Easy Phish
2 minutos de lectura
Tenemos esta descripción del reto:
Customers of secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?
Enumeración por DNS
Primero, podemos intentar enumerar secure-startup.com utilizando varios registros DNS (más información aquí) y dig.
El registro TXT muestra una parte de la flag:
$ dig secure-startup.com TXT
; <<>> DiG 9.10.6 <<>> secure-startup.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48771
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;secure-startup.com. IN TXT
;; ANSWER SECTION:
secure-startup.com. 1800 IN TXT "v=spf1 a mx ?all - HTB{RIP_SPF_Always_2nd"
;; Query time: 55 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Dec 21 12:15:00 CET 2022
;; MSG SIZE rcvd: 101
SPF y DMARC
Vemos que está relacionado con SPF (Sender Policy Framework). Después de leer información en Wikipedia, vemos que es un estándar de autorización de correo electrónico utilizado para evitar que spammers envíen mensajes que parecen provenir de un dominio falso. Hay otros protocolos relacionados con SPF, que son DKIM y DMARC.
Si inspeccionamos por DMARC con un registro TXT DNS, veremos la última parte de la flag:
$ dig _dmarc.secure-startup.com TXT
; <<>> DiG 9.10.6 <<>> _dmarc.secure-startup.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53309
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_dmarc.secure-startup.com. IN TXT
;; ANSWER SECTION:
_dmarc.secure-startup.com. 1232 IN TXT "v=DMARC1;p=none;_F1ddl3_2_DMARC}"
;; Query time: 60 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Dec 21 12:30:10 CET 2022
;; MSG SIZE rcvd: 99
Flag
Entonces, la flag es:
HTB{RIP_SPF_Always_2nd_F1ddl3_2_DMARC}