NovaCode37/SevenMinutesOnTheSeine-osint

GitHub: NovaCode37/SevenMinutesOnTheSeine-osint

一份关于虚构卢浮宫艺术品盗窃案的多层次 OSINT 调查演练记录,涵盖地理定位、文物元数据提取、国际刑警组织被盗记录交叉比对及逃跑路线重建等完整开源情报调查流程。

Stars: 1 | Forks: 0

# TryHackMe — 案件:塞纳河上的七分钟 ## 目标 提供了一个虚构的抢劫场景作为背景:在 **2025 年 10 月 19 日**,来自法兰西第一和第二帝国的九件无价皇家珠宝在巴黎卢浮宫博物馆的 **阿波罗画廊 (Galerie d'Apollon)** 失窃。调查需要在五个问题中应用开源情报 (OSINT) 技术——识别入口点、在博物馆的公共藏品数据库中研究被盗文物、定位国际刑警组织 (INTERPOL) 的参考编号、识别画廊中央的天花板画作,以及追踪跨越塞纳河的最可能逃跑路线。 ![调查报告界面](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/6b0da54f54084640.jpg) ## 使用的工具 | 工具 | 用途 | |------|---------| | **Google Earth** | 用于入口和桥梁识别的卫星和 3D 图像 | | **Wayback Machine** (web.archive.org) | 包含官方关闭日期的卢浮宫入口页面存档 | | **Google Search + AI Mode** | 对圣物胸针的初步研究 | | **Google Images** | 卢浮宫藏品中胸针的视觉识别 | | **Louvre Collections** (collections.louvre.fr) | 官方文物元数据:库存、制作者、获取方式、状态 | | **INTERPOL Stolen Works of Art** | 公共 INTERPOL 通知中被盗物品的参考 ID | ## 演练 ### 步骤 1 — 通过 Google Earth 和 Wayback Machine 识别博物馆入口 调查首先从地理定位卢浮宫面向河流的入口开始。使用 **Google Earth**,在卫星视图中检查了卢浮宫建筑的南翼——面向塞纳河的德农馆。鸟瞰图中的红色箭头标记了河岸上停放云梯车的位置,直接指向位于弗朗索瓦·密特朗滨河路 一侧的 **Porte des Lions** 入口。 ![Google Earth — 塞纳河上的入口位置](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/928354363a084700.jpg) 为了确认官方名称并获取博物馆声明的关闭日期,从 **Wayback Machine** 中检索了卢浮宫的入口和路线页面 (`louvre.fr/en/visit/map-entrances-directions`)。存档的快照确认了位于弗朗索瓦·密特朗滨河路的 **Porte des Lions** 入口的列表,并附有以下通知: ![Wayback Machine — 卢浮宫入口存档](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/94108fda40084702.jpg) **发现 — 入口:** Porte des Lions **发现 — 官方关闭日期:** 2024 年 10 月 22 日 ``` PORTE_DES_LIONS-22_OCT_2024 ``` ### 步骤 2 — 通过卢浮宫藏品查看欧仁妮皇后的圣物胸针 第二个问题需要从博物馆的官方藏品记录中识别欧仁妮皇后圣物胸针的四个特定元数据字段。 在 Google 中搜索 `louvre collections`,会显示位于 `collections.louvre.fr` 的官方数据库。 ![Google 搜索 — 卢浮宫藏品数据库](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/1154a69a81084703.jpg) 为了建立该作品的背景,通过 Google AI Mode 查询 `Empress Eugénie's Reliquary Brooch`,确认它是法国皇冠珠宝的杰作,由巴黎珠宝商 **Paul-Alfred Bapst** 于 **1855 年** 创作。 ![Google AI Mode — 圣物胸针背景](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/c7fc759b09084704.jpg) 使用 Google Images 在类似的胸针中对这件作品进行视觉识别,并确认正确的博物馆指定名称。 ![Google Images — 胸针视觉识别](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/1aafa41e13084705.jpg) 在卢浮宫藏品数据库中搜索 `broche`,会显示由 **Bapst, Paul-Alfred** (1855) 创作的条目 **"Broche dite broche reliquaire"**,在结果中用圆圈标出。 ![卢浮宫藏品 — 胸针搜索结果](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/c6079bd8e9084706.jpg) 完整的藏品记录确认了必填字段: | 字段 | 值 | |-------|-------| | 库存编号 | `MV1024` | | 制作者(姓氏) | `BAPST` | | 获取方式 | `Affecté` | | 获取年份 | `1887` | | 位置状态 | `Non exposé` | **发现 — 库存编号:** MV1024 **发现 — 制作者:** BAPST **发现 — 获取方式:** Affecté, 1887 **发现 — 状态:** Non exposé ``` MV1024-BAPST-AFFECTE-1887-NON_EXPOSE ``` ### 步骤 3 — 通过被盗艺术品通知获取 INTERPOL 参考 ID 第三个问题询问分配给九件被盗作品中的两件的 INTERPOL 参考编号:**玛丽-阿梅莉和奥坦丝女王的蓝宝石冠冕** 和 **圣物胸针**。 检索了有关此次盗窃案的 INTERPOL 公共通知。