1、题目简介

1.1 背景介绍

一位客户委托您调查事件并确定攻击者的身份，该客户的网络遭到破坏并脱机。

事件响应人员和数字取证调查人员目前正在现场并进行了初步调查。他们的发现表明，攻击源自单个用户帐户，可能是内部人员。

调查事件，找到内幕，并揭露攻击行动

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/73

2、题目解析

2.1 内部人员的 GitHub 存储库的 API 密钥是什么（Github.txt）？

打开文件后发现GitHub的地址如下

查看他的GitHub仓库，发现只有Project-Build---Custom-Login-Page仓库属于自有仓库，其他均为fork其他仓库。在该仓库的登录页面js脚本中发现API KEY

2.2 内部人员的 GitHub 存储库的明文密码是什么？（Github.txt）

在Login Page.js中查看发现存在密码内容，根据提示为base64编码，解码后内容为：PicassoBaguette99

2.3 内部人员用的是什么加密货币挖矿工具？（Github.txt）

查看GitHub仓库地址，发现fork了一个xmrig的挖矿

2.4 内部人员上的是什么大学？

通过谷歌图片搜索查找，发现在领英站点有相关信息

教育经历为Sorbonne Université

2.5 内部人员在哪个游戏网站上有帐户

根据开源信息收集站点搜索发现有游戏账号

https://whatsmyname.app/

根据网页链接提示为Steam

2.6 内部人员 Instagram 个人资料的链接是什么

通过关键字搜索intext:EMarseille99 site:www.instagram.com

2.7 内部人员假期去哪儿了？（仅限国家/地区）

根据历史记录发现度假的图片

基于以图搜图的方式查看该位置在新加坡

2.8 知情人的家人住在哪里？（仅限城市）

根据2张图片显示在有摩天大楼和沙漠地带，并根据旗帜判断为迪拜的哈利法塔

2.9 您已获得公司办公大楼的图片，公司位于哪个城市？（office.jpg）

根据以图搜图的方式，提示位置在伯明翰新街站

2.10 根据你提供的情报，我们的地面监视单位现在正在监视相关人员的可疑地址。他们看到他们离开公寓，就跟着他们去了机场。他们的飞机起飞并降落在另一个国家。我们的情报小组用这个 IP 摄像机发现了目标。这个相机处于什么状态（Webcam.png）？

通过查看摄像头信息，该摄像头为网络在线摄像头，通过关键字搜索earthcam dome aerial view，查看到相似的图片内容，根据摄像头位置显示University of Notre Dame Camera.