TCP1P CTF INTERNATIONAL 2024 — OSINT Writeup

Halo teman-teman semua 👋! Pada kesempatan kali ini, saya akan membahas bagaimana saya menyelesaikan beberapa challenge kategori OSINT kompetisi TCP1P CTF 2024 INTERNATIONAL yang saya ikuti bersama tim Akuma minggu lalu tepatnya pada tanggal 11 Oct 2024.

01. Lost Younger Sister

Author : jieyab89
Help Jieyab find the Violet, please read the attachment
The flag is is name of the bus stop in the photo
Example Flag : TCP1P{KARIMUN JAWA 11 A}
Download : Attachment.zip

💡 Alur Penyelesaian

Jadi, tantangan ini tentang apa sih? Dari deskripsinya saja, kita dapat mengetahui bahwa challenge ini bertujuan untuk membantu Jieyab mencari keberadaan Violet. Sebelum kita mencari tau keberadaan Violet, kita perlu mendownload file Attachment.zip terlebih dahulu.

Setelah di ekstrak, terlihat banyak sekali file yang perlu diperhatikan. Disini saya langsung mencoba membuka file Lost sister.pdf untuk mencari petunjuk lebih lanjut.

Setelah dibuka dan dibaca, ternyata file ini dapat kita jadikan sebagai Buku petunjuk untuk mencari tau keberadaan Violet. File ini berisi tentang :

• Tujuan.
• Latar Belakang Kejadian.
• Informasi pribadi mengenai Violet.
• Dialog percakapan antara Marin dan Jieyab.

Adapun Tujuan yang dijelaskan dalam file Lost sister.pdf ini adalah, antara lain :

• Pecahkan password file Violet Password Manager.kdbx.

• Cari dan pecahkan password icloud backup.zip.

• Temukan lokasi dimana foto tersebut diambil (flag nya adalah nama tempat pemberhentian bus yang berada di foto).

Setelah mendapatkan tujuan yang jelas, mari kita lakukan satu per satu.

Memecahkan password file Violet Password Manager.kdbx

ℹ Info
Mengingat ekstensi file nya .kdbx, Kita perlu menginstal Software Keepass supaya dapat menjalankan file Violet Password Manager.kdbx.

Saat sedang membaca dialog antara Marin, dan Jieyab pada gambar diatas, saya menyadari sesuatu bahwa Jieyab mencoba menyuruh Marin untuk masuk ke dalam laptop yang memiliki sebuah password dengan mencoba menggunakan tanggal lahir violet, nama lengkap, nama orang tua, dan lainnya. Disini saya langsung mencoba memecahkan password nya dengan mneggunakan segala informasi pribadi mengenai Violet yang ada di file Lost sister.pdf.

Dan benar saja, saat saya mencoba memasukkan passwordnya dengan nama hewan peliharaannya yaitu, Ogipedro.

Saya berhasil masuk ke dalam database nya, dan Disini terlihat ada data
icloud Backup.

Cari dan pecahkan password icloud backup.zip

Untuk melihat isi data icloud Backup, Kita hanya perlu mengklik 2 kali pada data icloud Backup. Hasilnya akan seperti ini.

Disana terlihat bahwa password file icloud backup.zip adalah Ogipedro10022001.
Hal selanjutnya yang akan kita lakukan adalah mengekstrak file icloud backup.zip tersebut. Setelah di ekstrak, kita akan menemukan sebuah foto seperti ini.

ℹ Info
Ubah ekstensi file foto nya menjadi .jpg jika tidak dapat dibuka / dilihat.

Mencari Lokasi Dimana Foto Tersebut Diambil

Objek pertama kali yang mencuri perhatian saya disini adalah nomor Whatsapp yang ada di papan billboard, Karena nomor tersebut akan dapat menjadi petunjuk dimana lokasi pengambilan foto dapat ditemukan secara akurat. Mengapa demikian ? Karena papan billboard biasanya digunakan untuk periklanan dan orang-orang yang biasanya menyewa papan billboard tersebut akan menyimpan nomor whatsapp tersebut dengan format kurang lebih seperti ini [nama billboard][nama tempat].

Setelah itu, Saya langsung membuka aplikasi GetContact dan mencari tag tag dari nomor whatsapp tersebut, Dan mendapatkan hasil seperti ini.

Maka saya asumsikan bahwa lokasi pengambilan foto berada di Kota Palembang, Depan RS. Bhayangkara. Setelah itu, Saya langsung mengecek lokasinya di Google Maps.

Dan benar saja, lokasi yang saya temukan sama dengan yang ada di foto. Karena flag nya adalah nama tempat pemberhentian bus yang ada di lokasi di foto, kita hanya perlu melihat nama pemberhentian bus nya.

Dapat dilihat bahwa nama dari tempat pemberhentian bus tersebut adalah JPO SMP MUHAMMADIYAH 10 B.

🎉Akhirnya kita berhasil mendapatkan flag nya!

