Dossier · TLP:RED · Alleen voor Max

Het Gestolen
Hart

Ergens in de afgelopen drie maanden is er een misdaad gepleegd. Het slachtoffer? Sannes hart. De dader is nog op vrije voeten. Jouw taak, detective: los de zaak op. Wie deed het? Met wat? En waar?

Verdachten

✈️

Max

Piloot van beroep, croissantexpert en red teamer in wording. Gevaarlijk charmant.

Linkshandig · Drinkt louter pour-overs tegenwoordig

🔍

Sanne

Lost gekke puzzels op als beroep. Verdacht onschuldig voor iemand die beroepsmatig digitale valstrikken zet.

Rechtshandig · Met babylights

💘

Cupido

Onbekende entiteit die met 6 pijlen tegelijkertijd schiet blijkbaar. Alias: Breeze. Laatste bekende locatie: onbekend.

Identiteit: onbekend · Alias: Breeze

🐸

De Kikker

Cyclinginstructeur. Draait muziek met een verontrustend hoog BPM (of Linkin Park). Verantwoordelijk voor de stijve benen van velen.

BPM: 140+ · Verdacht energiek

🎵

Yves Berendse

Zanger. Kent één zin die alles samenvat. Maar als ik 3 maanden terug zou mogen gaan, dan ook alleen met jou.

Bekend van: "Zin in jou" · Blijft in je hoofd hangen

Wapens

💋

Licht

Eerste zoen

Het klassieke wapen. Onomkeerbaar. Forensisch bewijs aanwezig op een onbekende locatie.

📱

Digitaal

Breeze-algoritme

Een mysterieuze kracht die twee mensen bij elkaar brengt. Op basis van welke criteria precies? Onbekend.

🥐

Licht

Een croissant

Op zoek naar de beste van Nederland. Wie de perfecte croissant vindt, wint een hart. Of een ereplaats op de tierlist.

🎶

Zwaar

Murder on the Dancefloor

Sophie Ellis-Bextor wist wat ze deed. Dit nummer heeft al meer slachtoffers gemaakt dan de politie lief is.

🛫

Zwaar (nouja.. embraajers..)

Een vliegtuig

In de verkeerde handen een krachtig instrument om indruk te maken op mensen die je net hebt ontmoet.

Locaties

🍹

Binnen

Chaya

Een bar gekozen door een algoritme. Sfeer: nihil. Diner: te awkward om aan te geven dat je nog niet hebt gegeten. De date: aanzienlijk beter dan de locatie.

🚂

Buiten

Spoor 11

Een perron in Den Haag Centraal. Onschuldig op het eerste gezicht, maar tegenwoordig een zeer goede plek.

🎹

Binnen

Crazy Pianos

Een avond die begon met live muziek en eindigde met iets anders. Precies wat de naam belooft.

🖼️

Binnen

Mauritshuis

Kunst. Cultuur. Is dat nou de Andre Hazes tribute band? Wellicht weet security het.

🚴

Binnen

De Cyclingstudio

Hoog BPM. Weinig zuurstof. Veel endorfine. De Kikker weet exact wat hij doet.

📂 Dossier — Aanwijzingen & Bewijsmateriaal

• Los de vijf CTF-challenges hieronder op om de overige aanwijzingen te ontgrendelen.
• 🔓 [C1] Sanne dronk spa rood bij Chaya.
• 🔓 [C2] Cupido werd gesignaleerd in het Mauritshuis.
• 🔓 [C3] De Kikker draaide Murder on the Dancefloor in de cyclingstudio.
• 🔓 [C4] Yves Berendse arriveerde per vliegtuig bij Crazy Pianos.
• 🔓 [C5] Het hart werd gestolen op een perron.

CTF Challenges

Elke flag heeft het formaat HART{...}. Vul de correcte flag in om een aanwijzing te ontgrendelen.

