网络安全实战 - HTB oBfsC4t10n

五张
723 阅读1分钟

概述

oBfsC4t10n是来自于HTB(hackthebox.com)的一个中级数字鉴识挑战,完成该挑战所需要掌握的知识点在于Windows下的代码分析。

题目分析

该挑战提供了一个invoice-42369643.html文件,其中包含了一个使用data属性的href链接。

解题过程

分析invoice-42369643.html源代码可以得data中的数据是一个base64编码的xlsm文件。

forensics_009_HTB_oBfsC4t10n_1.png

将base64解码后的数据保存为xlsm文件,并用MS Excel打开,可以发现其中的宏代码生成并运行一个LwTHLrGh.hta程序。

forensics_009_HTB_oBfsC4t10n_2.png

分析LwTHLrGh.hta源代码,可以发现在进程中创建并运行一个Excel的宏代码。

forensics_009_HTB_oBfsC4t10n_3.png

截取该代码的内容,可以发现其功能在于运行myArray数组变量中的二进制指令。

forensics_009_HTB_oBfsC4t10n_4.png

使用Python, 将myArray数组中的数字写入本地文件shell.bin

forensics_009_HTB_oBfsC4t10n_5.png

scdbg中运行shell.bin,从其输出中就可以得到flag.

forensics_009_HTB_oBfsC4t10n_6.png

avatar
文章
阅读
粉丝