HTB-OpTinselTrace_1-5
OpTinselTrace-1-5
OpTinselTrace-1
描述:浏览器取证、eM客户端调查和注册表转储凭据
夏洛克场景
一个名叫“精灵”的精灵最近表现得相当可疑。他一直在奇怪的时间工作,似乎绕过了圣诞老人的一些安全协议。圣诞老人的情报精灵网络告诉圣诞老人,格林奇对蛋酒有点太醉了,并提到了一个内部精灵!圣诞老人正忙于他的顽皮和善良的清单,所以他让你负责弄清楚这个。请审核 Elfin 的工作站和电子邮件通信。 请注意 - 这些夏洛克是按顺序和顺序完成的!
Task 1
题目:Elfin 使用的电子邮件客户端的名称是什么?
提到了Elfin用户,直接进入到Elfin用户下的Appdata里面
答案:eM Client
Task 2
题目:威胁使用的电子邮件是什么?
使用[eM Client Forensics Wizard](https://forensiksoft.com/emclient-forensics.html#:~:text=eM Client Forensics Wizard provides,%2C Hex View%2C Raw Message.)工具,在eM客户端中分析和提取电子邮件。发现Wendy Elflower这个人很可疑,他与Elfin的聊天很频繁
答案:definitelynotthegrinch@gmail.com
Task 3
题目:威胁行为者何时联系 Elfin?
在右上角的搜索栏,搜索task2里面得到的邮件地址,在最下面的邮件信息里面发现有最早的联系时间
答案:2023-11-27 17:27:26
Task 4
题目:精灵老板叫什么名字?
问Elfin的老板叫什么名字,在里面搜Elfin的名字在里面发现了一封会议邀请的电子邮件,这种一般是由老板向员工发送的,在Message Header里面发现发送者的名字
答案:elfuttin bigelf
Task 5
题目:Elfin 首次提到他访问圣诞老人特殊文件的电子邮件的标题是什么?
在里面搜索Santas发现里面提到了圣诞老人的特殊礼物
答案:Re: work
Task 6
题目:威胁行为者更改了他们的名字,新名称是什么 + Elfin 收到的第一封电子邮件的日期?
在这封邮件中有询问名字的记录
答案:wendy elflower, 2023-11-28 10:00:21
Task 7
题目:Elfin 提供与威胁演员会面的酒吧叫什么名字?
答案:SnowGlobe
Task 8
题目:Elfin 什么时候提出将秘密文件发送给演员?
在邮件中,在邮件标题处可以看到详细的时间
答案:2023-11-28 16:56:13
Task 9
题目:Elfin的第一个可疑谷歌搜索的搜索字符串是什么?(格式:字符串)
Google的历史记录
答案:how to get around work security
Task 10
题目:从中央情报局现场手册中撰写文章的作者叫什么名字?
在这里发现有一批篇关于文章的网站,应该是某人的博客访问一下试试
在这发现这篇文章的作者的名字
答案:Joost Minnaar
Task 11
题目:埃尔芬发给演员的圣诞老人秘密文件叫什么名字?
答案:santa_deliveries.zip
Task 12
题目:根据文件系统,Elfins 主机上秘密文件的确切 CreationTime 是多少?
用MFTExplorer打开MFT文件会找到答案
答案:2023-11-28 17:01:29
Task 13
题目:Elfin 存储文件的完整目录名称是什么?
参考task 11
答案:C:\users\Elfin\Appdata\Roaming\top-secret
Task 14
题目:Elfin 泄露文件后试图逃往哪个国家?
通过查找浏览器访问的记录发现正在查找前往希腊的方法
答案:Greece
Task 15
题目:用户(精灵)写出但未发送的道歉信的电子邮件地址是什么?
Task 16
题目:头精灵 PixelPeppermint 已要求提供 Elfins 的任何密码以协助调查。Elfin主机的Windows密码是什么?
获取hash
需要提前下载所需工具
1 | |
使用在线工具来破解
答案:Santaknowskungfu
OpTinselTrace-2
待更新
OpTinselTrace-3
待更新
OpTinselTrace-4
待更新
OpTinselTrace-5
待更新