[{"content":"","date":"23 mai 2026","externalUrl":null,"permalink":"/tags/breizhctf-2026/","section":"Tags","summary":"","title":"BreizhCTF 2026","type":"tags"},{"content":" Description # Nos investigations sur la BZH Mafia ont révélé une information stupéfiante : l’organisation compterait parmi ses membres un individu connu du grand public, une personnalité dont le visage est familier à des millions de Français. Cette figure publique utilise sa notoriété comme camouflage parfait: elle blanchit de l’argent via ses activités officielles, recrute discrètement parmi ses admirateurs tout en masquant ses véritables opérations criminelles.\nLors de la perquisition d’une planque de la BZH Mafia, nos équipes ont fouillé un bureau censé appartenir à cette célébrité. Vous trouverez en pièce jointe la photo de ce que nous y avons découvert.\nLe temps presse. Cette personnalité prépare une transaction imminente qui pourrait rapporter des millions à l’organisation. Peut-être qu’avec l’analyse de cette trouvaille, vous parviendrez à identifier la personne concernée.\nP.S. - Conseil de l’équipe technique du BINB : passez votre navigateur en light mode, sinon la dernière étape de l’investigation risque d’être compliquée.\nFormat du flag: BZHCTF{Prénom_Nom}\nSolution # Dans ce challenge, nous avons une image à notre disposition sur laquelle il y a :\nUn lien de prise de notes accessible avec un mot de passe Un rappel en cas de perte du mot de passe Trouver le mot de passe du pastebin # Le rappel du mot de passe est : \u0026ldquo;Le mot de passe est nom de l\u0026rsquo;animal fétiche de l\u0026rsquo;hôtel collé au bâtiment sur la photo dans mon tiroir\u0026rdquo;\nPour trouver le bâtiment, j\u0026rsquo;ai utilisé Google Lens, il suffit d\u0026rsquo;uploader l\u0026rsquo;image dans l\u0026rsquo;outil et de sélectionner la zone que l\u0026rsquo;on recherche.\nOn trouve le nom du bâtiment : Aoyama Technical College.\nOn utilise Google Maps pour trouver le bâtiment et l\u0026rsquo;hôtel apparaît directement sur la carte.\nLe mot de passe est koala.\nNote Pastebin # On ouvre la note avec le mot de passe précédemment récupéré et on obtient le contenu ci-dessous.\nNOTES PERSO BZH MAFIA TODO : === - Réunion prod jeudi 17h - Transfert 50k€ mule #7 CONTACTS : ========= Mule #7 : 06.98.XX.XX.XX MES COMPTES PRO : ================ YouTube : @BzhMafia56 https://www.youtube.com/@BzhMafia56 Spotify : [privé] Insta : [privé] FIN Compte Youtube - BzhMafia56 # La chaîne Youtube contient seulement une playlist nommée my secret playlist avec 2 musiques :\nBack In Time It was once here Ces noms font écho à quelque chose de passé, en OSINT, l\u0026rsquo;outil souvent utilisé dans ce type de contexte est Wayback Machine, il permet de sauvegarder les pages d\u0026rsquo;un site internet à un instant donné.\nSur Wayback Machine, on met le lien de la chaîne Youtube et on peut remarquer que 2 sauvegardes ont été effectuées.\nOn consulte la première sauvegarde et elle contient un short Youtube nommé flag, on copie le lien.\nUne fois le short ouvert, on peut reconnaître Sylvain Durif.\nPour ceux qui ne l\u0026rsquo;auraient pas reconnu, il est possible de réutiliser Google Lens.\nPour rappel, nous cherchions une personnalité, cette personne est Sylvain Durif.\nFlag # BZHCTF{Sylvain_Durif}\n","date":"23 mai 2026","externalUrl":null,"permalink":"/writeups/breizhctf-2026-double-vie/","section":"Writeups","summary":"","title":"BreizhCTF 2026 - Double Vie - OSINT","type":"writeups"},{"content":"","date":"23 mai 2026","externalUrl":null,"permalink":"/","section":"Niceclear's Blog","summary":"","title":"Niceclear's Blog","type":"page"},{"content":"","date":"23 mai 2026","externalUrl":null,"permalink":"/tags/","section":"Tags","summary":"","title":"Tags","type":"tags"},{"content":"Sur cette page, vous trouverez les writeups des CTF et challenges de cybersécurité que j\u0026rsquo;ai résolus.