En este reto se nos proporciona un archivo con extensión docm. Personalmente, no conocía la extensión y lo primero que hice fue buscar en internet. Tras buscar me di cuenta que efectivamente mi hipótesis de un archivo con un código malicioso era cierta. Así que busqué en internet opciones para analizar un docm y me encontré una librería llamada python-oletools.
Analizando el archivo con Ole tools
Leyendo la documentación de dicha librería encontré el comando oleid, el cual me brindaba información básica del archiva y parte de esta información era el análisis de un posible macro malicioso. Así que tras correr el comando oleid Paper.docm
Analizando el macro malicioso
Dentro de esta librería existe un comando llamado olvba, el cual nos despliega el código del macro.
Justo en una parte del código encontramos la siguiente string, que parece está codificada. Normalmente, cuando veo esto suelo decodificar en base 64.
Decodificando cadena encontrada
En un sitio web decodifiqué la string y me di cuenta que dentro del resultado se encontraba el flag
Flag: PWNED{p4p3r_for_rev3ng3}
Top comments (0)