🕵️‍♂️

[write up] Open xINT CTF 2022 (team:wrightias; 4th place)

2022/10/30に公開約10,700字

まえがき

先週(10/22-23)に行われたTsukuCTF2022に続き、AVTokyo2022内のオンラインイベントであるOpen xINT CTF 2022にチーム「wrightias」で参加してきました。

結果は4位でした。3位~5位は同得点で、時間差で順位が決まりました。チームの詳しい成績情報はこちらで見れます。

メンバーはリーダーの"kamo"と、"nino"、"Saten0"でした。このwrite upはチームで共同編集し、リーダーのアカウントより投稿させていただいております。

解けた問題

whois (100) [solver:kamo]

194.146.200.33 のAS番号を答えよ.

whoisコマンドで出てくるAS番号を提出すると不正解。別のやり方を試してみるか、ということで、shodanで検索した。そこに書かれていたAS番号を提出すると正解となった。

ネットワークに明るくないのでなぜwhoisのAS番号が誤っていたのかはよくわからない。教えてください。

去年のOpen xINT CTFのwhois問はwhoisするだけだったので、「今年は一筋縄ではいかないぞ」と思わせてくれる問題でした。(kamo)

VIDEO (100) [solver:Saten0]

動画の開始地点の座標を答えよ
https://1drv.ms/v/s!AmBkM-TKj1Utib0RMBERe00Vk-EvUA?e=EAJhB8

動画を再生したところ、既視感を感じたのでよく拡大してみたら「君津スマートIC」と見えたので提出しようとしたらなぜかミスってて沼へ。flagのフォーマットが間違ってたっぽくて代わりにkamoさんが提出しました。(Saten0)

僕(kamo)とSaten0さんは木更津高専の出身なので君津が出てきてびっくりしました。PAから少し行くと小糸川温泉や高倉観音があるので遊びに行ってみてくださいね。
OneDriveの動画なのですが、ブラウザで再生すると画質が悪いので文字が見えず、ダウンロードして再生すると画質が上がるなんて場面もありました。(kamo)

3month (300) [solver:Saten0, kamo]

この建物の座標を求めよ。

lensで調べたら同じ画像が出てきました。それをkamoさんに投げてSaten0は終了。(Saten0)

リバースイメージサーチで見つかったなら余裕やろ!、とバトンタッチを受けました。されど300点問題、一筋縄ではいきませんでした。

はじめに、リバースイメージサーチの結果に罠があります。この建物はロシア軍(系の建設会社)が短期間に病院を作れるようにした汎用設計・建設キットみたいなもので、ロシア各地に似たような建物があります。

ロシアの情報ですから、改めて、Yandexでリバースイメージサーチをして情報を探していたのですが、上記の罠にはまり、数十分間、全く関係ないロシア国内タゲスタン共和国の病院の場所を探してしまっていました。よく見ると細部が異なることに気づき、落とし穴から這い出ることに成功。(10/31追記:病院の屋根にキリル文字で大きくマリウポリって書いてありました。僕はバカです。キリル文字は読みだけわかるスキルがあったのですが、活かせず・・・。)

全く見た目が同じものに絞ると、こんな記事があるのを発見。病院は、ロシアが不法に占領しているウクライナのマリウポリ市に今年の9/22に建設されたものだとわかりました。

Yandex Mapでマリウポリ市を開き、「медцентры(医療センター)」などで検索してもヒットせず。9/22建設なので衛星写真や地図のメタデータを使うのは無理かなと思いました。

「詰んだぞ・・・」と思ったのですが、詰んだときは、GoogleやSNSでの検索に答えがある、と1週間前のTsukuCTFで学習していたため、Twitterで愚直に「マリウポリ 病院 ロシア軍」と検索すると、ビデオ付きのツイートが見つかりました(ツイート内容が反ウ的ですのでご注意ください。)。

https://twitter.com/Kumi_japonesa/status/1567673667529895936?s=20&t=ow0SBAkRjkaIAJfggjMXiQ

このビデオから、病院の位置を示す重要な情報が見つかります。

まずは冒頭のこちらのシーンで「これでいける」と思いました。病院は立派な教会のすぐ近くにあります。

こちらのシーンでは、教会と病院の位置関係をより分かりやすく認識できます。

次は教会探しです。「マリウポリ 教会」とかで検索してもうまくいかなかったので、「церковь(教会)」でYandex Mapを検索。すると、

それっぽい教会が出てきます。衛星写真を見ると、

教会の青い屋根の建物がくっきりと映っていますので、これをもとに位置を推定でき、赤丸の場所で正解できました。(kamo)

spacious(100) [solver:Saten0, kamo]

写真に写っている場所の名前を答えよ。

1枚目の写真には「トヨタ モビリティ パ(葉で隠れてて見れない)」とあったので、少し悩んだ結果、あーこれパーツかって思ったのでトヨタモビリティパーツで検索をかけました。。
明らかに都内っぽい発展具合だったので調べたところ芝公園がヒット。2枚目に映ってるビルもあるし完璧や!と思って提出するもミス。あれー?って思ったところ、kamoさんが公園の「中の広場」の名前を入力してcorrect。(Saten0)

Saten0さんが「芝公園18号地」で間違いないのにcorrectできないというので助っ人で参戦。Google Earthの3D表示で正確な撮影位置を割り出し、公園内の広場である「いきいき広場」を入力して正解になりました。問題名がspaciousなのは、広場を答えさせるからでしょうか?(kamo)

ho ho ho (300) [solver:nino]

これからの季節、欲しくなるものを展示・販売するこの会社。
大使館にも表敬訪問する同社には、あるギルド会員でチーズの専門家も。
その人の名前をフルネームかつ漢字で答えよ。

「薪ストーブ "大使館" "表敬訪問"」で検索すると、「フィンランドの森」の関係者がサンタクロースとともにフィンランド大使館を表敬訪問する動画(link)をみつけることができました。
「"フィンランドの森" ギルド」で検索すると、「ギルド・クラブ・ジャポン」なる団体のニュースレターが引っかかります(link)。このニュースレターに登場する「人見厚子」さんがflagでした。

誘導が多かったのでこのCTFのなかでは一番解きやすい問題なのではないかと思いました。(nino)

saitaku (200) [solver:nino]

この商品を販売している会社の社長の名前をフルネームで答えよ。


「SAITAKU SUSHI KIT」で検索すると、会社の公式サイト(link)を見つけることができました。サイトの問い合わせ欄を見ると「David Binns」さんにメッセージを送るように書いてあったためsubmitしましたが、間違っていました。

サイト内に社長の名前を見つけることができなかったので、会社の所在地であるスイス・ツーク州の登記情報サイトを検索したところ、「Roger Häcki」さんが同社の社長であることがわかりました(link)。

ちなみに「"Schweiz" "Saitaku" "Präsident"」と検索するだけでflagはみつけることができたらしいです。(nino)

BUS2 (200) [solver:nino]

このバスの位置を求めよ。

画像をよく見ることで、このバスが「ファミリー観光」という会社のものであることがわかります。社名で検索すると、岩手県の会社であることもわかりました(link)。

標識の情報とあわせて「岩手県道25号線」というワードで検索すると、なんとなく雰囲気が似た写真を見つけることができました(link)。

花巻市大迫町内川目周辺の25号線沿いで砂利が露出しているところを探すと、かなり問題写真に似通った場所が見つかったので、周辺の座標をいくつかsubmitしてみると、正解にたどり着きました。(nino)

Altai (200) [solver:kamo]

ゴルノ=アルタイスクの町ではMicrosoft 365を使っていることが分かった。
そのテナント名を示せ。

「知らねえよw」となったのですが、逆に考えると、知っていれば一発なんだろうなと思いました。まずは調べようということでいろいろ検索。

  • テナント名(tenant name)はOffice 365やAzure Active Directoryで付与されるものらしい
  • [テナント名].onmicrosoft.comといった形をしている。
  • 問題文はおそらく町地方政府のことを指している。
  • ゴルノ=アルタイスク政府の公式サイトは、ロシア語版wikipediaより、gornoaltaysk.ruである。

そこで、「*.onmicrosoft.com site:gornoaltaysk.ru」とかでググっていたのですが埒が明かず。ここでいったんしばらく放置してました。

あきらめてはいけない。知ってれば一発なのだから、フラグそのものではなくやり方を探そうと思い、Twitterで「tenant name OSINT」で検索。

https://twitter.com/DrAzureAD/status/1579876986671235075

求めていたツイートが見つかりました。紹介されているツールgornoaltaysk.ruを検索します。すると、rkolan.onmicrosoft.comというドメインが関連づけられていることが確認でき、rkolanでcorrectしました。

