DPOsint

DPOsint writeup for 404CTF 2025

Pastedimage20250528175358.png
L’énoncé nous donne un lien vers un site web, et un zip contenant un fichier “Miaou” protégé par un mot de passe.
Je commence par visiter les différentes pages du site, puis trouve une adresse mail dans le footer.
Pastedimage20250528183124.png

Énumération des réseaux sociaux

A partir de là, je lance mes scanners habituels (Holehe et Epieos) pour trouver les sites/réseaux sociaux utilisés par cet email :
Pastedimage20250528183410.png

Pastedimage20250522235642.png
On trouve donc que cette personne est inscrite sur Twitter/X et sur Instagram. Pas de difficulté particulière pour trouver le compte Twitter :
Pastedimage20250528182712.png
Par contre, le compte Instagram était beaucoup plus compliqué. J’ai essayé d’ajouter l’email dans les contacts de mon sock puppet, puis de chercher dans les recommandations d’abonnements de l’application si un compte apparaît. Ça n’a malheureusement pas fonctionné, le compte ciblé a probablement désactivé la synchronisation des contacts.
J’ai ensuite essayé de chercher les comptes pouvant correspondre à la cible un par un :
Pastedimage20250528183912.png
J’ai mis cette liste dans Burp Suite Intruder (avec un resource pool de 100ms pour éviter le ban) :
Pastedimage20250528184221.png
Ensuite on filtre par les termes positifs, puis il n’y a plus qu’a visiter les comptes trouvés un par un pour voir si ils correspondent à notre cible.
Pastedimage20250528184903.png
Malheureusement je tombe encore dans une impasse, donc je suis revenu sur mes pas, en essayant de lire entre les lignes des tweets de notre cible.
Pastedimage20250528183552.png
Ce tweet (et le suivant) laissent entendre que cette personne a potentiellement eu un enfant ce jour là, mais surtout qu’elle vient de Poitiers (86). Après quelques essais hasardeux on trouve ce compte :
Pastedimage20250528175440.png
Pastedimage20250528175624.png
Bingo ! Photo de profil générée par IA, naissance d’un enfant le 17 mars, chat… Tout porte à croire qu’on a trouvé notre cible.

A la recherche du chat

Pastedimage20250528175516.png
Petite recherche d’image inversée sur le chat (je me suis appuyé sur le fait que le fichier chiffré s’appelle “Miaou”), puis on trouve la source de l’image :
Pastedimage20250528185247.png
Celle-ci provient d’un post de la SPA sur Facebook et nous donne le nom du chat (probablement utilisé dans le mot de passe du zip).

Crackage du zip

On utilise cupp pour générer la wordlist pour cracker le zip (en se basant sur un maximum d’informations retrouvées sur les réseaux de la cible) :
Pastedimage20250528182439.png
On passe cette wordlist dans un bon prompt Chat GPT, en précisant la politique de mot passe donnée par l’énoncé… et boum on obtient le mot de passe :
Pastedimage20250528182332.png
Pastedimage20250528182552.png

Last updated on Jun 02, 2025 00:00 UTC