그루트 OSINT - 소셜 미디어 수집 (SOCMINT)

ELMO의 개인 트위터 계정을 찾으세요.

sherlock : 유저명을 이용한 OSINT 툴!!, 잘 알려진 사이트 페이스북, 트위터 같은 사이트에서는 유저이름을 검색하여 프로필을 통해 자세한 정보를 얻을 수 있다.

 

git clone https://github.com/sherlock-project/sherlock.git
python3 -m pip install -r requirements.txt

위와같이 github에서 다운을 받은후 설치를 진행한다.

 

[그림 1] sherlock 이용

sherlock을 이용하여 toorgvirus를 이용하여 다양한 사이트에서 프로필을 검색을 진행을 하였다.

젤 아래에 트위터 프로필을 찾을 수 있다.

 

 

네번째 플래그는 무엇일까요?

[그림 2] 트위터 접속

toorgvirus 트위터 계정에 접속을 하면 네번째 플래그를 찾을 수 있으며 이름이 Nick Yamamoto이다.

이를 통해 ELMO가 Nick Yamamoto라고 추측할 수 있다.

 

답 : GOSINT{EINUW@#$110}

 

ELMO가 4월 2일날 있었던 도시는 어디일까요?

[그림 3] 트위터 트윗 확인

트위터에서 트윗을 확인해보니 4월 2일에 사진이 올라와있다. 이 사진을 통해서 어디에 있었는지 확인을 하면 문제를 해결할 수 있을것이다.

yandex.com 이라는 사이트에서 이미지를 검색을 통해 다른 웹사이트에도 해당 이미지가 업로드가 되어있는지 확인이 가능하다.

 

[그림 4] image reverse search

해당 이미지로 검색을 하면 아래와같이 해당 이미지와 비슷한 이미지가 업로드 되어있는 사이트들을 찾을 수 있다.

젤 위의 사이트에 접속을 진행한다.

 

[그림 5] 첫번째 사이트 접속

사이트에 접속을하면 Things to Do in Noboribetsu라고 영어가 나온다.

해당 영어를 해석하면 Noboribetsu에서 할 것 이런 뜻으로 해당 지역이 Noboribetsu라고 추측이 가능하다.

이것은 답안에 입력을 해보니 정답이다.

 

답 : Noboribetsu

 

ELMO의 개인 인스타그램 계정을 찾으세요. 

그림 1에서 sherlock을 이용하여 SNS 정보 수집을 하였지만 인스타그램 정보는 찾지 못했다.

그래서 직접 인스타그램에 들어가서 toorgvirus라는 계정을 찾아보았다.

 

[그림 6] toorgvirus라는 인스타그램 계정

인스타그램 계정을 찾았다.

 

ELMO의 개의 이름은 무엇일까요?

[그림 7] 강아지 이름 찾기

인스타그램 계정에 게시물에서 강아지 게시물이 있다. 강아지 게시물을 클릭은 하면 toorgvirus가 Happy birthday my soul mate, Bullseye!라고 글을 적어놓았다.

따라서 강아지가 생일이고 toorgvirus의 소울 메이트인것같다. 그리고 강아지 이름은 Bullseye라고 추측이 가능하다.

 

답 : Bullseye

 

ELMO 조직의 팀 Github 계정을 찾으세요.

[그림 8] sherlock 이용

텔레그램 방이름인 teamtoog로 sherlock을 이용하여 검색을 진행 하였고 깃허브 계정을 찾을 수 있었다.

 

Github의 삭제된 파일의 이름은 무엇일까요?

[그림 9] 깃허브 commit 확인

깃허브 저장소에서 commit 한것들을 확인을 하니 removing file이라는 것을 찾았다.

여기서 flag.txt라는 파일을 삭제를 하였다.

 

답 : flag.txt

 

삭제된 파일을 다시 복구시키세요. 다섯번째 플래그는 무엇일까요?

[그림 10] 해당 저장소 다운

해당 저장소를 git clone이라는 명령어로 다운로드를 진행하였다.

 

[그림 11] git log 확인

dev 디렉토리로 들어간 후 git log라는 명령어를 통해 commit한 내용을 확인할 수 있다.

1b960e7bf5df7355b3532fbcdfb1cbba45207c10 <= 해당 커밋을 통해 파일을 지웠으므로 그전의 커밋으로 돌아가야한다.

 

[그림 12] git checkout 으로 복원

git checkout으로 삭제한 commit이전의 commit으로 복원을 진행하였다.

그 후 flag.txt 파일이 복구되었고 파일을 읽어보면 flag가 나온다.

 

답 : GOSINT{Gi+GEGXO}

 

팀 Github 계정에 있는 zip 파일을 다운로드 받으세요. 여섯번째 플래그는 무엇일까요?

[그림 13] unzip 사용

unzip으로 압축을 해제하려고 했지만 실패를 하였고 구글에 검색을 진행하니 7z으로 압축을 해제해야된다는 것을 발견하였다.

 

[그림 14] 7z 압축 해제

7z으로 압축을 해제하려고 하였지만 암호화가 걸려있다.

키를 찾아야 한다.

 

[그림 15] zip key 발견

인스타 그램에서 zip: ~~라고 키라고 추측되는 값을 발견하였다. 해당 키로 한번 압축을 해제해보겠다.

 

[그림 16] 압축해제 성공

압축 해제를 성공하였다. key값은 아래와 같다.

key : SecurePasswd!@#

압축 해제를 하니 엑셀 파일 하나를 발견하였고 해당 파일을 열어보겠다.

 

명령어 : libreoffice project.xlsx

libreoffice를 통해 엑셀을 열었다.

 

[그림 17] 엑셀 확인

엑셀을 확인하니 플래그를 획득하였다.

 

답 : GOSINT{XUE83@MCE#$D}

 

팀 Github에 기여하고 있는 유저는 현재 어느 시간대 (UTC)에 위치해 있을까요?

[그림 18] 시간 확인

시간을 확인해보니 -0400으로 되어있다.

이는 UTC-4의 시간을 의미한다.

 

답 : UTC-4