\n","date":"23 mai 2026","externalUrl":null,"permalink":"/writeups/","section":"Writeups","summary":"Mes writeups de CTF et challenges de cybersécurité.","title":"Writeups","type":"writeups"},{"content":"","date":"27 avril 2025","externalUrl":null,"permalink":"/tags/fcsc-2025/","section":"Tags","summary":"","title":"FCSC 2025","type":"tags"},{"content":" Description commune aux différentes étapes # Lors d\u0026rsquo;un passage de douane, le douanier vous demande de lui remettre votre téléphone ainsi que son code de déverrouillage. Le téléphone vous est rendu quelques heures plus tard \u0026hellip;\nSuspicieux, vous envoyez votre téléphone pour analyse au CERT-FR de l\u0026rsquo;ANSSI. Les analystes du CERT-FR effectuent une collecte sur le téléphone, composée d\u0026rsquo;un sysdiagnose et d\u0026rsquo;un backup.\nNote : à l\u0026rsquo;exception de iForensics - iBackdoor 2/2 qui dépend de la résolution de iForensics - iBackdoor 1/2, les épreuves sont indépendantes. Nous vous conseillons néanmoins de faire les épreuves par difficulté croissante, en terminant par iForensics - iCompromise.\niCrash # Description # Il semblerait qu\u0026rsquo;un flag se soit caché à l\u0026rsquo;endroit où sont stockés les crashes sur le téléphone \u0026hellip;\nSolution # Nous avons une sauvegarde et un \u0026ldquo;sysdiagnose\u0026rdquo; à notre disposition.\nUn flag serait caché dans les \u0026ldquo;crashes\u0026rdquo; du téléphone.\nNous commençons par extraire l\u0026rsquo;archive .\n$ tar xf sysdiagnose_and_crashes.tar.xz Un dossier private est extrait.\n$ cd private/var/mobile/Library/Logs/CrashReporter/ $ ls -1A Assistant awdd-2025-04-07-055752-11.consolidated.metriclog awdd-2025-04-07-055752-12.consolidated.metriclog.anon backboardd.wakeups_resource-2025-04-07-073310.ips Baseband Cloud CoreCapture .dasd-2025-04-07-095528.ips DiagnosticLogs fcsc_intro.txt FilesystemMeta-2025-04-07-080524.fsmeta.tgz mussel-2025-04-07-075357.ips mussel-2025-04-07-075418.ips Panics powerlog_2025-04-07_08-09_86F8D636.PLSQL Retired Signal.hooked-2025-04-07-074158.ips Signal.hooked-2025-04-07-074204.ips Signal.hooked-2025-04-07-074252.ips Signal.hooked-2025-04-07-074306.ips Signal.hooked-2025-04-07-074320.ips Signal.hooked-2025-04-07-074745.ips SiriSearchFeedback-2025-04-07-060357.ips SiriSearchFeedback-2025-04-07-064111.ips SiriSearchFeedback-2025-04-07-064240.ips SiriSearchFeedback-2025-04-07-064530.ips SiriSearchFeedback-2025-04-07-073041.ips SiriSearchFeedback-2025-04-07-073404.ips SiriSearchFeedback-2025-04-07-080620.ips SpringBoard-2025-04-07-064234.ips stacks-2025-04-07-080617.ips stacks-2025-04-07-080618.000.ips stacks-2025-04-07-080618.ips stacks-2025-04-07-080623.ips WiFiLQMMetrics-2025-04-07-063152.ips WiFiLQMMetrics-2025-04-07-064552.ips Il y a un fichier nommé fcsc_intro.txt, nous l\u0026rsquo;affichons.\n$ cat fcsc_intro.txt FCSC{7a1ca2d4f17d4e1aa8936f2e906f0be8} Flag : FCSC{7a1ca2d4f17d4e1aa8936f2e906f0be8}\niDevice # Description # Pour commencer, trouvez quelques informations d\u0026rsquo;intérêt sur le téléphone : version d\u0026rsquo;iOS et identifiant du modèle de téléphone.\nLe flag est au format FCSC{\u0026lt;identifiant du modèle\u0026gt;|\u0026lt;numéro de build\u0026gt;}. Par exemple, pour un iPhone 14 Pro Max en iOS 18.4 (22E240) : FCSC{iPhone15,3|22E240}.\nAttention : pour cette épreuve, vous n\u0026rsquo;avez que 5 tentatives de flag.