons voir sur le premier lien de sa biographie, lui aussi sans aucune utilité (mais tout de même très bien fait) Passons au deuxième lien, où nous pouvons voir un lien dans la biographie ainsi que sa carrière professionnelle :

Cliquons sur pour voir vers où il nous emmène. Vers la boite mail que nous recherchions !!! Bon maintenant faut réussir à se connecter, mais nous n'avons aucune info, a part peut-être son mail récupéré sur LinkeFakeIn).

Comme nous sommes très intelligent nous n'allons pas bruteforce le portail de connexion, ça n'aurait pas grande utilité (du moins pour le moment). Alors essayons de voir ce qu'ils demandent lors du "mot de passe oublié" :

C'est impeccable ça. On a toutes ces infos :

  • Quel est votre adresse mail ? : (LinkeFakeIn)

  • Quel est votre date de naissance ? : 26/09/1988 (Fakebook)

  • Quel est votre sport favori ? : Boxe (Instafakegram)

  • Quel est votre 1er employeur ? : Séphori (LinkeFakeIn)

Avec tout ça on envoie le formulaire et bingo sa boite mail est accessible (vraiment pas secure ce genre de vérification)

Alors si nous étions vraiment patient et vraiment intéressé, nous pourrions analyser tous les mails mais (bizarrement) nous sommes attiré par le mail nommé CONFIDENTIEL :

(Les autres mails sont également intéressants mais nous les utiliserons surement plus tard)

🚩 FLAG
HACK{SE_Inf0_Ar3_3veRyWH3R3}

🗓️
https://blog.challenge.operation-kernel.fr/
fakebook
InstaFakeGram
LinkedFakeIn
le lien
michel.aquemoi@challenge.operation-kernel.fr
image
image
image
image
image
image
image