About Teletype
Join
Nikita Petrov
@freenameruuuu
July 21

!writeup Киберучения Митап по киберразведке [18 июля] | !task Всегда найдется рыба покрупнее

От автора: за этот таск, я получил 40 из 100 баллов, что странно, с учетом того, что флаг с кошельком, как по мне, я тоже сдал

Описание из таска:

Компот увлекся популярной онлайн-игрой. Один из участников гильдии поделился в чате ссылкой на магазин уникальных скинов для персонажей. Компот перешел по ссылке https://willy-the-cat.github.io/nft_cats/ и оплатил покупку в криптовалюте.

Ни скинов, ни рефанда, он, конечно же, не получил...

Используйте свои навыки OSINT, криптоанализа и веб-эксплуатации, чтобы вернуть Компоту потраченные средства и разоблачить фишера:

- Узнайте адрес криптокошелька мошенника и проведите его анализ

- Найдите связанный с мошенником ресурс и получите ключ для возврата средств

На входе имеем ссылку https://willy-the-cat.github.io/nft_cats/

Переходя по ней видим 404

https://willy-the-cat.github.io/nft_cats/



Находим архивную версию сайта: https://web.archive.org/web/20250626132226/https://willy-the-cat.github.io/nft_cats/

Архивная версия сайта https://willy-the-cat.github.io/nft_cats/


Находим интересный скрипт payments.js, в котором предположительно зашифрован кошелек, на который горе-кот отправил деньги, тут дальше дешифруйте сами:

(function () { const obfuscatedData = "VSBSIGNsb3NlLCBsb29rIGJldHRlciA6KQ=="; const wallet = atob(obfuscatedData); const uselessData = atob("YmMxcWo1dno2c2M3bjkweWxxMzkzaDlraHNhOGVzc3J5eWxqNjVmdmRt"); document.addEventListener("DOMContentLoaded", () => { document.getElementById("wallet-address").innerText = wallet; });Add commentMore actions })();

Ищем связанный с мошенником ресурс, чтобы вернуть деньги.
Можно искать разными способами, например по favicon, или по прямому тексту со страницы

Находим связанный ресурс http://shop.nft-kitty.online
Можно просканировать через urlscan https://urlscan.io/result/01982c7f-4ec7-7497-86e2-45e895afc559/#summary

В body страницы находим интересный скрипт, видимо этот скрипт позволит нам вернуть деньги горе-коту, но где же взять ключ?

Смотрим, что url favicon что-то напоминает
https://raw.githubusercontent.com/junior03986721/compot-nft/main/bmZ0X2tpdHR5X3VubG9jaw==.png >

Делаем запрос .php скрипту, http://shop.nft-kitty.online/flag.php?key=nft_kitty_unlock и получаем флаг

Nikita Petrov
July 21, 10:38
0 views
0 reactions
0 replies
0 reposts