\nSolution # Pour la suite, nous allons utiliser iLEAPP, un outil qui permet de parser une sauvegarde iOS.\n$ tar xf backup.tar.xz $ ./ileapp -t itunes -i /tmp/fcsc/backup -o /tmp/fcsc/backup/out Il ne reste plus qu\u0026rsquo;à ouvrir le fichier index.html dans le dossier /tmp/fcsc/backup/out/iLEAPP_Reports....\nNous pouvons défiler sur le côté gauche pour accéder aux différentes informations.\nPour cette partie, il nous faut l\u0026rsquo;identifiant du modèle et le numéro de build, ces informations sont disponibles sur la première page Report Home dans l\u0026rsquo;onglet Device details.\nProduct Type: iPhone12,3 [...] Build Version: 20A362 Flag : FCSC{iPhone12,3|20A362}\niWifi # Description # Pour continuer, trouvez quelques informations d\u0026rsquo;intérêt sur le téléphone : SSID et BSSID du réseau WiFi sur lequel le téléphone est connecté ainsi que le compte iCloud associé au téléphone.\nLe flag est au format FCSC{\u0026lt;SSID\u0026gt;|\u0026lt;BSSID\u0026gt;|\u0026lt;compte iCloud\u0026gt;}. Par exemple, si le téléphone est connecté sur le réseau WiFi example, qui a pour BSSID 00:11:22:33:44:55 et que le compte iCloud associé est example@example.com : FCSC{example|00:11:22:33:44:55|example@example.com}.\nSolution # Nous continuons avec le rapport ILEAPP, sur la page WiFi Known Networks Info.\nSSID : FCSC\nBSSID : 66:20:95:6c:9b:37\nSur la page SMS \u0026amp; iMessage - Messages (Threaded), il n\u0026rsquo;y a qu\u0026rsquo;une adresse email robertswigert@icloud.com.\nSachant que le nom de l\u0026rsquo;appareil est Robert's iPhone, j\u0026rsquo;en déduis que c\u0026rsquo;est l\u0026rsquo;adresse email liée à l\u0026rsquo;appareil.\nFlag : FCSC{FCSC|66:20:95:6c:9b:37|robertswigert@icloud.com}\niTreasure # Description # Avant la remise du téléphone à la douane, le propriétaire du téléphone a eu le temps d\u0026rsquo;envoyer un trésor. Retrouvez ce trésor.\nSolution # Nous sommes donc à la recherche d\u0026rsquo;un trésor. La description n\u0026rsquo;étant pas très précise, nous pouvons toutefois creuser la piste de la photo vue lors de la résolution du challenge iWifi, mais iLEAPP ne l\u0026rsquo;affichait pas.\nSur la page SMS report, on obtient le chemin de l\u0026rsquo;image envoyée.\nNom du fichier : 679329D1-12E7-45F2-A082-1E58A6CB454F.HEIC Dans les sauvegardes iOS, il y a un artifact nommé Manifest.db. C\u0026rsquo;est un index de tous les fichiers contenus dans la sauvegarde, il stocke notamment un hash et l\u0026rsquo;emplacement initial du fichier.\nCette article détaille plusieurs artifacts dont Manifest.db.\nEn utilisant sqlitebrowser pour consulter le contenu de Manifest.db, on obtient l\u0026rsquo;emplacement de l\u0026rsquo;image dans la sauvegarde.\nLe fichier 6f4e34098e00a80fde876c8638fb1d685be2318b\n$ find . -name \u0026#34;6f4e34098e00a80fde876c8638fb1d685be2318b\u0026#34; ./6f/6f4e34098e00a80fde876c8638fb1d685be2318b $ mv ./6f/6f4e34098e00a80fde876c8638fb1d685be2318b ./6f/6f4e34098e00a80fde876c8638fb1d685be2318b.heic $ xviewer ./6f/6f4e34098e00a80fde876c8638fb1d685be2318b.heic Flag : FCSC{511773550dca}\niNvisible # Description # Il semblerait qu\u0026rsquo;un message n\u0026rsquo;ait pas pu s\u0026rsquo;envoyer \u0026hellip; Retrouvez le destinataire de ce message.\nLe flag est au format FCSC{\u0026lt;destinataire\u0026gt;}. Par exemple, si le destinataire est example@example.com : FCSC{example@example.com}.\nSolution # Cette fois-ci, aucune information n\u0026rsquo;est disponible via iLEAPP. Sur internet, on recherche sms artifiacts ios, on trouve une documentation sur le forensique des messages sous iOS.