Write-up HeroCTF - OSINT - Good French Charcuterie
Le challenge
CTF : HeroCTF (version 3)
Nom du challenge : Good French Charcuterie (60 points)
Consigne :
One of our agents has turned over his coat: this puts us in a very delicate situation. Try to compromise her account to find out who she is working for. Use your OSINT and social engineering skills to complete this mission successfully.
Name : Adèle Morte
(No need to speak French)
Format : Hero{}
Author : Thib
Hint : You don't have to find his job, you have to compromise his account... (find one of her passwords)
Write-up
On doit donc trouver le mot de passe de Mme Mortadelle 😅 ! On commence avec une simple recherche Google et on tombe sur un profil Linkedin qui a l'air intéressant en première page :
On visite donc son profil Linkedin :
On remarque 3 choses intéressantes :
- Adèle Morte est développeuse IT chez ProtonMail, service de messagerie sécurisée
- Elle réside à Vannes en France
- Elle a récemment partagé un post qui contient le screenshot d'un tweet
Le post en question :
On va donc chercher à trouver son compte Twitter. Pour cela, on fait une simple recherche "Harcesis MORTadelle" sur Twitter et on retrouve le tweet.
On voit qu'il a été aimé par Adèle Morte :
En fouillant sur son compte Twitter, on trouve un tweet dans lequel elle donne son adresse email :
On a désormais cette base d'infos :
- Adèle Morte est développeuse IT chez ProtonMail, service de messagerie sécurisé
- Elle réside à de Vannes en France
- Elle ne prend contact uniquement par email avec les inconnus (email : adele.morte@protonmail.com)
- Elle est fan des compétitions et de développement
Plusieurs solutions peuvent nous venir en tête, j'ai personnellement pensé à lui adresser un petit mail de phishing et bingo, elle adore le dev et les compéts, allons lui proposer de participer à notre super concours de dev !
On va donc utiliser un outil nommé Phisherman pour monter un tunnel ngrok vers un serveur web hébergé sur notre machine qui fournira une copie de la page d'accueil Linkedin. On obtient un lien vers le tunnel NGROK à donner à l'utilisateur pour qu'il se connecte à la fausse page de connexion Linkedin et on lui fait un joli mail de spear phishing :
On essaye bien sûr de se donner une vraie identité et de donner pas mal d'infos sur le concours pour être crédible, sans oublier d'essayer d'être plus "personnel" ! J'ai aussi utilisé un raccourcisseur d'URL pour cacher notre URL ngrok.
Voici la page assez réaliste affichée lorsque qu'on se rend sur l'URL donnée par Phisherman :
BINGOO ! Quelques minutes plus tard, Mme Mortadelle se connecte à notre fausse page de connexion et entre ses identifiants :
