Halo, kembali lagi bersama saya di artikel kali ini saya akan membuat warmup dari hackthebox, dalam skenario lab ini ada seseorang mengirim email palsu dan seorang karyawan yang telah membuka email tidak berfikir panjang dan mengikuti perintah perintah dari email dan membuat hal yang tak diinginkan terjadi malware pun meracuni devicenya.
Tugas kita disini adalah untuk mengidentifikasi email dan beberapa soal-soal ctf dibawah ini. Sebelum melanjut pastikan anda telah mendownload file dari hackthebox dan melakukan eksrak file zip yang telah didwonload anda akan mendapatkan file .pdf dan .eml
Lakukan perintah ini.
unzip AoTR-1_A-Call-from-the-Museum.zip
Disitu anda akan diminta password, copy saja password dilab hackthebox yang bergambar gembok itu dan pastekan, setelah itu anda akan mendapat 2 file tersebut.
Lanjut ke tugas yang akan kita kerjakan dibawah ini.
Who is the suspicious sender of the email?
Tugas pertama ini, kita disuruh mencari siapa email pengirim yang mencurigakan. untuk menyelesaikan ini, anda tinggal membuka file ber ekstensi .eml dan lihatlah di baris line pertama
Return-Path: <eu-health@ca1e-corp.org>
What is the legitimate server that initially sent the email?
Lanjut ketugas berikutnya, disini kita disuruh untuk mencari server sah dari email pengirim, masih di file yang sama anda lihat di baris line ke 4
Received: from BG1P293CU004.outbound.protection.outlook.com
What is the attachment filename?
Tugas ketiga kita disuruh mencari nama file yang dilampirkan oleh pengirim, untuk menyelesaikan ini. anda membutuhkan tools munpack dan ketik command ini.
munpack 'URGENT_ Updated Health & Customs Compliance for Cross-Border Festive Event.eml'
Dan anda akan mendapatkan file zip baru, dan itulah jawabannya.
What is the Document Code?
Tugas ini kita dusuruh untuk mencari kode yang diberikan oleh pengirim yang diinputakn pada file document pdf.
Untuk menyelesaikan ini, anda unzip file tersebut, berikut command nya.
unzip Health_Clearance-December_Archive.zip
Setelah mengetikan command diatas anda akan mendapatkan 2 file file .pdf dan file berhaya berekstensi .lnk, buka saja file .pdf itu dan kode yang diminta tugas ada disitu.
What is the full URL of the C2 contacted through a POST request?
Tugas berikutnya kita disuruh mencari reqest url post c2, untuk menyelesaikannya. untuk menyelesaikannya anda membutuhkan tools strings, jika ada ketikan saja command ini.
strings -el EU_Health_Compliance_Portal.lnk | less
Anda akan melihat beberapa strings dari file tersebut, ada url anmun masih dalam format unicode. copy dan decode saja url tersebut.
The malicious script sent three pieces of information in the POST request. What is the registry key from which the last one is retrieved?
Tugas ini kita disuruh mencari tahu Skrip berbahaya mengirim tiga informasi dalam permintaan POST. Apa kunci registri dari mana yang terakhir diambil?.
Masih didalam tools strings jawabanya ada pada string bawah ini. dan anda tinggal membuang code :, ) dan digantingakn dengan tanda \
$Mw=
Then the script downloads and executes a second stage from another URL. What is the domain?
Tugas ini kita disuruh untuk mencari link download kedua setelah berhasil diekskusi, masih pada tools strings, dibawah string $Mw anda url domain, dan inijawabannya.
advent-of-the-relics-forum.htb.blue
A set of credentials was used to access the previous resource. Retrieve them.
Tugas terakhir, masih pada tools strings anda juga akan melihat string.
-join('Basic c3','ZjX3Rlb','XA6U2','5','vd0JsY','WNrT','3V','0X','zIwM','jYh'
String dikedekan ke Base64 direkonstruksi dari skrip hasilnya
Basic c3ZjX3RlbXA6U25vd0JsYWNrT3V0XzIwMjYh
Setelah menghapus awalan Basic, string Base64 didekode menggunakan https://www.base64decode.org
svc_temp:SnowBlackOut_2026!
Nah itulah beberapa warmupa yang saya buat dan menjadi sebuah catatan untuk saya dan juga semoga bermanfaat untuk banyak orang sebagai revernsi untuk menyelesaikan tugas Part 1 - A Call from the Museum hackthebox