TCP1P{JPO SMP MUHAMMADIYAH 10 B}

---

02. The Pentagon

Author : thelolna15
A few days ago, I saw a funny post on a social media platform.
As far as I remember, there are five accounts that frequently post
funny and random content.
I only remember two names: Udin Kurniawan Jaeger and Paijo Abdul Uchiha.
I recall that one of them uses a fake account. The humor in his posts
is quite random, and I like it.

I want to know the real name of the person using that second account because I want to connect with him on his main account.
Please help me find his full real name.
The flag is the full name
Example: TCP1P{Kresna Yang Asli}_

Tujuan pada challenge kali ini, adalah mencari nama asli dari seseorang dari 5 orang yang di indikasi menggunakan Fake Account. Diawal kita diberikan petunjuk 2 nama akun sosial media yaitu :

1. Udin Kurniawan Jaeger
2. Paijo Abdul Uchiha

Pertama, saya langsung mencari akun "Udin Kurniawan Jaeger" tersebut menggunaan Google Dorking, dan Mendapatkan hasil seperti ini.

Disini saya langsung mencoba melihat profil akun tersebut di website 9GAG.

Setelah itu, saya menelusuri semua postingan yang pernah ia posting, dan komenan yang pernah ia posting.
Tak lama kemudian, saya menemukan sebuah akun baru bernama "sik3nts0" yang berada di kolom komentar pada postingan ini.

Lalu saya mencoba melihat profil akun tersebut, dan mendapatkan hasil seperti ini.

sik3nts0
by the way, I’m also a meme lover. Check out that app with the photo > logo, I’ve got some funny posts there :v

Melihat komenan diatas, saya mengasumsikan bahwa app with the photo logo adalah aplikasi Instagram. Saya langsung mengecek aplikasi instagram untuk mencari akun tersebut. Dan mendapatkan hasil seperti ini.

Lalu saya mencoba melakukan profiling akun tersebut, dan menemukan sebuah grup Discord yang tertera di bio akun nya.

Setelah itu, saya join ke dalam discord server nya, dan melihat s1k3nts0 termasuk dalam salah satu member-nya. Pada saat melihat profile Discord nya, saya melihat sebuah petunjuk yang mungkin dapat membantu saya menemukan nama aslinya.

Disana saya langsung nge-DM si s1k3nts0 nya, dan mendapatkan balasan seperti ini.

*dalam hati (secret key apaan bjir?)

Disana saya langsung mengecek ulang postingan-postingan yang pernah ia post di Instagramnya.

Lalu saya menemukan sebuah postingan yang cukup janggal, yaitu postingan ini.

Di dalam video tersebut, mereka menyebutkan sebuah "magic word" dengan audio yang telah di reverse. Lalu saya mencoba reverse audio tersebut kembali dan mendapatkan hasil sebuah string seperti ini.

tcp1p_th3p3nt490n_1s4w3s0m3

Saya mencoba mengirimkan string ini sebagai secret key yang diminta oleh s1k3nts0.

Lalu, s1k3nts0 mengirimkan sebuah link Youtube dan Disana saya menemukan nama asli dari
s1k3nts0, yaitu Slamet Setiawan Uzumaki

🎉Akhirnya kita berhasil mendapatkan flag nya!

TCP1P{Slamet Setiawan Uzumaki}

03. That's Him

Author : Jieyab89
Help Jieyab find Julient
The flag is country, prefecture, city, district/area, postal code
Example: TCP1P{Japan, Tokyo, Katsushika, Tateishi, 124-0012}

Pada challenge ini, kita akan membantu jieyab dalam membantu seseorang yang bernama Julient. Jadi, Dimana sebenarnya Julient berada ? Mari kita cari tau !

Pertama, kita perlu mendownload file Attachment.zip. Lalu, Extract file tersebut, Dan mendapatkan hasil :

Saat mencoba membuka folder attachment, terdapat 1 buah file bernama attachment.zip. Saat mencoba extract file tersebut, kita dimintai sebuah password supaya dapat meng-extract file tersebut.

Setelah itu, saya mencoba membuka file That's him.pdf dan membacanya.
Adapun Tujuan yang dijelaskan dalam file That's him.pdf ini adalah, antara lain :

• Mencari tau password file attachment.zip.

• Mencari lokasi dimana foto yang ada didalam file attachment.zip.

Saat membaca dialog antara Marin dan jieyab, Jieyab memberikan sebuah gambar yang berasal dari instagram stories dan diduga bahwa Julient berada di sekitaran sana.

Lalu, Jieyab memberikan sebuah password ( BobodenganKeqing<3 ) kepada Marin yang saya rasa itu bisa jadi adalah password dari file attachment.zip.

Dengan menggunakan password yang diberikan oleh Jieyab, saya berhasil meng-extract file attachment.zip, Dan berisi foto berikut.

Sekarang saat nya mencari tau dimana foto tersebut diambil 🔍.

Objek yang saya rasa dapat menjadi petunjuk pada gambar tersebut adalah objek ini.

Saya mencoba melakukan reverse image pada objek tersebut, dan mendapatkan hasil berikut.

Dan saya menduga bahwa kemungkinan fotografer mengambil foto tersebut diatas jembatan pejalan kaki.