実はこの問題、3チームしか解けなかったらしいです。作問者にも意外だったそうで・・・。知識ゼロでも解けますよ!(kamo)

SSID (100) [solver:kamo]

SSID:YKAMEのBSSIDを答えよ

まず、BSSIDについて調査。APを識別する数値で、通常はMACアドレスが使われるそう。はじめは「AVTokyoのリアル会場にSSID:YKAMEのWiFiが飛んでおり、そのMACを求めるリアル会場限定問題」だと思ってました。

「SSID search OSINT」などで検索していると、WiGLEというサービスを見つけ、あとは簡単に解けました。(kamo)

BB (200) [solver:nino]

バルバドスの仮想通貨に関するドメインで、
使われていない登録済みドメインのRegistry Domain IDを示せ。

nic.bb で調べてみると「BITCOINS.BB」という使われていない登録済みドメインがあったためそれを入力するとcorrectしました。多分もっとも安直に解ける問題のひとつでしたが、5人しか解いていなかったので運が良かったです。(nino)

補足すると、はじめに勘で「bitcoin.bb」にアクセスできることに気づけたのも運が良かったです。(kamo)

tank (300) [solver:nino, kamo]

この場所の戦車の位置を求めよ。

大まかな位置まで

googleで画像検索してみるとそこそこ有名な写真であることがわかりました。撮影地はジョージア、ツヒンヴァリ地方(南オセチア)の主要都市ツヒンヴァリ、撮影年は2008年だそうです。写真背景に見える壁画が手掛かりっぽかったので「Цхинвал настенное искусство(ツヒンヴァリ 壁の絵)」と検索したところどんぴしゃの写真が見つかりました。(nino)

さらにこの画像をリバースイメージサーチしたところ、南オセチアの観光記事を見つけます。
https://style.rbc.ru/impressions/5df8b4c39a79477d58771b14

この記事には以下の記述があります。

Если пойти от вокзала по улице Путина до пересечения с Октябрьской, то можно посмотреть на башню грузинского танка, которая торчит из крыльца Дома профсоюзов. Попала она сюда во время войны 2008 года, когда танк подбили из гранатомета. Видимо, ввиду недостатка достопримечательностей башню убирать не стали. Кстати, при взгляде на Дом профсоюзов может показаться, что местные жители до сих не знают о развале СССР, — здание утыкано советской символикой и флагами.

翻訳して読むと、

  • 当該戦車の砲塔はモニュメントとして今でも同じ場所にある。
  • 場所は駅からプーチン通り(улице Путина)沿いを歩き、10月(Октябрьской)通りとの交差点である。
  • 労働組合の建物の壁に書かれており、ソ連時代のモチーフである。

という重要な情報が得られます。Yndex Mapで調べると、

赤いピンの交差点であるとわかります。

小数点以下4桁との戦い

この問題、場所を非常に細かく指定せねばなりません。

まず、ninoさんがリバースイメージサーチなどを駆使して、いろんな角度の写真を見つけてくれました、

僕(kamo)も、https://mapio.net/s/70044710/(広告が多いので注意)というページで、交差点の北側で戦車等が撮影されたのを確認しました。このページはリバースイメージサーチで見つかった気がします。

しかし、現在の衛星写真では周りの建物の屋根の色が一致しません。そこで、2007年時点の衛星写真をGoogle Earthで確認しました。

  • 現在

  • 2007年

ninoさんが張ってくれた労働組合の建物がの色が、昔はより鮮やかだったことがわかります。戦車の位置は労働組合の手前にあるビルと平行な位置ですから、そのあたりの座標をninoさんがいろいろsubmitしたところ、correctすることができました。(kamo)

nice view (300) [solover:nino]

この写真を撮影したポイントのplus code(7桁)を答えよ。


写真中心部に思わせぶりな地物があったのでgoogle lensで検索したところ、伊豆諸島の初島であることがわかりました。

熱海の市街が見えながらも熱海港が見えないこと・周囲に高い木が生えていないということを手掛かりにgoogle earthで周辺の地形を漁っていたところ伊豆スカイラインの多賀駐車場が撮影地であることがわかりました。かなりてこずりましたが、地形を介したOSINTは便利なので今後もう少し習熟したいです。(nino)

