本稿では、TryHackMeにて提供されている「Advent of Cyber 2」ルームに関する攻略方法(Walkthrough)について検証します。
「Advent of Cyber 2」は「free room」(無料)で提供されています。購読を必要とせずに仮想マシンを「展開(Deploy)」することができます。
『Advent of Cyber 2』のWalkthroughインデックスを「[TryHackMe] Advent of Cyber 2に参加してみた」にて公開しました。
[Day 14] Special by TheCyberMentor: Where's Rudolph?
ストーリー
クリスマスの前夜、Rudolphは迷子になってます。
サンタさんはどんな犠牲を払ってでも彼を見つけなければなりません。
あなたはRudolphを連れ戻すために雇われました。
OSINTのスキルはどうですか? Rudolphの足跡をたどっていきましょう...
タスク1
狩りをしながら、ヒントや手がかりを探している間
サンタさんはいくつかの詳細を明らかにし、ニュースを共有します。
RudolphはRedditを愛用し、頻繁にブラウジングをしていました。
彼のユーザー名は IGuidetetheClaus2020 でした。
Day 14 - #1.
What URL will take me directly to Rudolph's Reddit comment history?
Google検索を駆使して、RedditからRudolphのコメント履歴を探しだします。
ここでsite:という検索オペレーターを使用します。
その狙いは、特定のドメインにあるページの結果のみから、指定した検索語を含む結果を表示させることです。
https://www.google.com/search?q=site:www.reddit.com+IGuidetheClaus2020
Redditの公式検索オプションを使って検索することもできます。この場合のクエリ構文は次のとおりです。
https://www.reddit.com/search?q=IGuidetheClaus2020
https://www.reddit.com/user/IGuidetheClaus2020
Redditには、「Pushshift (files.pushshift.io)」と呼ばれるアーカイブがあります。このアーカイブには、2005年以降にRedditで公開されたほとんどの投稿内容(300 GB以上)が含まれています。
削除された投稿に関する調査が必要な場合、有効活用することが可能です。
Day 14 - #2.
According to Rudolph, where was he born?
[COMMENTS]にて出身地について言及していますね。ここでは、[Hot]順に並べ替えを行っています。
IGuidetheClaus2020
5 points·19 days ago
Fun fact: I was actually born in Chicago and my creator's name was Robert!
Day 14 - #3.
Rudolph mentions Robert. Can you use Google to tell me Robert's last name?
『ルドルフ 赤鼻のトナカイ(原題: Rudolph the Red-Nosed Reindeer)』の作者は、ロバート・L・メイ です。
Day 14 - #4.
On what other social media platform might Rudolph have an account?
[COMMENTS]にて言及していますね。人気のソーシャルメディアを一通り調べてもよいですね。
IGuidetheClaus2020
1 point·19 days ago
Ouch. Some days I love Twitter. Some days, it's just...lol.
Day 14 - #5.
What is Rudolph's username on that platform?
アクティブなインターネット・ユーザーは、多くのサイトで同じユーザー名を使い回していることが多いです。
こうした使い回しされているユーザー名を串刺し検索できるサービスが幾つかあります。
- KnowEm, https://knowem.com/
- Name Chk, https://namechk.com/
- Name Checkr, https://www.namecheckr.com/
- User Search, https://usersearch.org/
- NameVine, https://namevine.com/
- Pipl, https://pipl.com/
- Peek You, https://peekyou.com/
- Lullar, https://com.lullar.com/
https://twitter.com/IGuideClaus2020/
タスク2
RudolphのTwitterを暴いたようですね。
今、私たちは彼のすべてのTweetを読み取ることができます。
彼のプロフィールに目を通し、いくつかの見解を示してください。
深く掘れば掘るほど、良い手かがりとなります。
Day 14 - #6.
What appears to be Rudolph's favorite TV show right now?
