https://cyberdefenders.org/blueteam-ctf-challenges/98
Detalles del reto:
Un entusiasta del lacrosse a la caza de un delicioso sándwich de pollo. Puntos: 255
Obtenemos un zip que al descomprimirlo nos dan 2 comprimidos:
- ‘2021 CTF - Chromebook.tgz’ Imagen del chromebook
- ‘2021 CTF - Takeout.zip’ Datos extraídos de la cuenta de google https://takeout.google.com/
* ¡Atención! Hay dos formas de hacer la sala. Puedes utilizar un software (cleapp,magnet axiom,etc.) para que te liste toda la información, lo puedes hacer manualmente o de ambas formas *
Recursos: https://github.com/markmckinnon/cLeapp
Preguntas
1-The folder to store all your data in - How many files are in Eli’s downloads directory?
Si vamos al directorio ./2021 CTF - Chromebook/decrypted/mount/user/Downloads vemos que nos salen 6 archivos.
(Con la aplicación CLEAPP solo nos muestra 2 descargas ya que solo 2 fueron realmente descargadas de una pagina web)
2-Smile for the camera - What is the MD5 hash of the user’s profile photo?
La foto de perfil del usuario se encuentra en ./2021 CTF - Chromebook/decrypted/mount/user/Accounts/Avatar Images
El hash de la imagen es 5ddd4fe0041839deb0a4b0252002127b
3-Road Trip! - What city was Eli’s destination in?
Volviendo a la carpeta de Downloads tenemos una screenshot de un viaje en Google Maps.
Podemos ver que se dirige a Chick-fil-A a la ciudad de Plattsburgh en el estado de Nueva York.
4-Promise Me - How many promises does Wickr make?
En la misma carpeta hay un pdf de Wickr-Customer-Security-Promises y en la página 3 nos cuentan las 9 promesas que hacen.
5-Key-ty Cat - What are the last five characters of the key for the Tabby Cat extension?
Buscamos el nombre de la extensión de Chrome en google para encontrar el identificador.
Una vez con el identificador podemos ir a la carpeta ./2021 CTF - Chromebook/decrypted/mount/user/Extensions/mefhakmgclhhfbdadeojlkbllmecialg, hacemos un cat al archivo manifest.json y obtenemos la key
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
❯ cat manifest.json
{
"author": "Leslie Zacharkow",
"chrome_url_overrides": {
"newtab": "public/index.html"
},
"description": "A new friend in every tab.",
"icons": {
"128": "icon128.png"
},
"key": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAjA9ElNuqHGIuDyrztUxn0nV1CLRgjSHEKw1zfhzE/6OdWd3teRV9wq4EukIX8UKf96fhS2WsLVnTuRmF7mQuqeAIxOkSvFm4Set3YRQ5994NA8Y9un1ZGhPtjFnpoLo1pEA5PPly5/BX2y3Ci2Rb0C3wp8NdeXud4r6BKEzhPdWmkwIS+YbTWhOBR1IbP/sF6+l8EdG/Ks881p8LO0J3qepmhNDA/LjVWzJq5ARmIYeT3TnvR/qRGTY9UXfUvg3gcUWV2LBBpeil8t6Np0PVYvG44zOBhKUnYSVE6gAcXENLTJJABgRgKT1K1kDYl1N8LJZf/S/9Ix1P+wItoEinTwIDAQAB",
"manifest_version": 2,
"name": "Tabby Cat",
"offline_enabled": true,
"permissions": [ "storage" ],
"update_url": "https://clients2.google.com/service/update2/crx",
"version": "2.0.0"
}
Los últimos 5 caracteres son: DAQAB
6-Time to jam out - How many songs does Eli have downloaded?
2 canciones en el path ./2021 CTF - Chromebook/decrypted/mount/user/MyFiles/Music
7-Autofill, roll out - Which word was Autofilled the most?
Para hacernos el trabajo mas fácil a partir de aquí vamos a ayudarnos de CLEAPP.
Con el reporte de CLEAPP vemos que el campo que mas se autocompletó fue: email 
Esta misma información podríamos haberla sacado del archivo ‘Web Data’, que es una base de datos sqlite con sqlitebrowser
8-Dress for success - What is this bird’s image’s logical size in bytes?
Aquí no entendía a que se refería con el pájaro y recordé que había una descarga de tux.
1
2
❯ du -b tux.png
46791 tux.png
9-It’s about the journey, not the destination - How many miles would the trip have been if Eli had taken a long way?
En la screenshot de google de descargas tenemos la respuesta: 81.2 millas
10-Repeat customer - What was Eli’s top visited site?
Si nos dirigimos a Chromebook Top Sites, podemos ver que "https://protonmail.com/" tiene el rango más alto siendo el número 0 
11-Vroom Vroom, What is the name of the car-related theme?
Esta pregunta no la entendí del todo. Hasta que busqué la palabra “theme” y encontré un archivo en ”./Extensions/dkkklbgbfaeockpgbkleblklmcjdbnbj/1_0/images/theme_frame.png que mostraba un Lamborghini Rojo 
Si leemos el manifest.json de la extensión nos da la respuesta: Lamborghini Cherry
12-You got mail - How many emails were received from notification@service.tiktok.com?
Aquí empezamos con la carpeta de Takeout.
Vamos a ./Takeout/Mail y tenemos todos los emails en un mbox. Para leerlos fácilmente, los he importado al Feed en la aplicación de ThunderBird y en ajustes he cambiado el destino del almacenamiento de mensajes a la carpeta Mail. La respuesta son 6 emails
13-Hungry for directions - Where did the user request directions to on Mar 4, 2021, at 4:15:18 AM EDT
(Abriendo la carpeta de Takeout en el navegador se nos hace más fácil movernos por los archivos).
Encontramos esa dirección pedida en ./My Activity/Maps/MyActivity.html
Chick-fil-A
14-Who defines essential? - What was searched on Mar 4, 2021, at 4:09:35 AM EDT
Lo podemos encontrar en ./My Activity/Search/MyActivity.html
is travelling to get chicken essential travel
15-I got three subscribers, and counting - How many YouYube channels is the user subscribed to?
En el json que encontramos en ./YouTube and YouTube Music/subscriptions/subscriptions.json obtenemos 0
1
[]
16-Time flies when you’re watching YT - What date was the first YouTube video the user watched uploaded?
Los videos vistos se encuentran en ./YouTube and YouTube Music/history/watch-history.html y el primer video fue visto el Feb 3, 2021 y era de Lacrosse pero lo que realmente pregunta es cuando fue subido ese video visto. El video es https://www.youtube.com/watch?v=R0UhA3fwz_g y se subió el 27-01-2021
17-How much? - What is the price of the belt?
Aquí se entiende que el usuario ha pagado o buscado un cinturón y así es, lo ha buscado. En ./My Activity/Chrome/MyActivity.html
Hacemos clic en la página web y nos aparece como Agotado y no tenemos precio alguno.
Sin embargo, podemos ver en el html el precio original que aparecía antes que es 98.5
¡Gracias por haber leído mi primer writeup!