PHDaysの競合インテリジェンス：モノのインターネットのスパイ

競争力のあるインテリジェンスのオンライン競争は、6年連続のポジティブハックデイズカンファレンスで開催されました。これは、現代の世界で人々や企業に関するさまざまな貴重な情報を入手することがいかに簡単かを明確に示しています。 この場合、通常は何もクラックする必要さえありません。すべての秘密はパブリックネットワークに散在しています。 このレビューでは、2017年の「コンペティティブインテリジェンス」のタスクとは何か、どのように解決する必要があるか、誰が競争に勝ったかを説明します。



今年、参加者はGreatIOTの従業員に関するあらゆる種類の情報を見つける必要がありました。 インターネット上の情報の通常の検索と分析に、さまざまなIoTデバイスを使用したタスクが追加されました。 伝説によると、会社に奇妙なことが起こり、ある時点で、開発者、技術サポート、さらにはCEOを含むすべてのものがなくなっていました。 コンテスト参加者の仕事は、この陰謀を調査するために必要なデータを見つけることです。

1.行方不明のデザイナーに関する情報を見つける

1.1。 greatiot.phdays.comの会社の誰も、彼の姓と名を言うことさえできませんでした。 たぶんあなたはそれを見つけることができますか？

サイトのメインページに移動して、ソースコードを調べます。







画像logo-vender.pngへのリンクをたどろうとします。







保存し、任意のテキストエディターで開き、AdobeアプリケーションのXMPタグを表示します。







いいね！ ドメインアカウントのログインのように見えます。姓はStupininです。 完全な電子メールを取得する方法には、3つのオプションがあります。ドメインアカウントがドメインのように見えることをすぐに推測し、mail.greatiot.phdays.comサブドメインのブロックを解除します。ソーシャルネットワークのアカウント。非常に便利な形式のTwitterがこのデータを提供します-星の数は文字の数と本当に同じです（Instagramとは異なります）。









完全なメールアドレスはastupinin@greatiot.phdays.com



ことを理解しています。 さまざまなサービスのパスワード回復を行い、Alexのプロファイルを見つけます。







回答 ：アレックス・ストゥピニン

正しい判断 ：11

1.2。 最も素晴らしい。 彼のフィットネストラッカーからのログがあり、彼が仕事の後の夜をどこで過ごしたかを知る必要があります。 （大文字の名前）

Facebookでデザイナーのプロフィールを見つけたら、Foursquare（SwarmApp）でチェックインノートを見つけて、彼の住んでいる場所と勤務先を確認できます。







歴史を詳しく調べると、fitbit_log_07_05.cvsファイルへのリンクもあります。







職場と家を比較して、地図を見ると、これらは2つのポイントであり、その間にほとんどのステップがあると結論付けることができます。 また、いくつかの日には、通常よりも多くのステップが家にとられました。 仕事の後、彼は700〜800歩歩き、しばらくこの場所に滞在します。 Foursquareを開くと、彼の作品から500メートルほどのところにいくつかのパブが見つかりました。 選択肢はほとんどなく、プラハのバーはすぐにあります。



回答 ：プラハ

正しい判断 ：9

2.リードIoT開発者

2.1。 デスクトップの背景にある妻の写真のみがあります： yadi.sk/i/wIMhX59h3J5ufA 開発者の個人サーバーのIPアドレスを見つけます。

入り口には、写真とそれが撮影されたとされる日付があります（photo_2017-04-25_15-46-33.jpg）。 写真では、Gorkyにちなんで名付けられたセントラルパークオブカルチャーアンドレストがわかります。 検索するには、4月25日にVKとInstagramの写真を手動でスクロールするか、snradar.azurewebsites.netサービスを使用できます。







