Сергей Сталь
01.01.2022, 18:26
https://forum.antichat.xyz/attachments/29092199/img_7201d66c3f.png
Добрый день, форумчане! В последнее время на форуме появляется много отличных статей. Среди них я выделил прохождение различных тачек на hackthebox. В данном обзоре я решил взять и разобрать одно интересное задание по OSINT. Задание простое, оно не заставит вас страдать при поиске решения. Нужно только иметь понимание, где искать информацию.
CHALLENGE DESCRIPTION
Customers of secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?
Для поиска решения нам потребуется найти информацию, спрятанную на домене secure-startup.com. Можно использовать любой удобный вам инструмент для получения информации о домене. Например, специальный сервис.
Потребуется найти информацию, которая относится к электронной почте. Ключевые слова и технологии, по которым мы будем искать, это: DKIM, SPF и DMARC. Для тех, кто не понимает, что это такое и где это искать, дам пояснение. Кто относится к опытным пользователям может пропустить информацию ниже и перейти сразу к поиску флага.
Итак, к нам приходит письмо, например, на почтовый сервер от Google. Далее нам требуется понять, какую информацию можно изъять из электронного письма? Берем письмо и нажимаем «Показать оригинал»
https://forum.antichat.xyz/attachments/29092199/img_bfe9a9a5c5.png
https://forum.antichat.xyz/attachments/29092199/img_e42df883c5.png
Необходимо обратить внимание на нижние 3 строки в скриншоте ниже.
С помощью специального сервиса будем разбирать данные значения. Давайте посмотрим, какую информацию мы можем получить по домену secure-startup.com, используя SPF.
https://forum.antichat.xyz/attachments/29092199/1641044955349.png
Не стану прикладывать весь лог, выдаваемый сервисом - нам требуется только часть флага. При разборе информации по DKIM мы получим такой же кусок флага.
Далее мы продолжаем поиск флага, изучая информацию по DMARC
https://forum.antichat.xyz/attachments/29092199/1641045055609.png
Соединяем первую и вторую часть для получения флага. Готово.
Вывод: это была интересная задача для прокачки навыков детального разбора почтового спама и фишинга. Она позволяет понять, было ли скомпрометировано электронное письмо.
Данный навык может помочь в решении повседневных задач, например, связанных с ликвидностью доменов и электронной почты. В следующих статьях обязательно будут разборы других задач по OSINT.
Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная
Добрый день, форумчане! В последнее время на форуме появляется много отличных статей. Среди них я выделил прохождение различных тачек на hackthebox. В данном обзоре я решил взять и разобрать одно интересное задание по OSINT. Задание простое, оно не заставит вас страдать при поиске решения. Нужно только иметь понимание, где искать информацию.
CHALLENGE DESCRIPTION
Customers of secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?
Для поиска решения нам потребуется найти информацию, спрятанную на домене secure-startup.com. Можно использовать любой удобный вам инструмент для получения информации о домене. Например, специальный сервис.
Потребуется найти информацию, которая относится к электронной почте. Ключевые слова и технологии, по которым мы будем искать, это: DKIM, SPF и DMARC. Для тех, кто не понимает, что это такое и где это искать, дам пояснение. Кто относится к опытным пользователям может пропустить информацию ниже и перейти сразу к поиску флага.
Итак, к нам приходит письмо, например, на почтовый сервер от Google. Далее нам требуется понять, какую информацию можно изъять из электронного письма? Берем письмо и нажимаем «Показать оригинал»
https://forum.antichat.xyz/attachments/29092199/img_bfe9a9a5c5.png
https://forum.antichat.xyz/attachments/29092199/img_e42df883c5.png
Необходимо обратить внимание на нижние 3 строки в скриншоте ниже.
С помощью специального сервиса будем разбирать данные значения. Давайте посмотрим, какую информацию мы можем получить по домену secure-startup.com, используя SPF.
https://forum.antichat.xyz/attachments/29092199/1641044955349.png
Не стану прикладывать весь лог, выдаваемый сервисом - нам требуется только часть флага. При разборе информации по DKIM мы получим такой же кусок флага.
Далее мы продолжаем поиск флага, изучая информацию по DMARC
https://forum.antichat.xyz/attachments/29092199/1641045055609.png
Соединяем первую и вторую часть для получения флага. Готово.
Вывод: это была интересная задача для прокачки навыков детального разбора почтового спама и фишинга. Она позволяет понять, было ли скомпрометировано электронное письмо.
Данный навык может помочь в решении повседневных задач, например, связанных с ликвидностью доменов и электронной почты. В следующих статьях обязательно будут разборы других задач по OSINT.
Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная