Hunt Ege 2022

9 minute read
, ,

Le 21 mai 2022, nous avons participé à la Hunt de l’EGE, un CTF OSINT mêlant une traque sous la forme d’un escape game / course d’orientation dans Paris intra-muros.

hunt

Arrivés au 196 Rue de Grenelle dans le 15eme arrondissement de Paris, après avoir été acceuillis avec un petit déjeuner, la compétition commence !

Parti CTF OSINT

Nouveau dossier

  • Vous êtes un enquêteur faisant partie d’une entreprise très discrète qui gère des situations de crise, souvent liées à des activités illégales, pour des clients fortunés. Cependant, les moyens d’action à votre disposition demeurent uniquement légaux. Vous gérez ces situations sensibles avec discrétion et tact, ce qui participe à la confiance accordée par vos clients.

  • Vous et votre équipe venez d’être mandatés pour aider une personne visiblement en grande difficulté. Les éléments dont vous disposez sont flous. En effet, vous n’avez accès qu’à une vidéo envoyée par le client comme point de départ de cette enquête qui est extrêmement pressante.

  • Pour chaque flag, le format vous sera spécifié. En cas de doute, contacter un admin sur Discord

  • Format du flag : hunt{flag}

Pour la valider, il suffit de copier coller le flag donné dans l’énnoncé.

hunt{flag}

Tic Tac

  • Les propos du jeune homme étaient confus mais il compte sur nous pour régler cette affaire discrètement. A quelle heure la bombe explosera t-elle ?

  • hunt{HH:MM}

En pièce jointe, une vidéo (incroyable)

Le titre de la vidéo est 202205210725_000125, un timestamp, la vidéo commence le 5 mai 2022 a 7h25, dans la vidéo, nous identifions la bombe à 1:14, le timestamp sur la bombe est 10h07:00.
7h25 + 1:14 + 10h07:00 = 17h33:14

hunt{17:33}

Voyage Voyage

  • Où notre protagoniste a t-elle étudié ?

  • hunt{ville_pays}

Dans la vidéo, à 1:00, le protagoniste se saisis d’une carte de visite ou l’on peut lire: Rochefort Emilie / Assistante Parlementaire / [email protected]
Nous cherchons donc une Emilie Rochefort sur les réseaux sociaux; un resultat sort, un linkedin qui correspond parfaitement au nom et à l’emploi de la personne.

linkedin

On voit sur son linkedin qu’elle a étudié à Bucarest, capitale de la Roumanie.

hunt{bucarest_roumanie}

7e ciel

  • Emilie Rochefort est une personne d’intérêt. Un compte crucial pour la suite de l’enquête se cache dans les publications d’une de ses connaissances. Quel est ce compte ?

  • hunt{@compte}

L’url du Linkedin est intéressante, facebook / linkedin assigne de base à l’user prenom-nom-randomUID pour l’url d’un utilisateur, ici l’url est sous la forme emilierochefort1850 (https://www.linkedin.com/in/emilierochefort1850/ cela à donc été choisi à la main (le propriétaire du compte peut le faire), en remplacant linkedin.com/in par facebook.com, on obtient avec chance son facebook (https://www.facebook.com/emilierochefort1850/) (par chance car elle aurait très bien pu choisir une autre url pour son FB / LD)

facebook

Nous cherchons un compte twitter ou instagram (l’énnoncé précise que le flag est sous la forme hunt{@compte})
Un personnage se démarque sur son profil, Hervé De Montaclerc, son amant.

facebook_montaclerc

En cherchant sur twitter Montaclerc un profil ressort tres rapidement.

Twitter search: twitter_search

Twitter profile: twitter_montaclerc

Les infos de son facebook et de son twitter concordent, même ville, et dans tous les cas, on retrouve le lien du twitter dans une des publications.

facebook_montaclerc_twitter

On tente le @ du profil twitter et yay c’est flag !

hunt{@montaclerc}

L’anarchiste

  • L’intuition était bonne, ce nouveau protagoniste cache quelque chose. Une de ses amies semble véhiculer des messages politiques. Qui est la figure dont elle déclare s’inspirer ?

  • hunt{Prénom_Nom}

Nous retournons sur le facebook de Montaclerc car nous n’avions pas encore assez investigué son profil.
En cliquant sur ses amis, 2 resultats ressortent en tête de page, sa femme, Emilie Rochefort, et une autre personne, Ludivine Moreaux. Ce n’est pas le contenu politique qui manque chez la 2ème.

facebook_Ludivine_Moreaux

En descendant dans ses posts, on en trouve un ayant pour caption: Inspiration

inspiration

Un google lens sur l’image nous apprend qu’il s’agit d’Auguste Vaillant la page wikipedia nous apprend notamment que c’etait un anarchiste connu pour son attaque à la bombe sur la chambre des députés.

reverse_image

hunt{Auguste_Vaillant}

Cupidon

  • Quand se sont mis en couple nos deux tourtereaux ?

