OSINT - Mysterious Passenger
Bon sur ce challenge en deux parties on est peut-être partis un peu loin ^^. Il est resté à très peu de solves pendant un bon moment d'ailleurs.
Partie 1
Sujet : Des extraits de la boîte noire du vol MA1404 ont leak sur un pastbin. Retrouvez le numéro du siège du passager mystérieux.
On attaque en recherchant MA1404 sur pastebin, ce qui nous amène à la page suivante :
Ce qui nous donne les fichier leakés, que l'on télécharge. En les écoutant, Shaym et moi avons vite reconnu des éléments du film "Boîte noire" sorti il y a quelques mois et que nous avions vu récemment. Et c'est là qu'on est partis en c*uilles.
Sans spoil, dans le film, il y a un méchant terroriste responsable d'un crash d'avion, sauf que ouhlala retournement de situation c'était pas lui et c'était un hacker. Hacker. On est dans le thème. Donc ça a fait clic dans nos têtes de génies, il fallait trouver le numéro du siège de ce hacker.
Pour ce faire, on a commencé par LOUER LE FILM LEGALEMENT pour y avoir accès, et retrouver à l'aide de nos souvenirs deux scènes : celle où l'on voit la place du terroriste présumé, et celle où on le voit d'abord lui, puis la caméra tourne et montre le hacker à son siège. On a aussi trouvé un plan de l'avion c'est cadeau. En comptant les places qui les séparent :
On était tous fiers et ça faisait bien 2h qu'on analysait le film frame par frame quand un admin nous a dit "Bravo pour ta motivation, mais le flag est uniquement dans les audios."
J'ai donc ouvert mon meilleur ami Audacity, et commencé à analyser les enregistrements. C'était un peu glauque, très saturé, et avec beaucoup de hautes fréquences parasites. Exemple :
Pour ce faire, dans Effets :
- Dans Réduction de bruit, réaliser un profil du bruit de fond seul, puis l'appliquer sur tout l'audio.
- Si trop de hautes fréquences, appliquer un filtre passe bas (ici à 6000Hz).
- Gérer les basses et les aigus pour isoler les voix.
Après tout ça, les voix deviennent beaucoup plus audibles et compréhensibles, mais les discussions ne semblent rien donner.
Seulement l'audio ci dessus présente un élément perturbant.
Que ce soit sur le spectrogramme, sur l'audio ou sur la forme d'onde, tout dénote avec ce passage.
On l'isole, et, avec l'option Changer la vitesse réglée à 0,110x la vitesse initiale, on obtient le résultat suivant :
"On a un problème avec le passager au siège 61B". Le flag est donc MCTF{61B} !
Partie 2
Sujet : Bravo ! Puisque vous connaissez sa place dans l'avion, vous devriez pouvoir l'identifier avec le fichier suivant. Nous savons qu'il a repris un vol récemment, trouvez le numéro de celui-ci.
On nous donne le manifeste du vol, c'est-à-dire la liste des passagers et de leur siège. Ainsi:
Notre homme s'appelle Yuri Petrovski ! Après quelques recherches, non seulement c'est un chanteur connu, mais c'est aussi vraisemblablement un nom très utilisé dans des commus sexuelles bizarres sur Facebook. Par contre, on a un twitter !
Sur celui-ci, peu de tweets : Un RT d'Air-France (à garder en tête), et un tweet énigmatique...
L'avion que l'on cherche est donc parti à 12h45, devait arriver à 13h40, mais a été rapide et n'a volé que 39 minutes. Il a aussi suivi le "chemin tricolore", donc probablement Paris, d'ailleurs en extrapolant on peut penser que c'est le chemin que prennent les avions de la Patrouille de France le 14 Juillet, et c'est un vol d'Air France. C'est l'heure de FlightRadar24 (ou RadarBox mais on voit pas les navions)!
En entrant les données, on trouve assez vite le vol suivant :
Les horaires correspondent, la destination est la ville où se trouve l'école organisatrice du CTF, tout colle ! On a donc MCTF{AF9466}
Write-up by Daeras.