Добрый день, Хабр! В этой статье хочу вам рассказать про свой опыт прохождения лаборатории OSINT на сайте hackthebox. В данном обзоре я решил взять разобрать одно интересное задание по OSINT.

Задание простое, оно не заставит вас страдать при поиске решения. Требуется только иметь понимание, где искать информацию.

CHALLENGE DESCRIPTION
Customers of
secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?

Для поиска решения нам потребуется найти информацию, спрятанную в домене secure-startup.com

Используем любой удобный вам инструмент для получения информации о домене.Требуется искать информацию, которая относится к электронной почте. Ключевые слова и технологии, по которым мы будем искать, это: DKIM, SPF и DMARC. Для тех, кто не понимает, что это такое и где это искать, дам пояснение. Кто относится к опытным пользователям, может пропустить информацию ниже и перейти сразу к поиску флага.

Итак, к нам приходит письмо, например, на почтовый сервер от Google. Далее нам требуется понять, какую информацию нам можно изъять из электронного письма? Берем письмо и нажимаем «Показать оригинал»

Необходимо обратить внимание на нижние 3 строки в скриншоте ниже.
Необходимо обратить внимание на нижние 3 строки в скриншоте ниже.

Поиск флага в SPF, DKIM, DMARK.

По данным значениям будем разбирать домен. Для этого воспользуемся ресурсом mxtoolbox.com. Давайте посмотрим, какую информацию мы можем получить по домену secure-startup.com по SPF.

Не стану прикладывать весь лог, выдаваемый сервисом - нам требуется только часть флага.
Не стану прикладывать весь лог, выдаваемый сервисом - нам требуется только часть флага.

При разборе информации по DKIM мы получим точно такой же кусок флага. Далее мы продолжаем поиск флага, изучая информацию по DMARC.

Вторая часть флага
Вторая часть флага

Соединениям первую и вторую часть и получаем флаг.

Флаг

HTB{RIP_SPF_Always_2nd_F1ddl3_2_DMARC}

Вывод. Это была интересная задача для прокачки навыков детального разбора почтового спама и фишинга. Она позволяет понять, было ли скомпрометировано электронное письмо.

Данный навык может помочь в решении повседневных задач, например, связанных с ликвидностью доменов и электронной почты. В следующих статьях обязательно будут разборы других задач по OSINT.

Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная

Источники

Комментарии (3)


  1. kenoma
    07.01.2022 11:04
    +5

    Я лично ничего не понял из вашей статьи. Ну нашли мы флаг, и что?


  1. VladOrZ
    07.01.2022 15:20
    +3

    И это все??? ????


  1. Tatikoma
    07.01.2022 16:45

    Каким образом спамеры узнают e-mail адреса клиентов?