该海报的日期为 **2025 年 10 月 19 日**,内容如下: 所有九件物品均与其在 INTERPOL 被盗艺术品数据库中的个人参考编号一起展示(目录参考号 2025/359)。 ![INTERPOL 公共通知 — 卢浮宫阿波罗画廊盗窃案](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/86d8876c86084707.jpg) 根据通知: | 物品 | 参考 | |------|-----------| | 玛丽-阿梅莉和奥坦丝女王的蓝宝石冠冕 | `2025/359.1` | | 玛丽-阿梅莉和奥坦丝女王的蓝宝石项链 | 2025/359.2 | | 欧仁妮皇后的钻石蝴蝶结胸针 | 2025/359.3 | | 玛丽-路易丝套装的祖母绿项链 | 2025/359.4 | | **圣物胸针** | `2025/359.5` | | 玛丽-路易丝套装的祖母绿耳环 | 2025/359.6 | | 玛丽-阿梅莉和奥坦丝女王的蓝宝石耳环 | 2025/359.7 | | 欧仁妮皇后的冠冕 | 2025/359.8 | **发现 — 蓝宝石冠冕 INTERPOL 参考:** 2025/359.1 **发现 — 圣物胸针 INTERPOL 参考:** 2025/359.5 ``` 2025/359.1,2025/359.5 ``` ### 步骤 4 — 通过卢浮宫藏品查看阿波罗画廊的天花板画作 第四个问题要求提供发生盗窃案的画廊——**Galerie d'Apollon**——中央天花板画作的标题、库存编号和尺寸。 在卢浮宫藏品数据库中查询 Galerie d'Apollon 的中央天花板作品。找到了由 **Eugène Delacroix** 创作的 **"Apollon vainqueur du serpent Python"** (战胜巨蟒皮同的阿波罗) 的记录。 ![卢浮宫藏品 — 战胜巨蟒的阿波罗记录](https://raw.githubusercontent.com/NovaCode37/SevenMinutesOnTheSeine-osint/main/task4_col_louvre.jpg) 藏品条目确认: | 字段 | 值 | |-------|-------| | 标题 | Apollon vainqueur du serpent Python | | 艺术家 | Delacroix, Eugène | | 日期 | 1850 / 1851 | | 库存编号 | `INV 3818` | | 部门 | Département des Peintures | | 尺寸 | 8 m × 7.5 m | **发现 — 标题:** Apollon vainqueur du serpent Python **发现 — 库存编号:** INV 3818 **发现 — 尺寸:** 8 m × 7.5 m ``` APOLLON_VAINQUEUR-INV_3818-8mx7.5m ``` ### 步骤 5 — 通过 Google Earth 3D 识别桥梁 最后一个问题询问位于 Porte des Lions 入口最近的河边正南方的桥梁——这是跨越塞纳河的最可能逃跑路线。 将 Google Earth 切换到 **3D 视图**,将卢浮宫建筑群置于画面中。检查 Porte des Lions(弗朗索瓦·密特朗滨河路)以南的河段。在该位置横跨塞纳河、紧邻正南方的桥梁在卫星视图中被直接标注。 ![Google Earth 3D — Pont Royal 逃跑路线](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/b76827a56c084739.jpg) 该桥被识别为 **Pont Royal**,这是一座连接左岸和杜乐丽花园一侧的历史名桥,位于 Porte des Lions 入口的正南方。 **发现 — 桥梁:** Pont Royal ``` PONT_ROYAL ``` ## 调查结果摘要 | # | 调查问题 | 答案 | |---|----------------------|--------| | 1 | 河边博物馆入口 + 官方关闭日期 | `PORTE_DES_LIONS-22_OCT_2024` | | 2 | 圣物胸针 — 库存、制作者、获取方式/年份、状态 | `MV1024-BAPST-AFFECTE-1887-NON_EXPOSE` | | 3 | INTERPOL 参考 ID(蓝宝石冠冕 + 圣物胸针) | `2025/359.1,2025/359.5` | | 4 | Galerie d'Apollon 天花板画作 — 标题、库存、尺寸 | `APOLLON_VAINQUEUR-INV_3818-8mx7.5m` | | 5 | 河边入口正南方的桥梁 | `PONT_ROYAL` | ## 关键观察 - 机构网站的 Wayback Machine 存档快照是恢复特定时间操作数据(例如入口关闭通知)的可靠来源,这些数据可能已从实时网站上被删除或更新。 - 诸如卢浮宫 `collections.louvre.fr` 这样的公共博物馆藏品数据库公开了精确的出处记录——包括获取方式、年份和当前展示状态——这些记录无需身份验证即可搜索。 - INTERPOL 的被盗艺术品通知是公开可访问的,并包含结构化的参考 ID,可以与藏品记录进行交叉比对,从而构建出盗窃案的全貌。 - Google Earth 中的卫星和 3D 图像能够从地面场景重建物理访问和逃跑路线,并使用固定的建筑地标作为参考锚点。 - 交叉比对多个开源(网络存档、藏品数据库、执法通知、地理空间工具)比仅依赖单一来源更可靠。 ## 关于 完成了 TryHackMe 上的 **"The Case: Seven Minutes on the Seine"** 房间——这是一个以卢浮宫博物馆虚构的高调艺术品盗窃案为背景的多层次 OSINT 调查,涉及网络存档分析、博物馆藏品数据库研究、INTERPOL 被盗艺术品记录以及地理空间桥梁识别。 挑战来源:[tryhackme.com](https://tryhackme.com)
标签:AI_Mode, CTF_Writeup, ESC4, Google_Earth, Google_Search, OSINT, OSINT实战, TryHackMe, Wayback_Machine, 元数据提取, 卢浮宫, 国际刑警组织, 图像搜索, 在线调查, 地理定位, 安全实训, 实时处理, 情报收集, 数字取证, 漏洞研究, 网络安全, 网络靶场, 自动化脚本, 虚构抢劫案, 被盗艺术品, 赛纳河, 路线追踪, 进程保护, 隐私保护