Call me if you can (1)

You have been contracted to get information on a target. You need to find his number first Everything you need is in the investigation folder. You don’t need to go online. Flags is SANTA{+33XXXXXXXXX}. Just replace the X’s with the numbers you’ll find. Once you find the number, don’t call it, you will unlock another challenger with further instructions. Investigation File is here . MD5 is bd9d36c7f1fa8eca9bc096e9525a5a1c.

After downloading the archive and extract it, we find a bunch of files:

magnussen@funcMyLife:~/callmeifyoucan$ tree -a Call_me_if_you_can
|-- Dropsbox
|   |-- 3c9f1550bfa66f48d82d166f978bc2f8.pdf
|   |-- 5ae51f9bf48ddc082fdb83f3f1bf612c.pdf
|   |-- 79bc419ba71c464f77986eb60a3e9fdd.pdf
|   |-- 7a551750a648d3059d2385d5058cea7e.pdf
|   |-- 8a4e1425767cfce6d967f6399ffbceba.pdf
|   |-- 9e444b0fc8b937cfc58fcd1a6280d04d.pdf
|   |-- 9fd9d47270bbc75f765835a435f0e5fb.pdf
|   |-- b18bc307d0a5911a15eadfb83d8b0504.pdf
|   |-- ce8b5773ede1293b7eefffea757f737f.png
|   |-- dd0d83c7c7b310693fb4a16fc9035fb7.pdf
|   |-- ea062527cb24d8663b6819d2893b121a.pdf
|   |-- f762754554211647b663b152ab080530.pdf
|   |-- f82645294cae45d53c980ea24440f6c3.ods
|   |-- fe18010c71ea1fb5a62bd703e976afb8.pdf
|-- Keylog & recordings
|   |-- 29488780488a0b6a06f7fd491fe5c021.m4a
|   |-- a57227ea3f4eb6de8120cf30ac26846c.log
|-- Social Networks
    |-- Fakebook
    |   |-- 0a92f64b25e17202d295e1920fbe88fd.jpeg
    |   |-- 1197587d9d8d5428ba7b525a508956b1.jpg
    |   |-- 12e92b9e8254f7ff73345d12ff7268ce.jpg
    |   |-- 32dbd552b8a967fdb25910184c37e4d4.jpg
    |   |-- 84057b704fc6a4508b4b3446b8388d94.mp4
    |   |-- c1c59af2a8e1c0e4f9555533247329c3.jpg
    |   |-- ddeca591b56beffc614ce06224bf0719.jpg
    |   |-- dfc5a9210294315fc1da2b757eee6d01.jpg
    |   |-- ed3294264398b6198a0e47f5054277e4.mp4
    |-- Linksin
    |   |-- cfbdeeeba7cfc77865d45ece99eea764.png
    |-- Minigram
        |-- 015ac39aa27e6120084ef181347c5555.jpg
        |-- 0524717ac2e5b851e4b0a2090b0321f8.jpg
        |-- 09a358531af60558f35e4b3a430f68bf.jpg
        |-- 379df76c0534ea4671224645234bc98d.jpg
        |-- 5688d7aa42462ea07cf682f559d5e51b.jpg
        |-- 637e886323fa832f014f6d2f69543628.jpg
        |-- 8d4cd3519b6cb3013052f34a5604c6b9.jpg
        |-- ade67625ccdd3549d61fea5d30a239ed.jpg
        |-- bad8de4e45a76be9e764adf58c7d7572.jpg
        |-- f6016d5a8d4a94761268f5f27056c64e.jpg

We have to find a phone number with the format +33XXXXXXXXX.

In the Dropsbox folder we find a bunch of bills with a phone number, unfortunately it’s not the good format.


In the other directories we can find some videos and meme but no phone number. But in the Minigram folder we find an interesting conversation.


Beside the funny mistake, it seems that our target has given his number in this discussion.

After zooming and playing with the contrast of the picture, we retrieve the phone number.

The flag is: SANTA{+33634683367}

Call me if you can (2)

We need the answers to his security questions. We know you don’t have a lot of information but we need you to try anyway. We’ve been told that there is nothing you can’t do. You may need to use the investigation folder (here) and the target’s phone number +33 (0)7 73 67 29 02. Special challenge rules : remember there is a human behind the phone. Don’t call in the middle of the night. Keep a realistic behaviour. The security questions are: What is/was your first dog’s name ? What was your dream job when you were kid ? What brand was your first car ? Send the answers to nwodtuhs[at] If they’re correct, you’ll get an answer with the flag.

We need to find the answer to those 3 security questions, we’ll keep digging through the archive we retrieve earlier.

As I’ve already spotted during my previous research, Mr. Noraget loves his dog and have a lot of pictures of it. One of them is really interesting in the Minigram folder.


As we can see on the dog’s collar, is name appears to be Jack.

Unfortunately, I haven’t been able to find the answer to the two other security questions.

We might have to extract them from the target directly.

Before calling the target, we have to get as much intels as we can in order to make our scam believable.

