文章总结： 本文详述了AdventofTheRelics挑战首题的解题过程，重点是对钓鱼邮件的取证分析。作者通过检查邮件元数据定位发件人，解析恶意LNK附件提取攻击指令，进而还原C2通信URL、获取注册表窃取键值及第二阶段下载域名，完整揭示了攻击链并找到访问凭证。 综合评分： 85 文章分类： CTF,恶意软件,逆向分析,社会工程学

Advent of The Relics 1 – A Call from the Museum

原创

漫路修行

微痕鉴远

2025年12月28日 13:14 广东

在十一月中旬一个宁静的夜晚，一位疲惫的 CALE 员工打开了一封意外的邮件，几乎没有多想，便按照邮件中的指示作。片刻后，感觉异常，恐慌涌上心头，他猛地拔下墙上的电源线，阻止了这一切的开始。一个月后，同一封邮件再次出现，成为网络调查的关键起点，揭示了真相的首批线索。

本次挑战中所描绘的情景完全虚构，仅供教育和娱乐目的创作。与真实人物（无论生者或已故）、组织或真实事件的任何相似之处纯属巧合和无意。所有角色、场景和数据均源自想象。

Who is the suspicious sender of the email?

What is the legitimate server that initially sent the email?

What is the attachment filename?

What is the Document Code?

附近解压出来是两个东西

上面这个快捷方式不太对劲：

我们来看看完整的Target是什么：

$lnkPath = ".\EU_Health_Compliance_Portal.lnk"$shell = New-Object -ComObject WScript.Shell$shortcut = $shell.CreateShortcut($lnkPath)$shortcut | Select-Object TargetPath, Arguments, WorkingDirectory, IconLocation, Description

这里问Document Code，回去看看邮件正文：

pdf里面找到这个document code

What is the full URL of the C2 contacted through a POST request?

The malicious script sent three pieces of information in the POST request. What is the registry key from which the last one is retrieved?

HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid

Then the script downloads and executes a second stage from another URL. What is the domain?

A set of credentials was used to access the previous resource. Retrieve them.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微痕鉴远 漫路修行《Advent of The Relics 1 – A Call from the Museum》