De Logbestanden van Chaya

Linux Basics

Een anonieme tipgever heeft je toegang gegeven tot de serverlogboeken van Chaya. Gebruik cat, grep en find om te zoeken. Er is iets verborgen in de logs — maar er staan heel veel regels in. Je wilt alleen de regels zien die HART bevatten…

detective@chaya-server:~$ — beperkte shell-toegang

Verbonden met chaya-server.local Welkom, detective. Beperkte shell-toegang verleend. Beschikbare bestanden in huidige map: chaya.log (47.3 KB) menu.txt README.txt Tip: probeer 'help' als je niet weet hoe te beginnen.

detective@chaya:~$

🔓 Aanwijzing ontgrendeld: Sanne dronk spa rood bij Chaya.

Cupido's Versleuteld Bericht

Cryptografie

Een onderschept bericht van Cupido. Het is versleuteld met ROT13: een klassieke cipher waarbij elke letter 13 posities opschuift in het alfabet. A↔N, B↔O, C↔P… De operatie is symmetrisch — toepassen = decoderen.

Klik op 'Decodeer' of doe het handmatig.

UNEG{phcvqb_fjvcrq_evtug_va_urg_znhevgfuhvf}

🔓 Aanwijzing ontgrendeld: Cupido werd gesignaleerd in het Mauritshuis.

Verborgen Mappen

Directory Enumeration

Tools als Gobuster en DirBuster scannen websites op verborgen mappen die niet gelinkt zijn maar wel bestaan. Webservers publiceren vaak een robots.txt die hints geeft over wat er verborgen is.

Bekijk de robots.txt van deze site hieronder en scan de paden die je verdacht vindt.

robots.txt:
User-agent: *
Disallow: /admin
Disallow: /login
Disallow: /cyclingstudio
Disallow: /geheim

// Wachtend op input…

🔓 Aanwijzing ontgrendeld: De Kikker draaide Murder on the Dancefloor in de cyclingstudio.

Wat Verbergt de Foto?

Steganografie

Van een getuige bij Crazy Pianos ontvingen we een foto. Het Linux-commando strings toont alle leesbare tekst in een binair bestand — inclusief verborgen berichten die niet zichtbaar zijn voor het blote oog.

Bekijk de output hieronder aandachtig. Zoek naar iets wat eruitspreekt.

$ strings foto_crazy_pianos.jpg

JFIF Exif Canon EOS R5 2025:01:12 23:04:17 xF?mj@Ax Crazy_Pianos_IMG_4421 ^?;kQ3&!vWmn .JW!rvAA2@ @#$%!xQ9z nacht_denhaag_event z9q!8&rr .WQ@1j! kAp3r9Ls &?nM2!Xy XxXeOp3 HART{yves_vloog_naar_crazy_pianos} ..jp2 GWRq4f vj1!&Px #!@zA3

🔓 Aanwijzing ontgrendeld: Yves Berendse arriveerde per vliegtuig bij Crazy Pianos.

Wat Verbergt de Pagina Zelf?

Web Recon

Ontwikkelaars laten soms dingen achter die ze liever verborgen houden. HTML-commentaar is onzichtbaar op de pagina — maar wel leesbaar in de broncode.

Bekijk de broncode van deze pagina:
Windows/Linux: Ctrl + U
Mac: ⌘ + Option + U
Of rechtermuisknop → Paginabron bekijken.

Zoek naar een HTML-commentaar dat met <!-- begint en een HART-flag bevat. Hij staat ergens bovenaan de pagina.

🔓 Aanwijzing ontgrendeld: Het hart werd gestolen op een perron.

Let's go semantisch tableau

Klik op een vakje: leeg → ✓ → ✗ → leeg. Elke verdachte heeft precies één wapen en één locatie.

⚖ Spreek Je Aanklacht Uit

Wie?

Met wat?

Waar?

Het GestolenHart

Verdachten

Wapens

Locaties

📂 Dossier — Aanwijzingen & Bewijsmateriaal

CTF Challenges

Let's go semantisch tableau

⚖ Spreek Je Aanklacht Uit

Het Gestolen
Hart