본문 바로가기
Forensics/Wargame

[N0Named wargame] [A] 수상한 메일

by sseddi 2020. 11. 17.
728x90

문제는 위와 같다.

 

문제 파일을 열어보자

 

zip 파일에 파일들이 있다.

메일내용.txt 파일과 제출용.hwp가 보인다.

 

메일내용 텍스트 파일에는 제출용.hwp를 열어 정보 기입 후 파일을 회신해달라고 써있어서 한글 파일을 열어보았다.

 

스크립트 코드가 포함되어 있다는 알림 창이 뜨는데, 매크로 스크립트가 삽입된 한글 문서를 열 때 뜨는 알림 창이다.

 

취소를 누르고 스크립트를 살펴보자

 

한글 2018 기준으로 도구 - 스크립트 매크로 - 매크로 실행 - 코드 편집으로 스크립트를 살펴볼 수 있다.

이후 항목을 Document로 바꿔서 보면 파워 쉘을 이용한 악성 스크립트를 실행하게 되어 있는 것을 볼 수 있다.

(오른쪽 캡쳐화면 try 부분)

 

Base 64로 인코딩 해본 결과

 

flag를 찾기 위한 남은 과정이 있는 것 같다. 하이라이트 한 부분 링크를 따라가보면

이렇게 trojan.txt파일을 볼 수 있다.

 

이 파일이 텍스트 파일인데, 내용이 엄청 길어서 무엇인지 많은 고민을 했는데,

구글링을 통해 다양한 디코딩 사이트를 찾아 해봐도 flag를 얻을 수 없었다..

(base64, hex, URL, 해시, ASCII로 바꾸는 것들, text로 바꾸는 것들 등등)

 

그러다가

아무래도 아까도 base64 디코딩을 했으니

이번에도 base64 디코딩을 해본 결과로 어떻게 해보자 해서

 

base64 디코딩을 해서 나온 결과를 HxD에 넣어보았다,,@

 

그랬더니 헤더 시그니처가 PNG가 딱 있어서 확장자를 png로 바꾸었더니

 

flag를 얻을 수 있었다,,ㅎㅎ

 

참고)

isarc.tachyonlab.com/1976

728x90

댓글