Urgent
Catégorie: Forensics Difficulté: very-easy Flag: HTB{4n0th3r_d4y_4n0th3r_ph1shi1ng_4tt3mpT}
Challenge
Description
In the midst of Cybercity's "Fray," a phishing attack targets its factions, sparking chaos. As they decode the email, cyber sleuths race to trace its source, under a tight deadline. Their mission: unmask the attacker and restore order to the city. In the neon-lit streets, the battle for cyber justice unfolds, determining the factions' destiny.
Analyse du fichier
On récupère un fichier .eml, cet extension désigne un fichier qui contient un mail au format texte. Si l’on regarde ce qu’il y a à l’intérieur avec un éditeur de texte, on trouve effectivement les données d’un mail
Il s’agit d’un mail entre [[email protected]](mailto:[email protected]) et [email protected] mais plus intéressant, il contient un fichier nommé onlineform.html :
Le contenu de ce mail est encodé en base64, c’est le standard pour les mail, aussi bien pour leur contenu texte que les fichiers joints. Donc direction CyberChef.io pour le décoder :
On voit que celui-ci contient bien un document html et que du javascript est exécuté. Seulement tout le code est encodé avec ce qu’on appelle de l’encodage-pourcent, c’est ce qui est utilisé notamment dans les URL.
Décodons donc celui-ci également :
On voit que le javascript cherche à exécuter des commandes via la cmd et powershell. Le flag lui est directement dans le code
Dernière mise à jour
Cet article vous a-t-il été utile ?