  • hunt{JJ/MM/AAAA}

Alors la c’est parti pour la stratégie ghetto de stal… d’OSINT, lors de la recherche de l’anniversaire d’une personne, vous pouvez chercher tous les posts de la personne qui contiennent Merci ou autre formule de politesse équivalente. Alors ici on tente pareil, malheursement, rien sur le twitter de Montaclerc, il s’agit de son compte vraiment perso, au point qu’il ne possède pas ses amis IRL, alors, on sèche, jusqu’à ce que nous tombons sur ce petit bouton bien caché de facebook qui nous permet de faire des recherches de post sur un profil:

facebook_profile_search

Sans trop y croire nous tentons un merci et hop ca nous sort un magnifique post.

post_amour_uwu

hunt{29/05/2021}

La boîte de Pandore

  • Nos investigations confirment qu'Emilie semble avoir une présence en ligne conséquente. Une enseigne revient à plusieurs reprises dans ses publications, pouvez-vous nous dire laquelle ?

  • hunt{nom_de_l'enseigne}

Un coup d’epieos sur l’adresse email nous confirme l’existence d’un flickr

flickr_epios

Sur flickr, 4 résultats pour Emilie Rochefort, grâce aux photos sur les 4 comptes, on peut identifier le bon en exploitant le fait qu’un des comptes poste une photo d’Emilie elle-même https://www.flickr.com/photos/195642122@N06

flickr city-locker

On la voit se prendre en photo devant un city-locker.
On obtient aussi un étrange code dans la description, 39492020

hunt{city_locker}

Escapade nocturne

  • Emilie semble s’être intéressée à cette enseigne à plusieurs reprises. Reste à déterminer pourquoi ?

  • Des informations pouvant vous aider à accéder à ces lieux sont certainement dissimulées quelque part. Retrouvez-les !

  • hunt{#code##code##code#}

Infernale.

Apres avoir bloqué 42 ans sur le challenge, en retournant voir le facebook de Hervé de Montaclerc, on trouve dans la section about, ses mentions j’aime et notamment un super like de Strava (Emilie like aussi strava mais il faut étendre la liste des likes pour le voir)

montaclerc_like

Strava est une appli à la nike running club qui permet d’enregistrer son activité physique mais c’est aussi à une sorte de réseau social; direction strava.
Un compte est nécessaire, alors on en crée un et on cherche Emilie Rochefort et la son compte strava tombe dans nos mains.

strava_profile

Sur ce dernier on retrouve 3 courses qui ont comme commentaire les codes que l’on recherche.
Example de publication / course:
strava_run

On récupère les 3 codes dans 3 courses différentes, et:

hunt{#881562##988795##468359#}

Cryptex

  • Un autre ami de nos protagonistes, fan d’Amsterdam aime communiquer sur Internet. Toutefois un de ses messages est incompréhensible. Aidez nous à y voir plus clair.

  • hunt{insérer_votre_flag}

@montaclerc possede 3 followers.
follower_montaclerc

Parmi ceux-ci, Erwan Lagadec nous interesse de part son lien tumblr en bio (et le fait qu’il soit d’Amsterdam).

Twitter: twitter_erwan

Tumblr:
tumblr

ZmxhZ3tjcnlwdGV4OjUvMTMvNS8yMS8yMC81fQ==, le == nous fait instantanement penser à de la base64

1$ base64 -d <<< 'ZmxhZ3tjcnlwdGV4OjUvMTMvNS8yMS8yMC81fQ=='
2flag{cryptex:5/13/5/21/20/5}

flag{cryptex:5/13/5/21/20/5}

Le conciliabule

  • Recoupez tous les éléments que vous avez trouvés jusque là. Ces derniers nous mènent vers le même personnage historique. La fascination de nos protagonistes pour cette figure est intrigante. Il s’emblerait qu’ils aient même traduit une page exprès en son nom.

  • Visiblement, le diable se cache dans les détails.

  • hunt{flag}

Sur le twitter de @montaclerc on observe une altercation avec un certain Jérome Baruel aka @Emilereevolte

altercation_twitter

Emile Revolte était aussi le nom marqué sur la main pendant la video)

Sur son profil twitter, il possède un lien copains d’avant en bio.

altercation_twitter

Sur ce dernier nous apprenons qu’il parle couramment roumain et est contributeur wikipedia.

copains_d’avant

En googlant un dork tel que site:wikipedia.org Jerôme BARUEL on tombe sur le profil wikipedia de notre chère Emile Revolte.
google result: google_wikipedia

profile wikipedia: wikipedia_profil

A partir du profil wikipedia, pour retrouver les contributions de cette personne (on peut utiliser l’addon google traduction pour obtenir un text en francais/anglais tout en restant sur le wiki roumain), il nous suffit de cliquer sur Istoric) Istoric

