【TryHackMe】Sakura Room：Walkthrough

概要

TryHackMe「Sakura Room」のWalkthroughです。

Task1

Q1.Are you ready to begin?

A.Let's Go!

Task2

Q1.What username does the attacker go by?

リンクにアクセスすると、Webページが攻撃者によって改ざんされていると分かります。

ソースコードのファイルパスから、SakuraSnowAngelAikoというユーザー名の攻撃者であることが推測できます。

A.SakuraSnowAngelAiko

Task3

Q1.What is the full email address used by the attacker?

SakuraSnowAngelAikoで検索すると、GitHubのページが見つかりました。

PGPというリポジトリがり、リポジトリ名からEmailに関係がありそうです。

リポジトリをクローンし、publickeyを確認するとメールアドレスが判明しました。

$ gpg publickey                                           
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa3072 2021-01-23 [SC] [expired: 2023-01-22]
      A6519F273BF88E9126B0F4C5ECDD0FD294110450
uid           SakuraSnowAngel83@protonmail.com
sub   rsa3072 2021-01-23 [E] [expired: 2023-01-22]

A.SakuraSnowAngel83@￰protonmail.com

Q2.What is the attacker's full real name?

SakuraSnowAngelAikoで検索すると、LinkedInの情報が見つかりました。

A.Aiko Abe

Task4

Q1.What cryptocurrency does the attacker own a cryptocurrency wallet for?

SakuraSnowAngelAikoのリポジトリ一覧を見ると、Ethereumやbitcoinに関するリポジトリが多いので、そこから推測できます。

A.Ethereum

Q2.What is the attacker's cryptocurrency wallet address?

ETHというリポジトリに注目します。

gitのコミット履歴を見ると、Ethereumのアドレスが記載されていました。

$ git log -p
commit d507757d5d2208d0124783a8a670239ce19b806c (HEAD -> main, origin/main, origin/HEAD)
Author: sakurasnowangel <77871458+sakurasnowangel@users.noreply.github.com>
Date:   Sat Jan 23 12:45:39 2021 -0800

    Update miningscript

diff --git a/miningscript b/miningscript
index 8f653cc..ac483bc 100644
--- a/miningscript
+++ b/miningscript
@@ -1 +1 @@
-stratum://0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef.Aiko:pswd@eu1.ethermine.org:4444
+stratum://ethwallet.workerid:password@miningpool:port

commit 5d83f7bb37c2048bb5b9eb29bb95ec1603c40135
Author: sakurasnowangel <77871458+sakurasnowangel@users.noreply.github.com>
Date:   Sat Jan 23 12:44:57 2021 -0800

    Create miningscript

diff --git a/miningscript b/miningscript
new file mode 100644
index 0000000..8f653cc
--- /dev/null
+++ b/miningscript
@@ -0,0 +1 @@
+stratum://0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef.Aiko:pswd@eu1.ethermine.org:4444

A.0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

Q3.What mining pool did the attacker receive payments from on January 23, 2021 UTC?

取引履歴を見られるサイトでアドレスを検索します。

履歴からマイニングプールを確認できました。

A.Ethermine

Q4.What other cryptocurrency did the attacker exchange with using their cryptocurrency wallet?

一部の取引履歴にTetherがあることを確認できました。

A.Tether

Task5

Q1.What is the attacker's current Twitter handle?

SakuraSnowAngelAikoで検索すると、Twitterのアカウントが見つかりました

TwritterのユーザーIDを得られました。

A.SakuraLoverAiko

Q2.What is the BSSID for the attacker's Home WiFi?

TwitterでSSIDに関するポストがされています。

DeepPasteというTorサイトを利用できるようですが、既にサイトが閉鎖されているので、Writeupを参考に進めます。

DeepPasteを利用すると、SSIDがDK1F-Gだと判明するようです。

WiGLEというサイトでSSIDを基に検索します。

WiGLEのAdvanced Searchを利用し、SSIDで検索するとNetIDが分かりました。

A.84:AF:EC:34:FC:F8

Task6

Q1.What airport is closest to the location the attacker shared a photo from prior to getting on their flight?

Twitterでのツイートを見ると、下記のツイートが見つかりました。

投稿されていた写真を画像検索にかけると、いくつかヒットしました。

バージニア州にあるLong Bridge Parkという場所の写真だと分かりました。

Long Bridge Park近くの空港を探すと、ロナルド・レーガン・ワシントン・ナショナル空港だと分かりました。

A.DCA

Q2.What airport did the attacker have their last layover in?

続いてラウンジのツイートを発見しました。

画像検索にかけると、羽田空港のラウンジだと分かりました。

A.HND

Q3.What lake can be seen in the map shared by the attacker as they were on their final flight home?

続いて書きツイートが見つかりました。
左に佐渡島が見えているので、福島あたりだと推測できます。

Google Mapで調べると、猪苗代湖だと分かりました。

A.Lake Inawashiro

Q4.What city does the attacker likely consider "home"?

DeepPasteで調べると、HIROSAKI_FREE_Wi−Fiということが分かるようです。

A.Hirosaki