見つけた！







名前と姓で、Instagram elena91uでアカウントの言及を見つけます。







プロファイル自体でこの写真を見つけ、同類を調べます。ここで、softcodermaxアカウントを見つけ、Pastebinでプロファイルを見つけました。







回答 ：188.166.76.66

正しい判断 ：18

2.2どうやら、開発者はチームチャットを使用していましたが、多くの場合、VoIPを介して物事について話し合います。 VoIPゲートウェイのアドレスを取得します。

前のタスクのWebサーバー上で、sitemap.xmlを見つけることができます。これには、とりわけスクリプト「/logs.php」へのリンクが含まれています。







ブラウザでlogs.phpスクリプトを開くと、「logdate is missing。」というメッセージが表示されます。 最終ログ日付20170428」、188.166.76.66 / logs.php？logdate = 20170428の形式でパラメーターを指定し、サーバーのアクセスログへのアクセスを取得しようとします。 可能な日付範囲のログを分析した後、RefererヘッダーからのSkypeチャットグループへのリンクを含む次のエントリが見つかりました。

 64.19.23.198 - - [26/Apr/2017:08:26:09 +0000] "GET / HTTP/1.1" 200 2613 "https://join.skype.com/aMxdupsIlSgI" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オープンなSkypeグループに接続すると、開発者の通信にVoIPゲートウェイのアドレスが記載されています。



回答 ：voip-gw-home-198.phdays.com

正しい判断 ：3

2.3悪くない。 たぶん、あなたは彼が最後に電話した人を見つけることができますか？

承認に失敗すると、voip-gw-home-198.phdays.comページで、DblTekベンダーの名前を含む次のHTMLコードが表示されます。







ポートをスキャンすることにより、Telnetポートで許可を要求するサービスを見つけることもできます。







この情報を比較してインターネットを検索すると、この製品のブックマークの説明と予測可能なログインコードを生成するためのエクスプロイトが見つかります： https : //github.com/JacobMisirian/DblTekGoIPPwn 。



入力するチャレンジ/レスポンスコードジェネレーターを使用して、システム内のシェルを取得し、voipユーザーのホームフォルダー内のsqliteデータベースでユーザーの連絡先を見つけます。







回答 ：+79262128506

正しい判断 ：3

3. GreatIOTエバンジェリストおよびヒップスター

3.1。 見つけることができるのは、彼のメールアドレスdigitalmane@yandex.comだけです。 しかし、彼のルーターに関する情報はどこかに保存されています...そのURLを発見してください！ （形式：hostname.com/page/）

Yandexでアカウントを作成したら、パスワードを回復してみてください。秘密の質問「お気に入りのアーティスト」が表示されます。 お気に入りのアーティストを見つけるためのオプションはあまりありません。VK、SoundCloud、Last.fmのいずれかです。 Googleがすべてをインデックス化できたのは良いことです。







ゴーストマンという秘密の言葉でアカウントを復元すると、アカウントに入ります。 Yandexアプリケーションのリスト全体を開き、URLを自分で保存できるものを選択します。 ディスク、メール、ブラウザとの同期、およびWebmaster、DirectまたはMetricが可能です。 統計の最後のサービスで、インデックス付きページold1337が見つかりました。



回答 ：greatiot.phdays.com/old1337/

正しい判断 ：66 *



*コンテストの最初に、誰かが電話をメールに結び付け、秘密の言葉による回復が機能しなくなったため、完全な回答を指定する必要がありました。

3.2。 ルーターのIPアドレスを見つけますか？

old1337ディレクトリに入ると、次のコンテンツが取得されます。







Googleですべてのファイルを確認したところ、how_to_connect.rarを除き、それらのほとんどがさまざまなアプリケーション（HEX、netcat）の標準であることがわかりました。 RARアーカイブには1つの機能があります-代替のNTFSストリーム、多くの場合標準のZone.Identifierをアーカイブする機能：OOXMLファイルに$ DATAが追加され、ファイルがユーザーのマシンに到達した場所を示すため、Text.Information：$ DATAを追加しましたルーターのIPアドレスに関する情報が含まれています。







回答 ：178.62.218.236

正しい判断 ：4

3.3。 興味深い...彼は、特にそのような名前で、ヒップスターのように見えません。 彼の姓と名を調べてください。

私たちの前にあるのは、標準のログインとパスワードと、2つの興味深いセクションを備えたルーターです：構成とステータスとログ：







XMLから構成をどこで復元できますか。 この場合に最初に思い浮かぶのは、XML外部エンティティの脆弱性です。 しかし、どのファイルを読む必要がありますか？ ステータスとログを確認すると、次のことがわかります。







