概述
emo是来自于HTB(hackthebox.com)的一个容易级数字鉴识挑战,完成该挑战所需要掌握的知识点在于Word文档中宏代码分析以及PowerShell代码分析。
题目分析
相关的任务文件包括一个zip包,解压后可以得到emo.doc文件, 其中包含一个恶意的宏代码。
解题过程
打开emo.doc文件可以看到如下信息。
在其宏代码中,可以看到当文件打开时触发的Document_open()方法调用Get4ipjzmjfvp.X8twf_cydt6。
以上代码经过混淆处理,无法直接理解,但是通过调试我们可以截获其中的系统调用命令。
其运行的是一个PowerShell进程,执行的命令使用base64编码。
使用base64解码后,我们可以得到PowerShell代码,但同样经过混淆处理。
对以上代码进行调试后,可以知道将$FN5ggmsH数组中的数字与0xdf进行异或后,可以获得包含flag的文本。
