문제는 위와 같다.
문제 파일을 열어보자
zip 파일에 파일들이 있다.
메일내용.txt 파일과 제출용.hwp가 보인다.
메일내용 텍스트 파일에는 제출용.hwp를 열어 정보 기입 후 파일을 회신해달라고 써있어서 한글 파일을 열어보았다.
스크립트 코드가 포함되어 있다는 알림 창이 뜨는데, 매크로 스크립트가 삽입된 한글 문서를 열 때 뜨는 알림 창이다.
취소를 누르고 스크립트를 살펴보자
한글 2018 기준으로 도구 - 스크립트 매크로 - 매크로 실행 - 코드 편집으로 스크립트를 살펴볼 수 있다.
이후 항목을 Document로 바꿔서 보면 파워 쉘을 이용한 악성 스크립트를 실행하게 되어 있는 것을 볼 수 있다.
(오른쪽 캡쳐화면 try 부분)
Base 64로 인코딩 해본 결과
flag를 찾기 위한 남은 과정이 있는 것 같다. 하이라이트 한 부분 링크를 따라가보면
이렇게 trojan.txt파일을 볼 수 있다.
이 파일이 텍스트 파일인데, 내용이 엄청 길어서 무엇인지 많은 고민을 했는데,
구글링을 통해 다양한 디코딩 사이트를 찾아 해봐도 flag를 얻을 수 없었다..
(base64, hex, URL, 해시, ASCII로 바꾸는 것들, text로 바꾸는 것들 등등)
그러다가
아무래도 아까도 base64 디코딩을 했으니
이번에도 base64 디코딩을 해본 결과로 어떻게 해보자 해서
base64 디코딩을 해서 나온 결과를 HxD에 넣어보았다,,@
그랬더니 헤더 시그니처가 PNG가 딱 있어서 확장자를 png로 바꾸었더니
flag를 얻을 수 있었다,,ㅎㅎ
참고)
'Forensics > Wargame' 카테고리의 다른 글
[N0Named wargame] [B] 유출된 자료 거래 사건[3] (0) | 2020.11.17 |
---|---|
[N0Named wargame] infect (0) | 2020.11.17 |
[N0Named wargame] [C] Left Side B (0) | 2020.10.29 |
[N0Named wargame] [A] 길에서 주어온 만두 (0) | 2020.10.29 |
[N0Named wargame] MagicIMAGE (0) | 2020.10.09 |
댓글