Rudolphはリアリティショーがお好みのようです。日本でもAmazonプライム・ビデオにて『バチェラー・ジャパン (The Bachelor Japan)』が配信されていますね。
Love me some Bachelorette. But Ed? C'mon!
— IGuidetheClaus2020 (@IGuideClaus2020) November 25, 2020
Day 14 - #7.
Based on Rudolph's post history, he took part in a parade. Where did the parade take place?
気になったのは、2020年11月25日の連続投稿です。
「Google 画像検索」を使って投稿された写真を検索してみます。
シカゴで開催された「Chicago Thanksgiving Parade」の写真と一致しますね。
Day 14 - #8.
Okay, you found the city, but where specifically was one of the photos taken?
写真の撮影日時や位置情報が保存される「EXIF」データ。最近は多くの人が知る存在となっています。
ソーシャルメディアに投稿する写真については削除する設定をしている人も多いようです。
Rudolphの場合は…。 高解像度な写真を公開するためにリンクを張っています。
Here's a higher resolution to one of the photos from earlier: https://t.co/jmI66ZuNZI
— IGuidetheClaus2020 (@IGuideClaus2020) November 25, 2020
https://tcm-sec.com/wp-content/uploads/2020/11/lights-festival-website.jpg
このlights-festival-website.jpgファイルのEXIFデータを表示してみましょう。
$ exiftool lights-festival-website.jpg
ExifTool Version Number : 12.09
File Name : lights-festival-website.jpg
Directory : .
File Size : 50 kB
File Modification Date/Time : 2020:12:14 21:52:25-05:00
File Access Date/Time : 2020:12:14 21:54:18-05:00
File Inode Change Date/Time : 2020:12:14 21:54:17-05:00
File Permissions : rw-r--r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
X Resolution : 72
Y Resolution : 72
Exif Byte Order : Big-endian (Motorola, MM)
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : {FLAG}ALWAYSCHECKTHEEXIFD4T4
Exif Version : 0231
Components Configuration : Y, Cb, Cr, -
User Comment : Hi. :)
Flashpix Version : 0100
GPS Latitude Ref : North
GPS Longitude Ref : West
Image Width : 650
Image Height : 510
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 650x510
Megapixels : 0.332
GPS Latitude : 41 deg 53' 30.53" N
GPS Longitude : 87 deg 37' 27.40" W
GPS Position : 41 deg 53' 30.53" N, 87 deg 37' 27.40" W
解答に必要なデータが得られました。
「Jeffrey's Image Metadata Viewer」のような、EXIF情報を解析するオンラインツールもあります。
Day 14 - #9.
Did you find a flag too?
lights-festival-website.jpgファイルのEXIFデータにおけるCopyright情報に flag が記載されています。
Day 14 - #10.
Has Rudolph been pwned? What password of his appeared in a breach?
RudolphのTwitterアカウントのプロフィール情報をチェックしてみます。彼のメールアドレスが掲載されています。
rudolphthered@hotmail.com
このメールアドレスをクエリとして、scylla.shにて検索します。構文は次のとおりです。
email:rudolphthered@hotmail.com
解答となるPasswordを特定することができました。
Day 14 - #11.
Based on all the information gathered. It's likely that Rudolph is in the Windy City and is staying in a hotel on Magnificent Mile. What are the street numbers of the hotel address?
Day 14 - #8.にて、GPS Position情報を特定しています。
この経度・緯度情報をもとに、撮影地をGoogle Mapで確認してみます。
撮影地のすぐそばに、「シカゴ マリオット ダウンタウン マグニフィセント マイル」ホテルがあります。
あとは、住所を確認しstreet numbersが解答となります。
Wrapping Up
Rudolphを見つけるのは少し簡単すぎたようです。
彼のOPSECはセキュリティのプロを不安にさせます。
Windy Cityまで Rudolphは追跡されました。
クリスマスは救われ、Rudolphを連れて帰ってきました
これにて、14日目のミッションが終了です。