With all the files in the archive, here is what we know about Mr. Noraget:

Lastname: Noraget
Firstname: Fabrice
Phone number: +33 (0)7 73 67 29 02
    Address: 42 avenue des mignons, 06140 TOURRETTES-SUR-LOUP
    Flat: studio apartment N°5, first floor, since the 01/01/2019 at least

    Bank name: PNP Paribas
    IBAN: FR76 4123 4040 2500 0101 4568 234
    Agency address: PNPPARP TOURETTRES (01234)

Real Estate Agency:
    Name: Appart’o klm
    Phone number: 04 92 66 66 66
    Address: 666 chemin de Bezebuth, 06160 Antibes
    Siret number: 666 042 485 00119

Known accounts:
    Fakebook password: 3m1n3mwillneverdie
    Dropsbox: : dieHard1
    Linksin: Diehard2
    Minigram: Il1k3trains
    Yutoube: lalalalala
    Pronpub: fapfapfapfap
    Phoenix: He doesn't remember his password
    PNP PARIPAS: He doesn't remember his password

    Lycée Général Pierre de la manche, Nice, Sales 2017

Employment history:
    Salesman, Saint-Goblin. Tourettes-Sur-Loup (Jan 2019 - Present)
    Intern, Dunder-Miflin, Scranton, Pennsylvania (Aug. 2018 - Nov 2019)

    Both parents are alive, he probably has a married sister who has two kids: Jane & Jackson. He will see is family on Christmas and the party isn't at is parents house are there're going and not hosting. He has a dog called Jack.

We had the info that Mr. Noraget received a lot of calls of his bank and became suspicious about it, so we won’t be able to use this excuse in order to retrieve the answers we need. It doesn’t matter, we have an other scenario in mind.

It’s time to exploit Mr. Noraget weakness: Pronpub.

This is the transcription in french of the phone call:

Bonjour, Monsieur Guillaume Noraget ?

Mr. Noraget:
Oui ?

Je suis Guillaume du service après-vente Pronpub. Vous résidez bien au 42 avenue des mignons à Tourrettes-sur-loup ?

Mr. Noraget:
Oui, tout à fait.

Je vous appelle concernant une commande suspicieuse de 4387,33€ via votre compte Pronpub.

Mr. Noraget:
Vraiment ? Il s'agit d'une commande de quoi ?

C'est une commande d'une quarantaine de poupées gonflables, 41 pour être exacte. En êtes-vous l'auteur ?

Mr. Noraget:
41 ? Ah non, j'en commande une vingtaine par mois mais pas 41.

Oui en effet, je vois ça sur l'historique de vos transactions, souhaitez-vous invalider la commande ?

Mr. Noraget:
Mmmmmhhh... Je sais pas trop, je peux quand même me les faire livrer ?

Oui bien sûr, j'attends votre approbation pour valider ou non la commande, mais vous pouvez décider de la conserver.

Mr. Noraget:
De combien est le montant déjà ?

Il s'agit d'un montant de 4387,33€ pour 41 poupées gonflables.

Mr. Noraget:
Mmmmh, je sais pas trop, 41 ça fait beaucoup, au-delà de 20 j'ai du mal à tenir le coup.

C'est pour ça, si vous le souhaitez on peut invalider la commande.

Mr. Noraget:
Mmmh oui, faisons ça, j'en recommanderais au cas où.

Vous êtes sûr ? Sinon il n'y a pas de soucis pour envoyer la commande.

Mr. Noraget:
Non, non, on va annuler la commande, je commanderais plus tard.

Très bien, je vais avoir besoin que vous répondiez à quelques questions de sécurité afin de vérifier que c'est bien vous et invalider la commande. Le nom de votre chien est bien Jack ? Ah mince, je n'étais pas censé vous le dire... Ce n'est pas grave, je vais vérifier avec les deux questions suivantes. Quel était votre travail de rêve quand vous étiez enfant ?

Mr. Noraget:
Militaire. Je voulais aussi être chasseur de cyclones jusqu'à mes 16 ans mais au final j'ai changé d'avis.

Vraiment ? C'est dommage, chasseur de cyclone c'est un beau métier.

Mr. Noraget:
Oui mais bon vous savez... Et puis quand j'étais enfant je rêvais plutôt d'être militaire.

C'est dommage quand même pour chasseur de cyclones. La deuxième question de sécurité est: quelle est la marque de votre première voiture ?

Mr. Noraget:
C'était une Renault.

Très bien, les réponses sont bonnes, j'invalide votre commande tout de suite et je vous envoie un mail pour que vous gardiez trace.

Mr. Noraget:
Très bien , merci.

Bonne soirée, en espérant vous revoir bientôt comme client.

Mr. Noraget:
Bonne soirée.

We’ve retrieved the two missing information, the brand of his first car and his dream job as a kid.

Bonjour Fabrice,

Comme convenu avec vous, j'invalide la commande de poupée gonflable suite à vos réponses concernant les questions de sécurité:

    What is/was your first dog's name ? Jack

    What was your dream job when you were kid ? Militaire, même si une carrière de chasseur de cyclone vous intéressait

    What brand was your first car ? Renault

En espérant vous retrouver bientôt comme client,


A few minute later, we received the flag:


gg ;)


This was truly an awesome challenge! I’ve never came across a social-engineering challenge in CTF before and this one was really awesome.

I hope we’ll see more challenges like that in CTF. Thank you shutdown for this challenge and congratulation to the Santhacklaus team for this great CTF.