Scenario 3 Part 1 – Suspicious Discord Login#

คุณในฐานะเจ้าหน้าที่ ThaiCERT ได้รับแจ้งว่ามีเว็บไซต์ Phishing เลียนแบบ Discord URL เป้าหมาย: https://discord.system-login.co/ Scope: *.system-login.co

เริ่มจากการเข้าตรวจสอบหน้าเว็บ พบว่าเป็นเว็บปลอมเลียนแบบ Discord หลังจากเช็ค view source พบ flag ถูกฝังไว้

Scenario 3 Part 2 – Data Leakage (1)#

ต้องการระบุตัวเจ้าของโค้ดเว็บ อาจพบข้อมูลจากเวอร์ชันเก่าที่รั่วไหล

ตรวจพบว่า directory .git สามารถเข้าถึงได้

จึงทำการ dump repository ออกมาทั้งหมด โดยใช้เครื่องมือ git-dumper

หลัง extract source code พบ flag อยู่ใน commit แรก

Scenario 3 Part 3 – Data Leakage (2)#

เป็นไปได้ว่ามี commit ที่ยังไม่ถูก push ขึ้น production

เนื่องจาก dump ทุก commit มาแล้ว จึงทำการค้นหาในประวัติทั้งหมด พบ flag ใน commit ที่ 6

Scenario 3 Part 4 – Recon 101#

ต้องหาความเชื่อมโยงระหว่าง discord.system-login.co กับระบบอื่น

ลอง Enumerate subdomain พบ support.system-login.co

ซึ่งสามารถเข้าถึงได้ และมี flag ซ่อนในรูปภาพ

Scenario 3 Part 5 – No More Cloudflare#

หาระบบที่ bypass Cloudflare ได้โดยตรง

หลังจากลองเข้าทุก Subdomain จะมีเพียง email.system-login.co ที่สามารถเข้าถึงได้

หลังจากนำไปสืบค้นต่อด้วย VirusTotal พบความเชื่อมโยงไปยัง: http://ul-cat6506-gw.system-login.co

ภายในหน้าเว็บพบ Base64 encoded string นำมาถอดรหัสได้ flag ทันที

Scenario 3 Part 6 – Web Discovery#

ค้นหาเว็บไซต์อื่นที่อยู่บนเซิร์ฟเวอร์เดียวกัน

หลังจากตรวจสอบ git repository พบ comment น่าสงสัย อาจเป็น portal ในการเข้าสู่ระบบบางอย่าง

นำ IP ที่ได้จาก Part 5 คือ 46.62.202.79 มา ตั้งค่า DNS ให้ชี้โดเมนไปยัง IP ดังกล่าว

เมื่อเข้าหน้าเว็บพบ Base64 อีกชุดหนึ่ง

เมื่อนำไปถอดรหัสได้ flag ทันที

To be continued…

Scenario 2 Part 1 – Reuse Meme#

อะไรถูกใช้ซ้ำในภาพนี้ หลังจากวิเคราะห์ meme ที่ให้มา

ก็ไปสืบจนเจอมีมนี้ใน Twitter Elon กับ คำอธิบายโดย Grok

Falcon 9 → Reusability

Flag: STH{falcon_9}

Scenario 2 Part 3 – Geo Guesser 1#

วิเคราะห์ภาพสถานที่และตอบเป็น md5 hash ของเบอร์โทรสถานที่

จากโลโก้ “คัดสรร” สันนิษฐานว่าเป็น 7-11 นำเบอร์โทรไป hash MD5

Flag: STH{3b8ca1b25173d80ddd803f508da47e52}