공격자 추적 (Active OSINT):
K204는 수동적 (Passive) OSINT를 통해 파악된 정보를 토대로 공격자를 적극적으로 (Active OSINT) 추적해야 합니다.
주목!! K204는 익명의 제보로 새로운 정보를 입수하였습니다!
정보는 다음과 같습니다:
- ELMO는 새로운 조직원을 모집하고 있음.
- ELMO는 더 많은 블랙해커들이 ELMO 조직의 웹사이트 변조 템플릿를 이용하길 원합니다.
- ELMO는 팀 웹서버를 가지고 있으며 웹사이트 변조 템플릿 (Defacement Page) 및 여러 팀 정보를 Public 서버에 공유하고 있습니다.
ELMO 조직의 도메인은 무엇일까요?
WHOXY에서 email이 toorgvirus@proton.me로 등록된 도메인을 확인하였더니 grootosint.com이라는 도메인을 발견하였다.
답 : grootosint.com
도메인을 만든 사람의 이름은 무엇일까요?
WHOXY에서 확인이 가능하다.
칼리리눅스에서서 whois http://www.grootosint.com/ 해당 명령어를 사용하여 도메인의 정보에 대해서 확인이 가능하다.
답 : Nick Yamamoto
첫번째 플래그는 무엇인가요?
Hint를 보면 Disallow라고 나와있다. 구글 토킹을 이용하여 문제를 해결해보겠다.
intexts는 페이지 안에 특정문자열이 있는 사이트를 보여준다. 따라서 grootosint.com를 포함하며 특정문자열이 Disallow가 있는 사이트를 검색한다.
검색결과로 사이트 하나를 찾을 수 있다.
Disallow된 파일은 /leavemehere.dat이라는 파일이다.
해당 경로로 접속을 해보겠다.
해당 경로로 가봤는데 아무것도 없어서 페이지 소스보기를 통해 소스코드를 확인해봤는데 주석부분에 플래그가 나와있었다.
답 : GOSINT{EIXO!J#$FE}
ELMO 조직의 비밀 텔레그램 채널 이름은 무엇일까요?
해당 사이트에 접속을 하니 텔레그램 주소가 나온다.
해당 주소로 들어가면 문제를 해결할 수 있다.
답 : Team ToorG
두번째 플래그는 무엇일까요?
텔레그램 채팅방에 접속을 하면 플래그를 확인할 수 있다.
답 : GOSINT{D!JI39XKKE}
ELMO 조직의 다음 플랜을 알아내야 합니다. 다음 타겟 URL은 무엇일까요?
*.grootosint.com filetype:xlsx
grootosint.com에서 xlsx(엑셀)타입을 검색을 하니 엑셀파일 하나를 찾았다.
다음 타겟 url은 security.grootboan.com이다.
답 : security.grootboan.com
세번째 플래그는 무엇일까요?
exiftool을 이용하여 파일의 메타데이터를 확인할 수 있다.
Creator부분에 flag가 숨겨져 있다.
답 : GOSINT{F4KE_D0C5_HEHE}
'Pentesting CTF > tryhackme GROOT' 카테고리의 다른 글
| 그루트 OSINT - 소셜 미디어 수집 (SOCMINT) (2) | 2023.05.30 |
|---|---|
| 그루트 OSINT - Passive OSINT (0) | 2023.05.26 |
| 그루트 시큐리티 - Rootme (0) | 2023.05.24 |
| 그루트 시큐리티 - CatchMeIfYouCan (0) | 2023.04.16 |
| 그루트 시큐리티 - RemoteWebAdm (0) | 2023.04.16 |