ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   Разбор задания "Шутка на презентации" с площадки Игры Кодебай (https://forum.antichat.xyz/showthread.php?t=1643238)

Raini666 29.03.2024 23:40
https://forum.antichat.xyz/attachmen...7c11fe8053.png

Привет любителям шуток и задач на Antichat!
Разберем довольно простенькую задачку из радела форенизика. (Рассмотрим несколько вариантов решения)

Получил на почту какую-то презентацию от незнакомца. Скачал, но открыть забыл. Только потом понял, что кажется вирусняк подхватил
__________________________________________________ __________________________________________________ _____
Для начала получим нашу смешную презентацию.

https://forum.antichat.xyz/attachmen...1738163459.png

Вариант 1 - Базовый string or cat
Так как нам сказали про вирусняк, то логично будет посмотреть, что там внутри презентации, для этого сделаем из нее архив

https://forum.antichat.xyz/attachmen...1738290686.png

В самом архиве увидим кучу файлов, которые связанны с изображениями в презентации и самими слайдами, но среди всего этого обилия мы найдем один очень интересный файл (и да в картинках нет стеги, вроде как....)

https://forum.antichat.xyz/attachmen...1738592715.png

Понимаем, что перед нами макрос и далее будем работать с ним. Достанем его из архива (можно и все файлы достать, но это лишнее)

Теперь посмотрим на него поближе и попробуем просто использовать cat:
Наблюдаем много шума, но можем выделить некоторые названия и их значения:ActiveDocument.Variables.Add ,Const.
Поочередно пропустим их через базу64
И в итогу натыкаемся на интересный ответ.

https://forum.antichat.xyz/attachmen...1739768785.png

Останется чучуть додумать и можно радоваться флагу.

Вариант 2
В этот раз не будем потрошить нашу презентацию.
Просто откроем ее.

https://forum.antichat.xyz/attachmen...1740124216.png

Делаем перерыв на AAHAHAHAH и идем решать. Нам надо найти зловред, для этого ныряем на вкладку "макросы"

https://forum.antichat.xyz/attachmen...1740242415.png

Открываем нужный, переменная с 64 сразу попадается на глаза, хватаем ее и декодируем, чешем голову... Немного думаем и получаем флаг
Вариант 3 Для истинных любителей покопаться.
Загялнули в хинт на сайте:
  • Начни деобфусцировать зловред!
Проделываем все пункты как в первом варианте до команды cat.
И приходим к решению, что мы ходим посмотреть детально на данный макрос, и в этом нам поможет тулза

https://forum.antichat.xyz/attachmen...1740837813.png

На самом деле флаг --decode может немного запутать, но я думаю вы сможете найти нужную строчку и добыть из нее ответ.

На этом все, как говориться "СПАСИБО ЗА ВНИМАНИЕ!"
P.s Мой первый райтап не судите строго

https://forum.antichat.xyz/attachmen...1740088021.png


Время: 18:52