TryHackMe WriteUp – OhSINT

https://tryhackme.com/room/ohsint

Task 1 OhSINT

What is this user’s avatar of?

Nachdem wir das Bild aus dem Task heruntergeladen haben, lassen wir es von exiftool scannen.

└─$ exiftool ./Downloads/WindowsXP.jpg 
ExifTool Version Number         : 12.57
File Name                       : WindowsXP.jpg
Directory                       : ./Downloads
File Size                       : 234 kB
File Modification Date/Time     : 2023:05:22 20:03:10+02:00
File Access Date/Time           : 2023:05:22 20:05:36+02:00
File Inode Change Date/Time     : 2023:05:22 20:05:36+02:00
File Permissions                : -rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
XMP Toolkit                     : Image::ExifTool 11.27
GPS Latitude                    : 54 deg 17' 41.27" N
GPS Longitude                   : 2 deg 15' 1.33" W
Copyright                       : OWoodflint
Image Width                     : 1920
Image Height                    : 1080
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 1920x1080
Megapixels                      : 2.1
GPS Latitude Ref                : North
GPS Longitude Ref               : West
GPS Position                    : 54 deg 17' 41.27" N, 2 deg 15' 1.33" W

Hier finden wir unter „Copyright“ der ersteller der Datei: OWoodflint
Googlen wir nach dem Namen finden wir ein Twitter-Profil.

Antwort: cat

What city is this person in?

Auf Twitter finden wir einen Tweet, welcher die BSSID von OWoodflint enthält: B4:5D:50:AA:86:41

Diese müssen wir mit einem Locator nun zurückverfolgen. AUf Google finden wir auch schon die passende Seite dafür.

In der rechten Sidebar geben wir nun die BSSID ein und suchen das Ergebnis auf der Karte.

Antwort: London

What is the SSID of the WAP he connected to?

Um diese Frage zu beantworten müssen wir uns bei WiGLE registrieren. Haben wir uns einen Account erstellt, sehen wir mehr Details der BSSID.

Antwort: UnileverWiFi

What is his personal email address?

Erinnert ihr euch an die Google Suche? Genau dorthin müssen wir zurück! Mit „OWoodflint“ finden wir auch eine Github-Seite, dort steht die Emailadresse.

Antwort: OWoodflint@gmail.com

What site did you find his email address on?

Das beantwortet sich aus der vorherigen Frage.

Antwort: Github

Where has he gone on holiday?

Erinnert ihr euch an die Google-Suche? Genau, Google ist unser bester Osint-Freund, denn hier finden wir auch die WordPress-Seite von OWoodflint.

Antwort: New York

What is the person’s password?

Während wir den Quellcode des Blogs genauer inspizieren finden wir einen Textschnipsel, der in weiß geschrieben ist (color:#ffffff;).

So ist der Text in dem Blogpost versteckt und zuerst nicht aufgefallen. Das ist eine blöde Idee und man sollte wichtige Daten niemals im Quellcode oder einer öffentlichen Seite „verstecken“.

Antwort: pennYDr0pper.!