Từ đề bài:
Câu lạc bộ ATTT của trường Đại học FPT Hà Nội có tên gọi là FPTU Ethical Hackers Club - “FPTU EHC”, tôi nghe nói là sắp đến sinh nhật 7 tuổi của EHC rồi. Hôm qua khi đang đi ăn với chủ nhiệm hiện tại của EHC về sinh nhật CLB năm nay, anh ấy nói với tôi:“Ê, chú mày có biết là đang có ai đó sử dụng cái tên CLB mình để bú fami không ?” . Mạo danh EHC ư, mạo danh làm quái gì nhỉ, không lẽ những ông bạn này đang có ý định làm gì đó với EHC mà tôi không biết ? Nhằm để ngăn chặn những chuyện sẽ xảy ra sau này, và để bảo vệ CLB tôi yêu, các bạn hãy giúp tôi tìm ra bí mật của EHC mạo danh này và giúp tôi bảo vệ ngày sinh nhật của EHC có thể diễn ra một cách tốt đẹp và yên ổn nhất.
First part
Ban đầu mình thấy hơi lạ vì đây là lần đầu tiên mình tham gia OSINT hình thức như thế này. Thường thì đề bài sẽ là một link hay ảnh gì đó.
Vì không thấy gì khác nên mình thử search FPTU EHC trên Google xem sao.
Các kết quả không có gì đáng chú ý, đến khi mình kéo xuống thấy link LinkedIn:
Đập ngay vào mắt là một đoạn Base64, có vẻ đó là flag:
EHC{HappyB1rthd4y_
Vậy là đã được một phần đầu của flag rồi hehe
Second part
Trong phần Contact có thêm link Github:
Và chỉ có duy nhất 1 repo:
Xem qua 1 lượt các file và các commit của nó, thấy trong file ngày 5 có một cái ảnh khá sus:
Decode QR ta được:
01001000 01101111 01110111 00100000 01100011 01100001 01101110 00100000 01111001 01101111 01110101 00100000 01100111 01100101 01110100 00100000 01101000 01100101 01110010 01100101 00111111 00111111 00111111 00100000 01001001 01110011 00100000 01101101 01111001 00100000 01110101 01110011 01100101 01110010 01101110 01100001 01101101 01100101 00100000 01110011 01110101 01110011 01110000 01101001 01100011 01101001 01101111 01110101 01110011 00111111 00111111 00111111
Decode binary:
How can you get here??? Is my username suspicious???
username của acc là 3hcb1rthd4y -> ehc birthday
Tiếp trong file ngày 7:
Avatar acc là hình cái mail nên mình đoán sẽ là gửi spell đến mail đó. Nhưng mà “mail đó” là mail nào?
Trong file ngày 9 có:
Chỗ này mình mất khá nhiều thời gian để giải, từ cái Is it a QR around here mình đã quay lại ngày 5 để xem. Sau đó thấy câu trên bảo dịch username sang tiếng việt nên mình đoán mail sẽ là
sinhnhatehc@gmail.com
Mình thử gửi 1 mail với nội dung bất kì thì không thấy reply, nhắn tin cũng vậy. Lúc này mình mới nhớ ra cái spell ở ngày 7. Sau khi gửi với nội dung là cái spell ban nãy thì mình đã nhận được reply:
Vì đã quá quen với việc bị rick roll nên mình đã nhận ra ngay hint ở cuối mỗi link là Calendar
Dùng Epieos để lấy thông tin liên quan đến cái mail sinhnhatehc@gmail.com thì thấy 1 link Calendar:
Chọn chế độ xem thời gian biểu thì thấy có 1 sự kiện kèm link discord:
Lúc đó vì đang mở tab dencode nên mình tiện copy ra luôn, ai ngờ lộ ngay xD:
=> Flag: EHC_
Last past
Thấy trong server có 2 con bot nên mình thử get cả 2:
Nhưng mà thấy mấy senpai trong server bảo ngồi chat với con bot từ nãy nên mình thấy nghi nghi. Thử copy 2 cái reply của con bot ra thì mới thấy :)
[⠀](https://tenor.com/view/kita-ikuyo-explode-bocchi-the-rock-gif-27390786) ~~~~||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DM me the secret password >:3c
This is REAL flag!!!: _1337@!}~~~~||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
what are you doing here?
Vậy là phải DM cho nó password.
Sau khi ngồi thử một lúc thì mình đã mò được pass là 0212:
Vậy flag cuối cùng sẽ là: EHC{HappyB1rthd4y_EHC_02l2@!!}