[TryHackMe] OhSINT - WalkThrough/Writeup

本記事は TryHackMe の OhSINT ルームに関する Walkthrough/Writeup です。

概要

1枚の写真(画像ファイル)からどのような情報が得られるのか、さまざまな質問があり、調査をしながら攻略していきます。

環境

• Kali Linux(2021.1.0)
• exiftool(12.16)
  • Vagrant Boxを使用して構築するとデフォルトでインストールされていないため、apt install -y libimage-exiftool-perlでインストールが必要です。

攻略

What is this users avatar of?

ユーザのアバターを問われています。手がかりが画像ファイルしかないため、exiftoolでメタデータの確認をします。

┌──(vagrant㉿kali)-[~]
└─$ exiftool WindowsXP.jpg
ExifTool Version Number         : 12.16
File Name                       : WindowsXP.jpg
Directory                       : .
File Size                       : 229 KiB
File Modification Date/Time     : 2021:04:14 08:51:58-04:00
File Access Date/Time           : 2021:04:14 08:52:54-04:00
File Inode Change Date/Time     : 2021:04:18 02:47:11-04:00
File Permissions                : rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
XMP Toolkit                     : Image::ExifTool 11.27
GPS Latitude                    : 54 deg 17' 41.27" N
GPS Longitude                   : 2 deg 15' 1.33" W
Copyright                       : OWoodflint
Image Width                     : 1920
Image Height                    : 1080
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 1920x1080
Megapixels                      : 2.1
GPS Latitude Ref                : North
GPS Longitude Ref               : West
GPS Position                    : 54 deg 17' 41.27" N, 2 deg 15' 1.33" W

CopyrightやGPS Positionなどに痕跡がありました。

Copyrightに残された、OWoodflintでGoogle検索をすると以下の通りTwitter・Worepress・Githubにアカウントがあることがわかりました。

Twitterのアカウントを確認するとアバターが設定されていました。

答えは、catです。

What city is this person in?

次はこの人物がどこの都市にいるかを問われます。

Tweetを見ると、以下の通り家からFree WiFiにより接続をしているようで、BSSID情報がありました。

https://wigle.net で対象のBSSIDを検索します。

答えは、Londonです。

Whats the SSID of the WAP he connected to?

先程の、 https://wigle.net を拡大していくとSSIDがわかります。

答えは、UnileverWiFiです。

What is his personal email address?

Twitterからは情報が取得できなさそうなので、Githubを確認すると以下の通り連絡先としてメールアドレスが掲載されていました。

答えは、OWoodflint@gmail.comです。

What site did you find his email address on?

どこのサイトでメールアドレスを見つけたかを、聞かれています。

答えは、Githubです。

Where has he gone on holiday?

休日にどこにいるか聞かれています。Twitterにはすでに情報がなく、Githubにも情報がなさそうなので、まだ調査をしていないWordPressを調査すると、以下の通り所在地が特定できました。

答えは、New Yorkです。

What is this persons password?

WebサイトのHTML上にパスワードが埋め込まれていることがあるので、WordPressの投稿記事のHTMLを眺めていると、記事のすぐ下に表示は隠蔽された文字列(白背景に白文字の文字列)を見つけました。

<p>Im in New York right now, so I will update this site right away with new photos!</p>



<p style="color:#ffffff;" class="has-text-color">pennYDr0pper.!</p>

答えは、pennYDr0pper.!です。