Puis sur contribuții (celui du haut) contribuții

Nous arrivons sur cette page.
contribuții_list

Emile Revolté a semble-il créé la page wikipedia d’Auguste Vaillant en Roumain, sur cette dernière, la description de la photo saute aux yeux (Ceea ce este înăuntru contează -> Ce qu’il y a à l’intérieur compte).
Nous téléchargeons la photo mais pas de metadonnées intéressantes (grep non plus).
2 sites s’offrent donc à nous pour ce genre de stéganographie simple, StegOnline et l’autre qui ne possède pas vraiment de nom.
Le premier ne nous est pas spécialement utile pour le moment, mais on obtient le flag avec le second:

steg1.png

hunt{t.me/anarchistedetaregion}

Tornado

  • Vous avez réussi à accéder au canal de communication de nos protagonistes. Mais à la lecture de leurs communications, on comprend rapidement qu’ils communiquent par code. A tel point que l’on a du mal à savoir où tout ça nous mène …

  • Avez-vous une idée ?

  • hunt{lieu_exacte}

Nous avons obtenu un Telegram dans le challenge précédent, en voici un extrait: (excellent) telegram.png

Dans ce Telegram, une archive est à disposition, une tâche simple pour notre équipe d’hackers d’elite !

1$ unzip database.zip
2$ find ./database -type f -exec du -a {} \; | sort -rn | head -n 1
31528	./0/3/6/hranest calul.png

hranest calul.png
hranest calul

En passant l’image à steg online, on identifie rapidement la localisation de la photo en analysant les bit planes (via StegOnline).

steg2.png

hunt{place_du_canada}

Fin de la partie CTF OSINT

Il semblerait que Montaclerc soit dans le pétrin, il s’est visiblement allié avec un groupe terroriste sans vraiment le savoir, mais quand ce dernier s’est apercu que ce groupe voulait faire sauter la chambre des députés (sa femme y travaille), il s’est bien évidemment braqué et a voulu partir. La personne dans la video du debut est donc Hervé !

Partie escape game / course d’orientation

Enfin la partie escape game, nous avions bien besoin d’un peu d’air, rester dans un sous sol pendant 6/7h ça nous fait saturer !

Place du Canada

Direction place du Canada donc, avec l’aide de notre ami Google Maps (ou CityMapper, vive Paris) nous entamons une petite marche de 15min depuis le 196.
Le nom du fichier qui contient la photo de la place du Canada est hranest calul, si l’on google cette phrase sur le google Roumain, on tombe sur des tips pour nourrir les chevaux. (hrăneșt calul -> nourrir le cheval)

hranest calul_result

Et là, sur place, SURPRISE, une statue d’un homme qui nourrit un cheval.

photo_place_du_canada

Ce dernier pointe sa tête vers un qr code qui nous mène vers ce pastebin (plus bon)

A l’intérieur, des coordonnées GPS liées à des numéros de casier, les Admins nous indiquent le casier numero 6, ce dernier est aux coordonnées GPS suivantes: 48°51'02.6"N 2°21'03.8"E La localisation d’un City-Locker.

City-Locker

Apres 40min de RER, nous voilà devant le City-Locker, nous utilisons le code trouvé dans le pastebin (il était présent à coté des coordonnées) pour rentrer a l’intérieur du City-Locker

photo_city_locker

Ensuite les codes du strava nous servent à ouvrir le casier, à l’intérieur, un cryptex, un cellulaire, ainsi qu’un post-it avec dessus: PIN: notre date ❤️

photo_nous_city_locker

Une partie du flag de cryptex était 5/13/5/21/20/5, ce sont les numéros de lettres de l’alphabet, cela nous donne EMEUTE, grâce à cela, nous pouvons ouvrir le cryptex, et récupérer son contenu: un manuel de désamorcage ainsi qu’une sim.

Une fois la sim dans le téléphone, nous pouvons le dévérouiller avec la date de la rencontre de nos 2 tourteraux: 2905

A l’intérieur du téléphone, des contacts mais surtout un sms

sms telephone

Boom=>v843+xv le + nous fait directement penser à un géocode, et c’est le cas, cela nous ramène au 196 !!!

geocode_map

196

Arrivé au 196, c’est la panique, une bombe est sur le point d’exploser et c’est à nous de la désamorcer !
Heureusement, nos skills en Démineurs (ou en Keep talking and nobody explode) sont au maximum de leur capacité.
Avec moins de 10sec au compteur, nous réussissons à empocher 2000 points sur une bombe difficile !

Fin de la partie escape game / course d’orientation

Conclusion

Ce fut une rude journee mais nous arrivons tant bien que mal à nous hisser à la 4ème place du podium.

classement

Une journée extrêment enrichissante, pleine de bonnes rencontres.
Et puis, rien ne vaut un apéro apres avoir déjoué un attentat !

photo fin

Merci à jmbomeyo, mboivin, therbret, alagroy- pour cette journée, mais surtout un grand MERCI à l’EGE, et plus précisement à l’AEGE pour l’excellente organisation !