アタックしたけど解けなかった問題

BUS (200)

このバスの位置を求めよ。

まず、反射からセブンイレブンが近くにあること、バスのミラーに駐車場っぽいのが写っていることが分かります。また、Airportと書いてあるので、ニッポンレンタカーの送迎サービスであることが分かります。NRってなんやねんって思ったんですが、Twitterで画像検索すると「NR(ニッポンレンタカー)station」であることが分かります。

ここで丁寧に調べると北海道の新千歳空港とか旭川空港とか北見とか女満別空港とかその辺りであることが分かります(Twitter、Web検索のどちらでも分かります)。那覇である可能性もありましたが、付近はローソンしかないので排除。
このようにして取捨選択しつつとりあえず片っ端から入れていけば大丈夫……のはずでした。実際、答えは旭川空港です。

旭川空港のセブンイレブンから直線を引き、その線上の座標をいくつか入力していましたがなぜか合わず、混乱した一同は日本全国のセブンイレブンがある空港をリストアップし始めましたが合わず、他の2名は諦めて他の200~300点問題を分担して解き、Saten0が最後まで粘ってたのですがだめでした。他の方のwrite upを見たときは悔しすぎて絶叫してしまいました。小数点第3桁がミスってたくさいです。これが合ってれば2位でした。本当に悔しいです。(Saten0)

チーム内で誤った事実を共有し、その事実を疑わなかったのが敗因でした。この辺はチームリーダーとしてのマネジメントの下手さだったかなと反省しています。(kamo)

BRIDGE (200)

問題15(VIDEO)の動画で渡った橋の取得金額はいくらだった?
数字で答えよ。

考えてみたけど普通に分かりませんでした。NEXCO東日本の用地取得に関連するpdfがないか探ったけど特になかった。
「君津 橋」とかで検索を掛けて「平成28年度君津市橋梁点検結果」という資料を見つけて橋の名前を特定し、さらに検索を掛ければよかったっぽいです。(Saten0)

俺はこのxlsxファイルを見つけ、橋の字である大山野周辺の橋っぽい物件の取得費用を手あたり次第入力していましたがなぜかflagとなる橋だけを見逃していました(;O;)

悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい悔しい!(nino)

happy birthday, yall (200)

今年、54歳の誕生日をラスベガスで祝ったシェフ。
そのとき同行した新人カメラマンの青年も、それから数ヶ月後に25歳の誕生日を迎えた。
素敵なバースデーケーキのプレゼントに喜ぶ青年だったが、もしかして当日撮影用に作った料理の方がお気に入りだったかも?
その料理の名前を正確に答えよ。

素直に"Las Vegas chef birthday 54th"みたいな感じでggったらそれっぽいものは見つけましたが(そいつの息子の25歳の誕生日の記事もあったし)、普通に違ったみたいです。(Saten0)

YOKOHAMA (500)

1914年、横浜居留地54番館にあった企業の社長の長男の名前は?

とりあえず次世代デジタルライブラリーで検索したところ、横浜居留地54番館には「イリス商会」という会社があったことが分かりました。

1914年の書籍を見つけたところ(link)、当時の社長はカール・イリス・ジュニアであることがわかります。彼の長男の名前はカール・ユルゲン・イリスでした。flag提出!incorrect!

実際の答えは横浜支店の支配人としるされるR.Pohlさんの長男で、カール・イリスさんは当時WW1の勃発にともない一時的に社長職を降りていたらしいです。知るか!(nino)

終わりに

去年初めてのCTFとして、Open xINT CTF 2021に参加し、OSINT CTFの面白さにハマってから1年、僕たちは、1年間このCTFをとても楽しみにしていました。

いざ蓋を開けてみると、去年と比較して問題の難易度が軒並み上昇しており驚きました。そんな中でも4位という成績を取れたことは、僕らの1年間の成長のあかしとして十分だったのではないかと思います。

最後に、楽しい時間を提供してくださいました運営の皆様、参加者の皆様にこの場を借りてお礼を申し上げ、write upの結びとさせていただきます。

連絡先

記事の内容等に問題がありましたら、リーダーまでご連絡ください。

Discussion

ログインするとコメントできます