Neoquest 2018: «Найти ихтиандра»

p3h1iz3idgoahj1zzx0yn-wl0xe.png Недавно закончился очередной NeoQuest. Под катом разбор третьего задания, относящегося к области OSINT.
Все, кого интересует стеганография и поиск информации о человеке, добро пожаловать под кат.


senntuamywucp2kqaz7akjsrhca.png


Текст задания содержит ссылку на специальную форму, правильно заполнив которую, можно получить ключ:


ky752i3auosbagarv4zp11wljfa.png


Начинаем искать информацию. Все что нам известно это ник andr_ihtiandr. Попробуем посмотреть профиль человека с таким ником в наиболее очевидной базе персональных данных — Вконтакте: https://vk.com/andr_ihtiandr. Такой профиль действительно существует и там обнаруживается много интересной информации, например, такая картинка:


ejturskzbautsruwofmz_4fw3vg.jpeg


Вот и первый параметр для получения ключа. Организация, в которой работает andr_ihtiandr, это AtlanticNeoSecurity.


Также привлекает внимание информация «О себе»:


If you want to write to me, you should know that I use only encrypted messenger.
And sometimes I write interesting things on text storage site =)


Encrypted messenger это очевидно Telegram. В нем нашелся пользователь @andr_ihtiandr, на приглашение пообщаться он не реагировал :) Зато в его профиле обнаружилась еще одна интересная картинка:


l_wepqdecec_urqr6jra31v6pm4.jpeg


На картинке есть логотип известного сервиса вопросов и ответов ask.fm. И конечно в нем обнаруживается профиль таинственного ихтиандра: https://ask.fm/andr_ihtiandr. Пролистав список вопросов, видим еще один параметр, нужный для получения ключа. Фамилия основателя оказалась Nobody.


pso9bkxlidxvwsqrjpeoflt1iz4.png


Вернемся к данным из Вконтакте. Ихтиандр сообщает, что пишет интересные вещи on text storage site. Наиболее известный представитель подобных сервисов — Pastebin. Изучаем профиль пользователя с ником andr_ihtiandr: https://pastebin.com/u/andr_ihtiandr и находим единственную запись https://pastebin.com/fifeAE1q. Запись содержит картинку, закодированную в Base64:


5gne55mub6huf6kogg-2awlspnm.jpeg


Тут стоит вспомнить о простейшем способе стеганографии, когда внутрь jpg картинки прячут rar архив. Картинка действительно успешно открылась архиватором. Полученный архив содержал текстовый файл с подсказкой:

Ok, you found the image. It shows one story about Atlantis.
What is next?
What exactly do you need from this story? Look inside!

и странную картинку:

r4f96fnld9y0soagis9iwigohng.jpeg

Look inside так look inside. Открываем картинку в блокноте и после jpeg контейнера обнаруживаем очередную подсказку:

mrpzrafql2atfptaclkqk_mzlgw.png

Нужно найти какой-то год, это и будет годом основания компании, который является очередным параметром для получения ключа.


Дальше нам поможет поиск по картинкам в Google. Оказывается, странная синяя картинка связана с новостью о том, что в 2009 году благодаря Google Ocean были якобы найдены останки Атлантиды. Бинго! год основания компании — 2009.


Последний шаг задания — найти фотографию того, кто спрятался на почти черно-белой картинке. Возвращаемся в профиль ихтиандра Вконтакте. Там как раз есть подходящая фотография:


q9qtmoyxndiqnjfxxwfnkotbqjy.jpeg

Казалось бы, ничего необычного, но если внимательно приглядеться, можно заметить, что на ней желтым выделены буквы некоторых вывесок:

_vvagjdl3n6epqasyiictki52-o.jpeg


Ну ок, значит в форму надо загрузить фотографию котика. Например, из википедии.

4gneyojv7bxjuinycitixereuqw.png

Ключ получен!

© Habrahabr.ru