XXEを介したページへの直接出力はないため、 ここで説明するアウトオブバンド手法を使用する必要があります 。 / etc / passwdなどのファイルは読み取り可能ですが、.pcapはバイナリであり、php：//フィルターラッパーを使用する必要があります。たとえば、 www.idontplaydarts.com / 2011/02 / using-php-filter-for-local-ファイル包含



すぐに利用可能：







Base64をデコードすると、ドメイン許可のリクエストを取得するための小さなダンプが取得されます。











ここで、姓と姓のドメイン名の形式を考えると、姓：Panteleevを学習します。 名前を見つけるために残っています。 「ヒップスターの奇妙な名前」についての手がかりを考えると、何人かは整理し始め、数人は正しく推測することさえできたと言う価値があります。 しかし、私たちが定めた解決策は、ソーシャルネットワークを通じて機能しました。







VCでは、回復のために、Facebookとは異なり、姓も知っている必要がありますが、これにはすべてがあります。



回答 ：アイザック・パンテレエフ

正しい判断 ：2

4.秘書は何かを隠しています...

4.1。 電話番号の一部しか見つけることができませんでしたが、彼女の電子メールはbrintet@protonmail.comです。 フルバージョンを見つける方法についてのアイデアはありますか？ +7 985 134 ****

最初にいくつかの点を考慮せずにタスクの古いバージョンをレイアウトしたので、警告する価値があるので、後でメールを追加して更新しました。 また、ヒントを使用すると、ソリューションはさらに簡単になりました。ほとんどの人気サイトでは、PayPalで支払いを受け付けているため、そこに行ってメールでアカウントを復元します。







回答 ：+79851348961

正しい判断 ：19

4.2。 彼女の姓と名を見つけるのは難しいことではないでしょうか？

完全な電話番号がある場合、完全な情報を取得する場所について多くのアイデアがありますが、メッセンジャーはここに追加されます：WhatsApp、Viber、Telegram、私たちはアカウントを見つけます：







回答 ：マリア・ブリンテット

正しい判断 ：14

5.行方不明の男＃1

5.1。 彼はこのウォレットLMksJQ3GrHXDSMjwEvPAEJsaXS7agq6DaQに関連する秘密を持っています。 彼がこのすべてのお金をどこに送ったか調べてください。

名前により、ウォレットがLitecoinに属していると判断できます。 Litecoinブロックを分析し、最終的なウォレットへの資金の移動を追跡できるサービスのいずれかを使用します。







回答 ：LM33p4m3ZDk5rs1BjkWUvEw3UWWiaH2u2L

正しい判断 ：23

5.2。 彼がどこにいるか調べる。

前のタスクで見つかったウォレット番号によって、当事者の詳細を含む支払い請求書がGoogleで見つかります。







レターをjp.karter7@gmail.com



送信すると、次の自動返信が届きます。







回答 ：複数の

正しい判断 ：12

6.なぜそんなに多くの涙？

6.1。 見つけることができるのは、開発者のアカウントとCloudPetsの記録yadi.sk/d/qTNjZYj63J5vHBだけです。 彼の秘密を聞きます。

cloudpets.7zという名前のアーカイブが存在するリンクが提供されました。これは、AWSクラウドに音声メッセージを記録および投稿したCloudPetsおもちゃの物語を暗示しており、後にハッカーによってマージされました（https://www.troyhunt.com/data-from -connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages /）。







アーカイブを開くと、2：44の録音が見つかり、録音全体を聞くのは非常に問題があるため、オーディオエディター（たとえば、Sonic Visualiser）でトラックを開きます。ここでは、周波数の変動がより顕著であるスペクトル分析機能が必要です。 少し目立ついくつかのポイントをスクロールすると、男性の声がパスワードを言う電話での会話が見つかります。