\nOn récupère la base de données sms.db au chemin suivant /private/var/mobile/Library/SMS/sms.db avec l\u0026rsquo;aide de Manifest.db.\nLe nom de la base de données dans la sauvegarde est 3d0d7e5fb2ce288813306e4d4636395e047a3d28.\n$ sqlitebrowser ./3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28 Dans la table chat, il y a deux mails, dont un que je n\u0026rsquo;avais pas sur iLEAPP.\nFlag : FCSC{kristy.friedman@outlook.com}\niBackdoor # Description # Vous continuez vos analyses afin de trouver la backdoor sur le téléphone. Vous finissez par vous rendre compte qu\u0026rsquo;une application est compromise et que le téléphone était infecté au moment de la collecte \u0026hellip; Trouvez l\u0026rsquo;identifiant de l\u0026rsquo;application compromise ainsi que l\u0026rsquo;identifiant de processus (PID) du malware.\nLe flag est au format FCSC{\u0026lt;identifiant application\u0026gt;|\u0026lt;PID\u0026gt;}. Par exemple, si l\u0026rsquo;application compromise est Example (com.example) et que le PID est 1337 : FCSC{com.example|1337}.\nSolution # Nous cherchons une application compromise. Après quelques recherches, j\u0026rsquo;ai lu un premier article qui aborde une manière de détecter des spywares en utilisant l\u0026rsquo;outil iShutdown.\n$ python3 iShutdown_detect.py /tmp/fcsc/private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362.tar.gz +++ Detected 4 reboot(s). Good practice to follow. *** Detected 1 reboot(s) with 3 or more delays before a reboot. 2025-04-07 14:46:53 UTC +++ No suspicious processes detected in \u0026#39;/private/var/db/\u0026#39;. Last reboot was on: 2025-04-07 14:46:53 UTC +++ No suspicious processes detected in \u0026#39;/private/var/tmp/\u0026#39;. Last reboot was on: 2025-04-07 14:46:53 UTC L\u0026rsquo;outil s\u0026rsquo;appuie sur le fichier shutdown.log. Les deux articles suivants abordent cette technique de détection :\nhttps://securityboulevard.com/2024/01/kaspersky-details-method-for-detecting-spyware-in-ios/ https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/ Je décide de consulter le fichier shutdown.log et je constate qu\u0026rsquo;une application revient plusieurs fois Signal.app.\nJ\u0026rsquo;analyse ensuite le fichier ps.txt à l\u0026rsquo;emplacement suivant private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/ps.txt.\nEn se concentrant sur l\u0026rsquo;application Signal.app, nous regardons les différents processus jusqu\u0026rsquo;à temps de voir un processus contenant du base64.\n$ echo \u0026#34;dGNwOi8vOTguNjYuMTU0LjIzNToyOTU1Mg==\u0026#34; | base64 -d tcp://98.66.154.235:29552 On peut considérer ce comportement comme suspect. En le décodant on obtient un protocole, une adresse IP et un port, ce qui est typique de la communication avec un serveur de commande et contrôle.\nDans le fichier ps.txt, il y a 3 processus mussel dans le dossier de Signal.app qui ont du base64 et 3 PID différents.\nLes PIDs 279 et 330 ont été exécuté à 7:47 AM. Le PID 345 a quant à lui été exécuté à 7:56 AM et son processus parent est le 344.\nPour l\u0026rsquo;identifiant de l\u0026rsquo;application, il est possible de le retrouver en cherchant le mot signal au sein du dossier sysdiagnose et plusieurs fichiers vont nous remonter l\u0026rsquo;identifiant : org.whispersystems.signal. Il est aussi possible de consulter la page Application State report d\u0026rsquo;iLEAPP.\nPour ce challenge, nous avons cinq essais, il est possible de tester les 3 PID ou bien de prendre par déduction le processus le plus récent : 345.\nFlag : FCSC{org.whispersystems.signal|345}\niC2 # Description # Retrouvez le nom de l\u0026rsquo;outil malveillant déployé sur le téléphone, ainsi que le protocole, l\u0026rsquo;adresse IP et le port de communication vers le serveur C2.