The Secret of Halloween
WU of one of OSINT challenge of UDCTF 2023
OSINT
~5 minutes
The Secret of Halloween
18 solves - 489 points
Description
With only 4 days until Halloween, it seems that some dark secrets are surfacing that a few CTFers have picked up on. A user has mysteriously disappeared and we do not know if similar things will happen to others. We have discovered a user on the internet by the name of J0hnV4mp1re who seems to know more about this phenomenon. Please find him and any flags/hints he may hold.
Given Files
X
Solution
Dans la description, on nous parle d'un certain J0hnV4mp1re. On va donc chercher sur Google ce nom. On tombe rapidement sur un compte Reddit : https://www.reddit.com/user/J0hnV4mp1re, on peut voir qu'il a posté des commentaires sur le subreddit r/hallowsecret.
Sur un de ces commentaires, on trouve une adresse mail : 7hi51sh41l0w33n@gmail.com
En lisant un peu plus les commentaires, on trouve une autre personne intéressante : u/Cotton__Mather. Cette personne semble avoir supprimer un message, essayons de le retrouver avec la Wayback Machine : https://www.reddit.com/user/Cotton__Mather/comments/?rdt=57808
En date du 25 octobre, on trouve un message supprimé :
NjggNzQgNzQgNzAgNzMgM2EgMmYgMmYgNjQgNzIgNjkgNzYgNjUgMmUgNjcgNmYgNmYgNjcgNmMgNjUgMmUgNjMgNmYgNmQgMmYgNjQgNzIgNjkgNzYgNjUgMmYgNjYgNmYgNmMgNjQgNjUgNzIgNzMgMmYgMzEgNTkgNjggNTUgNWEgMzQgNzkgNTcgNDUgNDQgNjkgNjIgNGEgNDcgNGEgNWYgNjcgNjEgMmQgNTIgNjMgNGQgNTUgNGEgNjUgNGYgNGYgNmIgNzEgNDkgNDggNmMgNTAgM2YgNzUgNzMgNzAgM2QgNjQgNzIgNjkgNzYgNjUgNWYgNmMgNjkgNmUgNmI=On peut décoder ce message :
echo 'NjggNzQgNzQgNzAgNzMgM2EgMmYgMmYgNjQgNzIgNjkgNzYgNjUgMmUgNjcgNmYgNmYgNjcgNmMgNjUgMmUgNjMgNmYgNmQgMmYgNjQgNzIgNjkgNzYgNjUgMmYgNjYgNmYgNmMgNjQgNjUgNzIgNzMgMmYgMzEgNTkgNjggNTUgNWEgMzQgNzkgNTcgNDUgNDQgNjkgNjIgNGEgNDcgNGEgNWYgNjcgNjEgMmQgNTIgNjMgNGQgNTUgNGEgNjUgNGYgNGYgNmIgNzEgNDkgNDggNmMgNTAgM2YgNzUgNzMgNzAgM2QgNjQgNzIgNjkgNzYgNjUgNWYgNmMgNjkgNmUgNmI=' | base64 -d | xxd -r -p && echo ""
https://drive.google.com/drive/folders/1YhUZ4yWEDibJGJ_ga-RcMUJeOOkqIHlP?usp=drive_linkOn trouve un lien Google Drive : https://drive.google.com/drive/folders/1YhUZ4yWEDibJGJ_ga-RcMUJeOOkqIHlP?usp=drive_link
Sur ce drive, on trouve un secret.jpg.
Avec binwalk, on trouve un fichier caché : emails.txt.
enjoyerwerewolf: Dude where were those resources for pwn again that you had?
wowiefinder: Bro idk I suck at pwn
enjoyerwerewolf: Idc if u suck at pwn, this is important. Do u remember where you saved them?
[...]
wowiefinder: Alright gl dude, Im gonna get back to making ads for the school insta
enjoyerwerewolf: Right on2 noms d'utilisateurs : wowiefinder et enjoyerwerewolf et un compte Instagram de l'école.
On va donc chercher sur Instagram : https://www.instagram.com/wowiefinder/ et https://www.instagram.com/enjoyerwerewolf/
enjoyerwerewolf: Rien d'intéressantwowiefinder: On trouve une chaîne de caractères intéressante dans la bio :wpgeo://ldqgj.xr/HRaFFF0P3fD
wpgeo semble être https mais encodé. Le format semble faire référence à du chiffrement pas vigénère.
Sur dCode, on sélectionne En connaissant un mot du texte clair : et on met https dans le champ.
Le site nous retourne : PWNPWX https://ooutu.bu/SVnQJI0A3jQ avec PWNPWX en clé. Dans le mail, il y a une référence au PWN. On change la clé en PWNPWN et :
Youtube
On trouve un lien Youtube : https://youtu.be/SVnQJS0A3jQ.
On peut entendre du morse durant la vidéo qui, une fois décodé, donne : UDCTFFAK3FL4GK3YW0RD5.
Le flag est faux, mais fait référence aux ̀KEYWORDS.
On va chercher dans le code source de la vidéo youtube :
curl https://www.youtube.com/watch?v=SVnQJS0A3jQ | grep 'keywords'` et on trouve :
> <meta name="keywords" content="https://wowiewow, iewowiewow, ie.github.io/wo, wow/">Github Website
On reconstitue l'URL : https://wowiewowiewowiewowie.github.io/wowow/ et on tombe sur un site avec le contenu suivant :
<!DOCTYPE html>
<html>
<head>
<title>My Archive</title>
</head>
<body>
<h2>Where am I?</h2>
<p>It's me, Wowie. You may know me from the Instagram, or the Reddit, or the logs you found.</p>
<p>I've been trapped inside this website for hmmm I don't know how long. Lemme think <u>first</u>.</p>
<h1>I found the secret of Halloween just like it said on the thread but... well...</h1>
<p>This happened.</p>
<p>Looks like I should've <u>down</u>voted it after all.</p>
<h5>I need your help this very <u>second</u>.</h5>
<p>The Secret of Halloween... It's a pwn problem.</p>
<h4>I know, I know, a pwn problem you tell me? In my misc category ctf? Yes. Just straight <u>up</u> a Pwn problem.</h4>
<p>I've been trying to figure out this pwn problem for what feels like YEARS.</p>
<p>Please go get the flag and end this journey.</p>
<p>You have everything you need in this website.</p>
<h6>Good Luck</h6>
<h3>- Wowie</h3>
<a href="https://drive.google.com/drive/folders/1OYK73DY72qBAb8KrTAPVUVEqWySN47-5?usp=sharing">Here</a>
<!-- The password is not able to be solved with john the ripper. -->
<!-- It's 18 numbers long, consisting of 3 sections of 6 numbers joined into one-->
<!-- The first, second, and <u>third</u> sections can all be found in this website -->
<!-- You made it this far, you better not give <u>up</u>-->
<!-- <h#>Use your head</h#> -->
<!-- The numbers are in order, the only question is how to read them? Maybe from the bottom up? or from the top down? -->
</body>
</html>On trouve un lien Google Drive : https://drive.google.com/drive/folders/1OYK73DY72qBAb8KrTAPVUVEqWySN47-5?usp=sharing mais le dossier est protégé par un mot de passe.
On trouve aussi des indices sur le mot de passe :
- Il est composé de 3 sections de 6 chiffres
En regardant les dans le code source, on trouve : first, down et up. On peut donc supposer que les 3 sections sont dans l'ordre : first, second et third.
up et down font référence à l'ordre de lecture des sections.
On trouve aussi un commentaire : <!-- The numbers are in order, the only question is how to read them? Maybe from the bottom up? or from the top down? -->
Après de nombreux essais, on trouve le mot de passe qui permet de déchiffrer l'archive.
UDCTF{w0W13_I5_fr33D!!_H4pPy_h4LL0w3En!}