Urgent
Dernière mise à jour
Cet article vous a-t-il été utile ?
Dernière mise à jour
Cet article vous a-t-il été utile ?
Catégorie: Forensics Difficulté: very-easy Flag: HTB{4n0th3r_d4y_4n0th3r_ph1shi1ng_4tt3mpT}
In the midst of Cybercity's "Fray," a phishing attack targets its factions, sparking chaos. As they decode the email, cyber sleuths race to trace its source, under a tight deadline. Their mission: unmask the attacker and restore order to the city. In the neon-lit streets, the battle for cyber justice unfolds, determining the factions' destiny.
On récupère un fichier .eml, cet extension désigne un fichier qui contient un mail au format texte. Si l’on regarde ce qu’il y a à l’intérieur avec un éditeur de texte, on trouve effectivement les données d’un mail
Il s’agit d’un mail entre [anonmember1337@protonmail.com](mailto:anonmember1337@protonmail.com) et factiongroups@gmail.com mais plus intéressant, il contient un fichier nommé onlineform.html :
On voit que celui-ci contient bien un document html et que du javascript est exécuté. Seulement tout le code est encodé avec ce qu’on appelle de l’encodage-pourcent, c’est ce qui est utilisé notamment dans les URL.
Décodons donc celui-ci également :
On voit que le javascript cherche à exécuter des commandes via la cmd et powershell. Le flag lui est directement dans le code
Le contenu de ce mail est encodé en base64, c’est le standard pour les mail, aussi bien pour leur contenu texte que les fichiers joints. Donc direction pour le décoder :