\nLe flag est au format FCSC{\u0026lt;outil\u0026gt;|\u0026lt;protocole\u0026gt;|\u0026lt;adresse IP\u0026gt;|\u0026lt;port\u0026gt;}. Par exemple, si l\u0026rsquo;outil est Cobalt Strike, le protocole TCP, l\u0026rsquo;adresse IP 127.0.0.1 et le port 1337 : FCSC{Cobalt Strike|TCP|127.0.0.1|1337}.\nSolution # Avec les informations obtenues lors de la résolution de iBackdoor. Nous avons déjà l\u0026rsquo;IP, le port et le protocole utilisé.\nPour obtenir l\u0026rsquo;outil utilisé, on peut s\u0026rsquo;appuyer sur le mot clé mussel. J\u0026rsquo;ai trouvé l\u0026rsquo;outil avec la recherche suivante : \u0026quot;mussel\u0026quot; base64 iphone en trouvant cet article. L\u0026rsquo;outil est disponible sur GitHub et correspond bien à un outil de post-exploitation pour iOS et macOS.\nFlag : FCSC{SeaShell|TCP|98.66.154.235|29552}\niBackdoor 2 # Description # Maintenant que vous savez quelle application a été compromise, retrouvez comment est-ce que l\u0026rsquo;attaquant a récupéré l\u0026rsquo;application légitime, préalablement à l\u0026rsquo;infection.\nIl vous faudra retrouver :\nL\u0026rsquo;identifiant de l\u0026rsquo;application utilisée pour récupérer l\u0026rsquo;application légitime; Le chemin utilisé pour stocker l\u0026rsquo;application légitime; La date de désinstallation de l\u0026rsquo;application légitime (en heure locale). Le flag est au format FCSC{\u0026lt;identifiant application\u0026gt;|\u0026lt;chemin\u0026gt;|\u0026lt;date\u0026gt;}. Par exemple, si l\u0026rsquo;application utilisée est Example (com.example), que le chemin est /private/var/tmp/test.xyz et que la date de désinstallation est 2025-01-01 01:00:00 : FCSC{com.example|/private/var/tmp/test.xyz|2025-01-01 01:00:00}.\nSolution # L\u0026rsquo;application Signal a été compromise. Il faut trouver :\nL\u0026rsquo;application qui a permis de récupérer Signal ; Le chemin où a été stocké Signal ; La date à laquelle Signal a été désinstallé. Je lis un document très détaillé qui indique différents artifacts.\nEn terme d\u0026rsquo;horaire, je me rappelle qu\u0026rsquo;une photo a été envoyée avant de donner le téléphone à la douane (13:29:31), cette information permet de limiter notre recherche à un espace temporel.\nIl faut retenir que l\u0026rsquo;heure est attendue en heure locale et la timezone de l\u0026rsquo;appareil est US/Pacific, une information obtenue dans iLEAPP sur la page Timezone Information report.\nJe commence par analyser mobile_installation.log.0 et les heures ne sont pas les mêmes car dans ce fichier de journalisation, l\u0026rsquo;heure est en heure locale, donc c\u0026rsquo;est une bonne piste par rapport à la description du challenge.\nEn analysant les applications installées, Signal n\u0026rsquo;y est pas, par contre nous obtenons des dates d\u0026rsquo;installation des autres applications, ce qui nous confirme que le fichier de journalisation des installations est en heure locale.\nAvec mobile_installation.log.0 j\u0026rsquo;obtiens l\u0026rsquo;heure d\u0026rsquo;installation (06:13:34) et de désinstallation (07:40:47) de Signal.