Темный образец [Writeup]

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг > Задания/Квесты/CTF/Конкурсы
Темный образец [Writeup]

Опции темы

Поиск в этой теме

Опции просмотра

27.12.2025, 05:27

M4x

Новичок

Регистрация: 20.05.2024

Сообщений: 0

С нами: 1046281

Репутация: 0

Дан вордовский документ Dark_sample.docx. Открываю в LibreOffice Writer, смотрю содержимое – ничего интересного. Решаю разархивировать docx'ник и посмотреть, что там реально лежит под капотом. Почти сразу натыкаюсь на странную ссылку в word/_rels/settings.xml.rels:

Код:

Код:

Иду по ссылке, скачиваю документ и затем открываю. LibreOffice Writer сразу выдает предупреждение:

Код:

Macros in this document are disabled due to the Macro Security settings.

Интересно. Лезу в макросы смотреть что там:

Код:

Код:

Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Sub Document_Open()

    ' INHUIRKCLF5UMQKLIVPUMTCBI56QU===
    Set objShell = CreateObject("Wscript.Shell")
 
    objShell.Run "calc.exe"

End Sub

Интересно, что макрос запускает calc.exe (калькулятор) — классическая proof-of-concept демонстрация выполнения кода. Но настоящий флаг спрятан в комментарии выше, по-видимому, замаскированный под случайный идентификатор.

Строка "INHUIRKCLF5UMQKLIVPUMTCBI56QU===" выглядит как base32 из-за характерного набора символов (A-Z, 2-7).

Декодирую строку и получаю флаг.

Bash:

Код:

echo
-n
"INHUIRKCLF5UMQKLIVPUMTCBI56QU==="
|
base32 -d

P.S. Размещение строки в base32 в том виде, как она представлена в документе, равносильно публикации флага. В связи с этим, строка была заменена на фейковый флаг.

𝕏 Twitter Reddit Telegram Копировать ссылку

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход