Nous sommes infiltrés! (OSINT) - 404CTF2022

Principe:
Trouver le lien d'un site caché dans les anciens commits des sources github du site personnel d'un faux-membre de HackademINT, pour y trouver le flag

Infos (cf menu latéral):
🚩 Flaggué! +862 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{Att3nt10n_AU8_V13ux_C0mMiT5}

Le challenge

Il faut retrouver qui est la taupe parmi les membres de HackademINT

Membres

La photo nous donne des noms, dont un déjà me semble ressortir: Xx_Noel_Janvier_xX

S'il ressort, ce n'est pas tant pour le "prénom: Noël, nom: Janvier" qui est quasi-trollesque (au même titre que Monsieur et Madame Renault qui appèleraient leur fille Mégane), mais surtout pour le Xx_…_xX!

Rootme

Comme on nous parle de rootme, allons-y
Ouvront un profil de quelqu'un au pif depuis le tchat à gauche, histoire de voir la structure des URLs

Y'a sûrement plus propre comme façon d'accéder à un profil spécifique, mais franchement, n'aimant pas root-me (car je le trouve abominalement pas pratique en termes d'UX), j'ai fait au plus rushé!

Et allons ensuite sur le profil de Xx_Noel_Janvier_xX : on trouve un lien vers un site

Le site

Dans ce site, on retrouve des éléments ("Gorf") qui font penser à un challenge précédent: "Braquage"
On explore un peu le site, mais on ne trouve rien d'évident (y compris dans ses sources), alors, on va chercher ailleurs

Github

Comme il s'agit d'un `github.io` on peut aller voir le profil correspondant sur github.com

On peut aussi retrouver ce profil dans les liens du site

On consulte les sources (c'est un repo publique) du site, et on trouve quelques commits
En cherchant "Hallebarde" (ou en explorant chaque commit: il y en a peu), on trouve cette ligne d'historique , qui confirme le lien entre cet utilisateur et Hallebarde

Site caché

En se rendant sur l'URL trouvée hallebarde.duckdns.org, on obtient le flag

Flag: 404CTF{Att3nt10n_AU8_V13ux_C0mMiT5}