# Перевод Crypto-CTF "TryHackMe Sakura" **Published by:** [Schwarz_Osint](https://paragraph.com/@schwarz-osint/) **Published on:** 2022-10-04 **URL:** https://paragraph.com/@schwarz-osint/crypto-ctf-tryhackme-sakura ## Content Данный материал переводом видеозаписи Motasem Hamdan.В данном CTF будет рассмотрено применение OSINT, для идентификации персональных данных хакера.Ознакомиться с CTF можно здесь. Вот исходная ситуация и наша задача:Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.Вот фотография, которую оставил нам хакер.Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так:$ strings sakurapwnedletter.svg | less Вот так будет выглядеть выдачаКликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAikoSakuraSnowAngelAiko - это первый ответ в CTFТеперь CTF ставить перед нами вопрос, какой у хакера емейл и как его зовут?Обратимся к гуглу и посмотрим, что он нам выдаст.Не густо, но с этим можно работатьЧто ж, добрый день, Aiko AbeНо нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub. https://github.com/sakurasnowangelaiko Бинго. Теперь обратимся к его PGP. https://github.com/sakurasnowangelaiko/PGP/commit/df43e6813e861a01fe3a9996214b01fe5e95c81c Расшифровать его нам поможет вот эта тулза Смотрим на выдачу:Еще один ответ на CTF SakuraSnowAngel183@protonmail.comЧто ж, дальше сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.В его активности можем увидеть, что он пользуется ЭфиромИногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.Теперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021. Для этого нам потребуется сервис EtherScan. Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.Можно настроить фильтр, для удобства.Там же мы можем видеть, что хакер отправлял с своего кошелька TetherСледующая вводная такова, хакер просек, что мы его ищем и скидывает нам следующее сообщение:МощноКонечно на этом этапе, мы уже понимаем, что Айко имбицил, потому что удалив старый аккаунт, он упоминает свой никнейм в новом.Следующий вопрос, также указывает на iq - 100 у нашего “объекта” исследования, а именно: НА КАКОМ ЮРЛ ХАКЕР ХРАНИТ ПАРОЛИ. Казалось бы задачка уже на уровне CIA, но нет. Все проще. Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net.Работает. Нужный ввод DK1F-G (на сайте надо регаться, но это того стоит)Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.Необходимо найти: Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter. Последняя фотка сделанная перед перелётом выглядит так:Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.Озеро устанавливается по простому поиску в Google EarthНу а где же живет наш хакер?Мы уже знаем ответ из этой картинки:HirosakiЧто ж. Если вас осталось, что-то не понятно, прошу просмотреть видео самим, там все доходчиво объясняется: Это была славная охота ;) ## Publication Information - [Schwarz_Osint](https://paragraph.com/@schwarz-osint/): Publication homepage - [All Posts](https://paragraph.com/@schwarz-osint/): More posts from this publication - [RSS Feed](https://api.paragraph.com/blogs/rss/@schwarz-osint): Subscribe to updates