Dari hasil diatas, kita mendapatkan informasi bahwa :

• Lokasi tersebut berada di Jepang, karena Tulisan pada objek tersebut berbahasa Jepang.

• Objek tersebut adalah Promosi dari sebuah tempat makan yang bernama Matsuya.

• Lokasi pengambilan foto tersebut berjarak 500 Meter dari Matsuya.

• Kemungkinan fotografer mengambil foto tersebut di atas jembatan pejalan kaki.

• Jalan di depan melengkung ke arah kanan.

Setelah mengetahui informasi-informasi tersebut, kita dapat menggunakan Google maps sebagai alat bantu kita untuk mencari lokasi pengambilan foto.

Disini saya mencoba search dengan keyword Matsuya, dan mendapatkan hasil berikut.

Terdapat banyak sekali Matsuya Disana, dan pasti akan memakan banyak waktu jika mengecek satu per satu lokasi tersebut. Lalu, saya mencoba mengecek kembali foto foto yang dikirim oleh jieyab yang tertera di file That's him.pdf, dan menemukan foto ini.

Seperti yang Jieyab katakan diatas, bahwa gambar ini adalah gambar terakhir yang bisa ia dapatkan. Lokasi pada gambar tersebut memiliki koordinat 26°12'53.93" N 127°41'00.73" E yang dimana lokasi tersebut berada di Naha, Okinawa, Japan. Disini saya menduga bahwa lokasi foto yang sedang kita cari di awal tadi masih berada disekitaran prefektur Okinawa.

Selanjutnya, saya melakukan pencarian dengan keyword Matsuya Okinawa pada Google Maps, dan mendapatkan hasil berikut.

Disini saya akan mencoba mengecek Matsuya ini.

Disini saya menggunakan layer satelit supaya dapat melihat objek objek yang ada di jalan. Objek yang perlu kita cari adalah :

• Jembatan pejalan kaki.
• Jalan nya melengkung ke arah kanan.

Ketika pertama kali memilih lokasi Matsuya tersebut, lokasi tersebut berada di kanan.

Karena papan iklan Matsuya yang ada di foto di awal tadi berada di kiri, maka seharusnya lokasi Matsuya berada di kiri juga bukan di kanan. Ubah posisi view nya supaya Matsuya berada di kiri jalan, seperti ini.

Nah cakep, selanjutnya kita hanya perlu scroll kebawah sesuai arah jalan nya hingga menemukan jembatan pejalan kaki, dan jalan yang melengkung ke kanan.

Beberapa saat kemudian, saya menemukan lokasi nya yang sangat sesuai dengan objek yang saya cari.

Untuk memastikan apakah dugaan saya benar atau tidak, saya langsung mencoba melihat view nya dalam 3D, dan mendapatkan hasil seperti berikut.

Maka dapat dipastikan bahwa kita telah mendapatkan lokasi pengambilan foto dengan benar. Sekarang kita perlu mencari alamat lengkap dari titik lokasi pengambilan foto.

Untuk mencari alamat lengkap nya, kita hanya perlu melihat alamat tempat sekitaran sana yang ada di google maps.

Alamat nya adalah

1 Chome-2-5 Ishikawa Akasaki, Uruma, Okinawa 904-1103, Japan

Jika kita susun alamat tersebut sesuai dengan format flag yang telah diberikan, maka flag nya adalah

TCP1P{Japan, Okinawa, Uruma, Ishikawa Akasaki, 904-1103}

🎉Akhirnya kita berhasil mendapatkan flag nya!

04. The Investigator

Author : Jieyab89
Help Jieyab found the newspaper. When was this newspaper published?

The flag name is date TCP1P{Date Month Year}

Example TCP1P{29 January 2001}

Pada challenge kali ini, kita diberikan sebuah file .png dengan nama file PETRUS roeit Indonesische misdaad uit.png

Tujuan challenge kali ini adalah untuk mencari tau kapan koran ini di publikasikan.

Karena kebetulan saya dulu nya anak IPS pada masa SMA, saya dapat pastikan bahasa yang digunakan pada koran tersebut adalah bahasa Belanda.

Setelah itu, saya coba search news archive dutch di Google search, dan mendapatkan hasil seperti berikut.

Lalu saya membuka salah satu website tersebut, dan mendapatkan informasi bahwa terdapat sebuah website yang menyediakan arsip koran lawas, terutama koran belanda. Website tersebut adalah Delpher.

Lalu saya pergi ke website delpher dan memasukkan kata kunci roeit Indonesische misdaad uit dalam kategori krantent yang artinya koran, dan mendapatkan hasil seperti berikut.

Dari gambar diatas, kita mengetahui bahwa koran tersebut dipublikasikan pada tanggal 17-12-1983.

🎉Akhirnya kita berhasil mendapatkan flag nya!

TCP1P{17 December 1983}

---

Sekian write up yang dapat saya berikan, semoga bermanfaat!
Jika ada kesalahan kata atau ada yang mau di diskusikan, feel free to contact me at Discord @hittersec

Thankyou!