Manaf

Operation Gear Grinder

Posted on Jun 29, 2024

Ce challenge était un challenge d’OSINT. On reçoit un email de signalement. Un certain Christophe est mentionné. Ce challenge est séparé en 13 parties.

Signalement 0/12

On reçoit l’email de signalement. Une image est attaché, contenant le nom de la cible: Christophe Durandier. On nous demande le nom de la personne sur laquelle enquêter.

Solution

Format du flag: SHLK{Prénom_Nom}

SHLK{Christophe_Durandier}

En billebaude 1/12

On doit identifier le modèle du téléphone de la cible. En cherchant son nom sur Google, on tombe sur son profile Flickr, où il a posté quelques photos. L’exif sur une seule des 9 photos nous donne le nom de son téléphone: Samsung Galaxy 22

Solution

Format du flag: SHLK{Marque_Gamme_Lettre_Numéro}

SHLK{Samsung_Galaxy_S_22}

Sur écoute 2/12

Un enregistrement téléphonique nous est donné, dans lequel Christophe Durandier parle à un de ses amis. Il évoque quelques charactéristiques d’un athlète, qu’il faut retrouver, selon ces critères:

  • Disqualifié à vie du sport
  • Pays de naissance a accueillie l’eurovision à son année de naissance
  • pas très grand

Je suis allé cherché la liste des athlètes disqualifiés pour dopage sur Wikipedia, et j’ai commencé à éliminer les cas.

Je suis tomber sur Roberto Barbi, un athlète italien qui a été bannis à vie de la compétition sportive après avoir été testé positif à l’EPO en 2009. Il est né en 1965, année à laquelle l’Italie a accueilli l’eurovision, à Naples.

Solution

Format du flag: SHLK{Prénom_Nom_Molécule}

SHLK{Roberto_Barbi_EPO}

Bon vivant 3/12

Nous cherchons le lieu où la cible passe beaucooup de temps. En cherchant un peu, nous tombons sur son Instagram. Ses stories à la une, spécifiquement la dernière, nous montre des images d’un bar situé à Paris (La tour Eiffel est visible).

https://i.2221.ch/JcJHoO9k.jpeg https://i.2221.ch/bMzNPJ8T.jpeg

J’ai réussi à localiser ce lieu, comme étant le Windo Skybar, situé au 34ème étage.

Solution

Format du flag: SHLK{Ville_Nom_du_lieu_Etage}

SHLK{Paris_Windo_Skybar_34}

Globetrotter 4/12

Nous remarquons que Christophe Durandier est impliqué dans un certain système de livraison. Nous n’en savons pas beaucoup, mise à part que il utilise des Amazon Locker.

Lors d’une filature, nous apprenons le nom de deux Amazon Locker qu’il aurait fréquenté: Jeanne et Charlton.

https://i.2221.ch/fXzhtQyv.PNG

En cherchant sur Google Maps, nous apprennons que Jeanne se situe à Paris, et que Charlton se situe à Perpignan.

Solution

Format du flag: SHLK{Ville_Ville}

SHLK{Paris_Perpignan}

Maman j’ai pas rate l’avion 5/12

Nous apprennons que la cible a pris un vol le 3 mai 2024 pour aller chercher les deux livraisons. Il habite à Paris. Nous pouvons donc déduire par logique, que il a pris un vol de Paris à Perpignan. En cherchant dans les stories à la une sur son compte Instagram, nous trouvons la compagnie aérienne avec le logo sur l’aile (Transavia).

J’ai pris la version d’essaie de Flightradar24 pour regarder les vols antérieurs. J’ai cherché les vols entre Paris Orly (ORY) et Perpignan (PGF). J’ai trouvé le vol numéro to7036

Solution

Format du flag: SHLK{Vol_Référence}

SHLK{to7036}

Malette 6/12

Nous recevons plusieurs photos d’une malette à retrouver la marque et le modèle. J’ai demandé à ChatGPT quelques marques de valises notoires, et je suis tombé sur une marque qui produisait des valises ressemblantes aux photos: Pelicase.

J’ai cherché pendant 1 heure sur leur site, et je n’ai trouvé aucun modèle correspondant. Après 5 minutes sur Amazon, j’ai trouvé le modèle exacte. J’ai trouvé que c’était une Pelican 1450.

Solution

Format du flag: SHLK{Marque_Modèle}

SHLK{Peli_1450}

Hippocrate 7/12

On reçoit un bon de livraison contenu dans une de ces valises: https://i.2221.ch/YGcaaVbS.jpg

Ce bon de livraison est addressé à Hélèna LAESTIA. Nous devons trouver dans quel société travaille-t-elle et quand a-t-elle été fondée.

En cherchant son nom sur Google, nous tombons sur son compte Medium, où elle promouvoit le dopage dans les sports et la vie de tous les jours.

Dans cette article, nous lisons à la fin:

This seminar was made possible through the support of AnabolExperts.

Je dois donc chercher des informations sur AnabolExperts.