\nMon Apr 7 06:13:34 2025 [234] \u0026lt;notice\u0026gt; (0x16b48f000) -[MIClientConnection _doInstallationForURL:identity:domain:options:completion:]: Install of \u0026#34;/private/var/containers/Shared/SystemGroup/systemgroup.com.apple.installcoordinationd/Library/InstallCoordination/PromiseStaging/B6D2BE18-C74E-4BBE-A15F-C88A708E89A3/Signal.app\u0026#34; type Placeholder (LSInstallType = MIInstallationDomainDefault, Domain: 1) requested by installcoordinationd (pid 960 (501/501)) [...] Mon Apr 7 07:40:47 2025 [446] \u0026lt;notice\u0026gt; (0x16fc9b000) -[MIClientConnection _uninstallIdentities:withOptions:completion:]: Uninstall requested by installcoordinationd (pid 123 (501/501)) for identity [org.whispersystems.signal/PersonalPersonaPlaceholderString] with options: { WaitForStorageDeletion = 0; } [...] Mon Apr 7 07:43:55 2025 [446] \u0026lt;notice\u0026gt; (0x16fd27000) -[MIClientConnection _uninstallIdentities:withOptions:completion:]: Uninstall requested by lsd (pid 107 (501/501)) for identity [com.fiore.trolldecrypt/PersonalPersonaPlaceholderString] with options: (null) Je vois que juste après la désinstallation de Signal, une application nommée com.fiore.trolldecrypt est désinstallée. Je lis sur le GitHub du projet que l\u0026rsquo;application permet de récupérer une application au format IPA.\nL\u0026rsquo;utilisation de TrollDecrypt est suspecte et est intéressante car SeaShell attend un fichier au format IPA, afin de le patcher et d\u0026rsquo;introduire une backdoor au sein de celui-ci.\nAprès des heures de recherches du chemin, je ne trouve rien, j\u0026rsquo;ai analysé plusieurs artifacts au sein du sysdiagnose et de la sauvegarde mais je n\u0026rsquo;ai rien trouvé qui pouvait correspondre au chemin recherché.\nJe décide de revenir à la base du sysdiagnose, et je vois un fichier nommé FilesystemMeta-2025-04-07-080524.fsmeta.tgz que je n\u0026rsquo;ai ni extrait ni analysé. En voyant le mot Filesystem, je me dis que cela peut être intéressant de le consulter. J\u0026rsquo;effectue un grep au sein du fichier extrait.\n$ grep -ari \u0026#34;\\.ipa\u0026#34; private_var-dev_disk1s2.fslisting:66605056\t66603101\t-\t0\t1744033541\t33188\t501\t501\t/private/var/mobile/Library/TrollDecrypt/decrypted/Signal_7.53_decrypted.ipa 4143862369472490735.fslisting:4096\t2112\tc\t0\t1662169021\t33188\t0\t0\t/System/Library/DoNotDisturb/DB/PlaceholderModes.ipados.json 4143862369472490735.fslisting:16384\t12399\t-\t0\t1662169021\t33204\t0\t80\t/Applications/SharingViewService.app/com.apple.ipad-air_256x256.png L\u0026rsquo;ipa de Signal est bien stocké dans le chemin de l\u0026rsquo;application TrollDecrypt, ce qui correspond à la description que j\u0026rsquo;avais sur le GitHub.\nFlag : FCSC{com.fiore.trolldecrypt|/private/var/mobile/Library/TrollDecrypt/decrypted/Signal_7.53_decrypted.ipa|2025-04-07 07:40:47}\n","date":"27 avril 2025","externalUrl":null,"permalink":"/writeups/fcsc-2025-iforensics/","section":"Writeups","summary":"","title":"FCSC 2025 - iForensics - Forensics","type":"writeups"},{"content":"","externalUrl":null,"permalink":"/authors/","section":"Authors","summary":"","title":"Authors","type":"authors"},{"content":"","externalUrl":null,"permalink":"/categories/","section":"Categories","summary":"","title":"Categories","type":"categories"},{"content":"","externalUrl":null,"permalink":"/series/","section":"Series","summary":"","title":"Series","type":"series"},{"content":"Hi, I\u0026rsquo;m Niceclear. CTF player and infosec enthusiast. I write here about defensive and offensive security, and everything around.\n🚩 CTF Player since 2019 with glob://al_elite and B\u0026rsquo;Hack\u0026rsquo;UP 🔵 Focused on Blue Team (forensics, SOC) and OSINT 🔴 Web, Active Directory 🎓 Certifications HTB CDSA 🐛 Vulnerability research CVE-2024-5913 - Palo Alto Networks - PAN-OS 🧩 Challmaker and tester for MidnightFlag CTF Created a forensics challenge (writeup incoming) Tested challenges 🎯 Organized the Unlock Your Brain, Harden Your System Attack-Defense CTF (2022) ","externalUrl":null,"permalink":"/whoami/","section":"Niceclear's Blog","summary":"","title":"whoami","type":"page"}]