Добрый день, Хабр! В этой статье хочу вам рассказать про свой опыт прохождения лаборатории OSINT на сайте hackthebox. В данном обзоре я решил взять разобрать одно интересное задание по OSINT.
Задание простое, оно не заставит вас страдать при поиске решения. Требуется только иметь понимание, где искать информацию.
CHALLENGE DESCRIPTION
Customers of secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?
Для поиска решения нам потребуется найти информацию, спрятанную в домене secure-startup.com
Используем любой удобный вам инструмент для получения информации о домене.Требуется искать информацию, которая относится к электронной почте. Ключевые слова и технологии, по которым мы будем искать, это: DKIM, SPF и DMARC. Для тех, кто не понимает, что это такое и где это искать, дам пояснение. Кто относится к опытным пользователям, может пропустить информацию ниже и перейти сразу к поиску флага.
Итак, к нам приходит письмо, например, на почтовый сервер от Google. Далее нам требуется понять, какую информацию нам можно изъять из электронного письма? Берем письмо и нажимаем «Показать оригинал»
Поиск флага в SPF, DKIM, DMARK.
По данным значениям будем разбирать домен. Для этого воспользуемся ресурсом mxtoolbox.com. Давайте посмотрим, какую информацию мы можем получить по домену secure-startup.com по SPF.
При разборе информации по DKIM мы получим точно такой же кусок флага. Далее мы продолжаем поиск флага, изучая информацию по DMARC.
Соединениям первую и вторую часть и получаем флаг.
Флаг
HTB{RIP_SPF_Always_2nd_F1ddl3_2_DMARC}
Вывод. Это была интересная задача для прокачки навыков детального разбора почтового спама и фишинга. Она позволяет понять, было ли скомпрометировано электронное письмо.
Данный навык может помочь в решении повседневных задач, например, связанных с ликвидностью доменов и электронной почты. В следующих статьях обязательно будут разборы других задач по OSINT.
Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная
Источники
Данная статья написана мной и продублированна на codeby.net в целях популерезации информационной безопастности.
kenoma
Я лично ничего не понял из вашей статьи. Ну нашли мы флаг, и что?