Son profil Medium mentionne un profil Patreon. Dans la description de son profil, on trouve un lien vers le site internet d’AnabolExperts: https://anabolexperts.wixsite.com/anabolexperts

Dans la page À propos, on trouve l’année de fondation de la société: 2020

Solution

Format du flag: SHLK{Société_Année}

SHLK{AnabolExperts_2020}

Compromission 8/12

Une associée de Christophe Durandier, de faux nom Ola Nordmann, désire se débarasser d’un véhicule le plus vite possible. Nous l’apprenons à travers la récupération d’une conversation WhatsApp:

https://i.2221.ch/DWVR0Or9.JPG

En cherchant un véhicule correspondant à ces critères sur Leboncoin, nous tombons sur celui-ci: https://www.leboncoin.fr/ad/utilitaires/2709101992

La plaque correspond et les défauts sur le véhicule aussi.

Nous apprenons l’identité d’Ola: Oliwia VIREAUQUE.

Solution

Format du flag: SHLK{Prénom_Nom}

SHLK{Oliwia_Vireauque}

Canal Secret 9/12

Christophe Durandier utilise désormais un canal secret pour discuter avec ses associés. On souhaite découvrir le nom du salon de ce canal.

Dans le forum d’AnabolExperts, on trouve cette discution: https://anabolexperts.wixsite.com/anabolexperts/demander-%C3%A0-l-expert/service-client/commande-non-recue

Le nom de l’auteur correspond au faux nom de Christophe Durandier, utilisé lors de l’achat du billet d’avion. Ce message en particulier est intéressant:

Je t’envoie les informations nécessaires sur le nouveau canal sécurisé.

Sur le protocole :

eeeeeeeeeepaeaeeeaeeeeeeeaeeeeeeeeeeccccisaaaaiiiiiiiiijeeeeeeeeeeeeeeeeeejiiiiiiiiiiiijeeeeeeeeeeeeeeeeeeejiijiiiiiiiiijeeeeeeeeeeeeeeejceeeeeeeeeeeeeeeeeeeeeeej

Via le client : eeeeeeeeeepaeaeeeaeeeeeeeaeeeeeeeeeeccccisaaaaejeeeeeeejiiiiiiijeeeeeeeejiiiiiiiijeeeeeeeeejeeeeeej

Sur le salon public :

eeeeeeeeeepaeaeeeaeeeeeeeaeeeeeeeeeeccccisaaaaeeeejejiiiiiijeejeeeeeeeeeeeeeeejiiiiiijeeeeeeejiiiiiiijiiiiiiiiiiij

J’ai remarqué que tous les messages encodés commencent par eeeeeeeeeepaeaeeeaeeeeeeeaeeeeeeeeeeccccisaaaa. En faisant une recherche sur GitHub, je suis tombé sur un document écrit en chinois qui parle de l’alphuck. C’est une variante du Brainfuck qui s’écrit uniquement avec des lettres de l’alphabet. J’ai donc utilisé un décodeur disponible en ligne.

Protocol = [matrix]

client = element

salon = hicetnunc

Solution

SHLK{hicetnunc}

Localisation 10/12

Celui-là est compliqué. J’écris le writeup alors que j’ai pas encore finis.

J’ai passé plusieurs heures à essayer des antennes, avant de me rendre compte que fallait rejoindre le canal matrix, car y’avait des informations dessus.

J’ai donc enfin rejoint le canal, et la cible a posté une photo: https://i.2221.ch/nDpda10a.png

On peut y lire le SSID d’un wifi: Bbox-666-AnabolDoctor. J’ai fais quelques recherches sur AnabolDoctor, pour voir si je pouvais trouver quelque chose à ce sujet (une adresse, peut-être?), mais rien trouvé.

Cependant, j’ai trouvé un site qui répertorie les coordonnées GPS des réseaux wifis, avec possibilités de chercher par SSID: wigle.net

(Je peux pas montrer de screenshots, car je suis rate limit pour quelque raison.)

Je suis donc tombé sur cette localisation: https://maps.app.goo.gl/FtpjM1JfUgFnhZjJ6

En cherchant sur opencellid.org, j’ai trouvé l’antenne suivante:

https://i.2221.ch/8fdUXG90.png

MCC: 208
MNC: 10
LAC / TAC: 60023
CID: 40220962
Radio Type: UMTS

Solution

Format du flag: SHLK{MCC_MNC_LAC_CID}

SHLK{208_10_60023_40220962}

Safe House 11/12

La cible a trouvé refuge dans une Safe House. Cependant, une photo de la carte a fuité sur le salon matrix: https://i.2221.ch/HfenpuF5.PNG https://i.2221.ch/Iflpwfqz.png

La photo de la carte me semble mise à l’envers, car la watermark de google à opaque à moitié est à l’envers.

Normalement, elle est comme ça:

https://i.2221.ch/hO7rweab.png

Mais ici, elle est:

https://i.2221.ch/0qQPLORV.png

Donc j’ai retourné la photo avant de faire mes recherches:

En utilisant Google Lens, j’ai réussi à correspondre cette image avec Montady, en France.

https://i.2221.ch/igosbfbW.png

Le lieu s’appelle: Au Lavoir

Solution

Format du flag: SHLK{Nom_etablissement}

SHLK{Au_Lavoir}

Conclusion 12/12

On apprend que le nom de l’Operation Gear Grinder est une référence à une opération menée par la D.E.A. aux États-Unis, dans les années 2000. On nous demande le nom du faux site que la D.E.A. a monté.

En cherchant dans un article, j’ai trouvé bio-power-meds.com.

Solution

Format du flag: SHLK{nom-de-domaine.tld}

SHLK{bio-power-meds.com}

Conclusion

J’ai bien aimé ces 13 petits challenges, bravo à l’équipe de Shutlock!