Forensic - Pixel Perfect
📜Scenario
Monsieur Laboulette a vraiment pris la confiance depuis sa prise de pouvoir à la tête de l'EPUUBS.
Il se permet même de tracker ses anciens concurrents !
Retrouver l'url du tracker et la tactique MITRE associé.
Flag format : NBCTF{T0010:https://google.com}
🔎Solve
Script to extract IOC
import email
from email import policy
from email.parser import BytesParser
def extract_body_from_eml(eml_file_path):
with open(eml_file_path, 'rb') as eml_file:
# Parse the .eml file
msg = BytesParser(policy=policy.default).parse(eml_file)
# Extract the body
if msg.is_multipart():
# If the message is multipart, iterate over the parts and find the text/html part
for part in msg.iter_parts():
if part.get_content_type() == 'text/html':
# Use a default encoding (e.g., 'utf-8') if get_content_charset() returns None
charset = part.get_content_charset() or 'utf-8'
return part.get_payload(decode=True).decode(charset, 'ignore')
else:
# If the message is not multipart, return the plain text body
# Use a default encoding (e.g., 'utf-8') if get_content_charset() returns None
charset = msg.get_content_charset() or 'utf-8'
return msg.get_payload(decode=True).decode(charset, 'ignore')
# Example usage
eml_file_path = 'Forensic/Pixel Perfect/ressources/La prise de l EPUUBS.msg'
body = extract_body_from_eml(eml_file_path)
print(body)
Resultat :
Qy:n e;"A!@QdKfU
{HYPERLINK OoPz`UL A?CEHFoGHg5K!/KT@K27^AI}` ``Qu il est difficile d tre le directeur de l'EPUUBS.
Je me balade dans l'cole et je bois mon caf.
Et la je croise un lve, y mdit : Eh o vous z'avez trouvez votre caf ?
Rien foutre, Moi J chuis l directeur et j t'emmeeeerde
Oups !
Laboulette
<https://imgur.com/a/qBwfK9k>
On voit un url qui renvoie vers un pixel host sur un hébergeur en ligne.
Cette technique utiliser par les commerciaux et les spammer pour tracker l’ouverture des emails.