回答 ：GHgq217 $＃178 @ k12 /

正しい判断 ：5

7.どこでもクロールするPython

7.1。 開発者のTwitterログインを取得します。 ここにWebサービスがあります：devsecure-srv139.phdays.com

devsecure-srv139.phdays.comを開くと、クライアント証明書にログオンする別の可能性について言及した承認ページが表示されます。 サーバー応答には、CloudFlareの使用を示すヘッダーもあります。

 CF-RAY:3519eafdb3a94e84-DME Server:cloudflare-nginx
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

IPアドレスでGoogleのページキャッシュを参照します。







証明書とCAキーを含むサーバーメモリのフラグメントを検出します（ほとんどの場合、Cloudbleedに遭遇しました）。







CA証明書（ca.key、c​​a.crt）を抽出し、クライアント証明書を生成します。

 openssl genrsa -out client.key 1024 openssl req -new -key client.key -out client.csr openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 3137 -out client.crt openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

証明書をブラウザにインポートすると、証明書を使用してログインし、開発者リポジトリにアクセスできるようになります。 リポジトリ内のTwitterボットの構成ファイルには、必要なユーザー名が含まれています。







回答 ：MontyPythonist

正しい判断 ：6

8.システム管理者

8.1。 トークンd91496dfcaad93f974a715fb58abeeb0およびVDS 188.226.148.233が見つかりました。 sysadminのgithubアカウントを見つけてください。

パスを列挙するユーティリティを使用して、APIへのリンクを見つけます-http://188.226.148.233/api/tasks。これにはトークンが必要です。 GETパラメーターでトークンを指定すると、特にGitHubアカウントを含むJSONのタスクのリストが表示されます 。







回答 ：附属

正しい判断 ：12

8.2。 ホームルーターのように見えます...何か面白いものを掘り起こすかどうかを確認します。

Googleにanneximousを入力すると、唯一のリポジトリが見つかります。







説明には、IPアドレスと3つのファイルがあり、そのうちcamera_contol.htmlとleft.jsに関心があります。







IPアドレス188.166.30.118のポートをスキャンすると、ポート8080でIPカメラにアクセスするためのページが見つかります。パスワードとログインはcamera_control.htmlファイルにありますが、ログインしようとすると常にエラーが発生します。











次に、left.jsファイルの学習を始めましょう。 最初の関数はすぐに目を引きます：

  function Call(xml) { if (gVar.httpver == "https") { setCookie("snapcmd", gVar.httpver + "://" + gVar.ip + ":" + mult_https_port[IFs] + "/cgi-bin/CGIProxy.fcgi?" + (urlEncode("usr=" + gVar.user + "&pwd=" + gVar.passwd + "&cmd=snapPicture"))); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それから、カメラから画像をキャプチャする最初のリクエストを取得します。



http://188.166.30.118:8080/cgi-bin/CGIProxy.fcgi?usr%3Dphdaysiot%26pwd%3Dphdaysiot7%26cmd%3DsnapPicture







ただし、カメラは間違った方向に向けられており、タスクは制御コマンドを見つけることです。 良いことはドキュメントがあります：







ドキュメントには、カメラを水平および垂直に回転する要求と、移動を停止するコマンドがあります。







188.166.30.118：8080 / cgi-bin / CGIProxy.fcgi？Usr％3Dphdaysiot％26pwd％3Dphdaysiot7％26cmd％3DptzMoveLeftなど：ptzMoveDown、ptzMoveUp、ptzMoveRight、モーションストップ関数：ptzStopRun。 盲目的にカメラを正しい方向に向けてフラグを取得することは残っています。







回答 ：附属バディオット

正しい判断 ：7

結果

66名の出場者が少なくとも1つの課題を完了しました。 3日間すべて、リーダーはノイヤー（Sipan Vardanyan）でした-すべてのタスクを解決できた唯一の人です。 2位はAVictor（Victor Alyushin）、mkhazov（Maxim Khazov）の1ポイント先です。

1	Noyer	16
2	アビクター	13
3	ムカゾフ	12
4	取り締まり	10
5	トポル	9
6	ウルサス	9
7	x010	8
8	バズ	8
9	Threatintel	8
10	マットグロー	5