DEV Community

Carlos
Carlos

Posted on

Libre - OSINT CTF Writeup - Pwnedcr2024

Descripción del reto

En este reto se nos brindaba una url, pero en mi caso tuve problemas para acceder a la url desde muchos navegadores.

Lo curioso del reto fue que primero encontré la flag, pero no sabía de cuál reto era.

Accediendo a la URL

Como tenía problemas para acceder a la URL empecé a buscar alternativas de ver el contenido de esa página.

Sabía que el dominio .ru es de Rusia, así que muy probablemente esa página estaba en ruso.

Se me ocurrió buscar la página internet con google y darle traducir para ver si me abría y efectivamente así fue

Resultado de búsqueda de google

Una vez en la página pude ver que se trataba de información acerca de notificaciones por lo que se me ocurrió la idea de la existencia de un posible servicio que enviaba notificaciones y había que agregar el sitio web a las excepciones para recibir las notificaciones. Sin embargo, no recordaba que el sitio web me solicitará permisos, aún así opté por agregarlo en las configuraciones de Google Chrome, pero no obtuve los resultados esperados.

Sitio web traducido

Me puse a ver la página web del reto y recordé que había una sección de notificaciones y que justo ahí había encontrado un flag codificado.

Sección de notificaciones

Buscando el flag

Habían varias notificaciones que se fueron liberando con el paso del tiempo y algunas de ellas tenían un texto codificado, así que parecía debía unirse, pero ¿cómo? debido a que no sabemos que va primero y ¿qué va al final? otra pregunta era, adivinar la codificación

Notificaciones 1

Notificaciones 1

Me puse a ver cómo podía armarlo y una notificación indicaba que iniciaba con >8u5(=ZP4$t2 y finalizaba con COGLX.B. Así que ya teníamos ambos extremos. Opté por colocar después del inicio, el texto de la notificación siguiente de acuerdo a la hora enviada nuXUCST0kC57 y así sucesivamente hasta tener el siguiente texto.

>8u5(=ZP4$t2nuXUCST0kC57@6j@WF19COGLX.B

Decodificando el flag

En mi caso me fui a master chef y hay una opción llamada "Magic" la cual me indicó de la codificación Base85

Resultado proceso magic en master chef

No conocía Base85, pero recordé que había una notificación que decía "Base new challenge 92", de manera que lo asocié con un posible Base92 y efectivamente existía.

Notificación base 92

Seguidamente, con Master Chef realicé la conversión y efectivamente encontré el flag

Resultado conversión base 92 en master chef

Flag: PWND{Ac4so_se_du3rme_en_el_CTf}

Image of Timescale

Timescale – the developer's data platform for modern apps, built on PostgreSQL

Timescale Cloud is PostgreSQL optimized for speed, scale, and performance. Over 3 million IoT, AI, crypto, and dev tool apps are powered by Timescale. Try it free today! No credit card required.

Try free

Top comments (0)

Sentry image

See why 4M developers consider Sentry, “not bad.”

Fixing code doesn’t have to be the worst part of your day. Learn how Sentry can help.

Learn more

👋 Kindness is contagious

Discover a treasure trove of wisdom within this insightful piece, highly respected in the nurturing DEV Community enviroment. Developers, whether novice or expert, are encouraged to participate and add to our shared knowledge basin.

A simple "thank you" can illuminate someone's day. Express your appreciation in the comments section!

On DEV, sharing ideas smoothens our journey and strengthens our community ties. Learn something useful? Offering a quick thanks to the author is deeply appreciated.

Okay