61 lines
2.8 KiB
Markdown
61 lines
2.8 KiB
Markdown
<h1 align="center">Mirror Trace</h1>
|
||
|
||
<p align="center">
|
||
<img src="https://img.shields.io/badge/category-OSINT-blueviolet" alt="OSINT"/>
|
||
<img src="https://img.shields.io/badge/points-866-orange" alt="866 pts"/>
|
||
</p>
|
||
|
||
На старте у нас есть `mirrortrace_casebundle.zip`, внутри которого dataset'ы и артефакты. Опираемся на seed domain из `00_brief/case_brief.txt` или `10_datasets/seeds.txt`.
|
||
|
||
## Решение
|
||
|
||
Берём стартовый домен `panel.mirrortrace-help.example`, смотрим сертификат, и через общий `cert-ms441` разворачивается кластер из шести доменов:
|
||
|
||
```text
|
||
panel.mirrortrace-help.example
|
||
status.mirrortrace-help.example
|
||
cdn.mirrortrace-help.example
|
||
docs.mercury-sustain.example
|
||
git.mercury-sustain.example
|
||
helpdesk.mercury-sustain.example
|
||
```
|
||
|
||
Внутри кластера довольно быстро проявляются две ветки с людьми:
|
||
|
||
| Персона | Роль |
|
||
|---|---|
|
||
| `Viktor Korolev` | Корректный операторский трек |
|
||
| `Anton Smirnov` | Правдоподобный same-cluster decoy |
|
||
|
||
`negotiation_excerpt.txt` и `capture_02.html` указывают, что нужный материал относится к responder baseline, а routing worksheets — это отдельная ветка. То есть правильный путь идёт не через `helpdesk.mercury-sustain.example`, а по responder-цепочке:
|
||
|
||
```mermaid
|
||
flowchart LR
|
||
S[status.mirrortrace-help.example] --> D[docs.mercury-sustain.example]
|
||
D --> P[doc_01.pdf]
|
||
P --> G[git.mercury-sustain.example]
|
||
G --> V[vkorolev-dev.example]
|
||
```
|
||
|
||
Фрагменты контрольной фразы получаем в процессе:
|
||
|
||
| Источник | Фрагмент | Сопутствующие артефакты |
|
||
|---|:---:|---|
|
||
| `capture_02.html` | `R3TAIN` | retained copy mention |
|
||
| `doc_01.pdf` | `ED-C0` | metadata author `vkorolev` |
|
||
| `capture_04.html` | `PY-71E` | email, handle, `vkorolev-dev.example` |
|
||
| `capture_05.html` | `64DB` | полное имя `Viktor Korolev` |
|
||
|
||
`capture_04.html` попутно упоминает `helpdesk.mercury-sustain.example` как routing mirror — это не другая цепочка, а decoy-шум внутри уже известного кластера. `capture_03.html` тоже отдаёт не фрагмент, а наводку: legal retained copy note лежит внутри mirrored advisory.
|
||
|
||
Склеиваем куски в pivot-порядке:
|
||
|
||
```text
|
||
R3TAIN + ED-C0 + PY-71E + 64DB → R3TAINED-C0PY-71E64DB
|
||
```
|
||
|
||
Эта строка — пароль к `20_artifacts/retained_copy.zip`. Внутри архива лежит `final_flag.txt` с ответом.
|
||
|
||
## Флаг
|
||
`caplag{retained_copy_6d8f21c4e9ab}`
|