DEV Community

Carlos
Carlos

Posted on • Edited on

Paper sospechoso - Forensics Writeup CTF - Pwnedcr2024

Descripción del reto

En este reto se nos proporciona un archivo con extensión docm. Personalmente, no conocía la extensión y lo primero que hice fue buscar en internet. Tras buscar me di cuenta que efectivamente mi hipótesis de un archivo con un código malicioso era cierta. Así que busqué en internet opciones para analizar un docm y me encontré una librería llamada python-oletools.

Analizando el archivo con Ole tools

Leyendo la documentación de dicha librería encontré el comando oleid, el cual me brindaba información básica del archiva y parte de esta información era el análisis de un posible macro malicioso. Así que tras correr el comando oleid Paper.docm

resultado tras correr comando oleid

Analizando el macro malicioso

Dentro de esta librería existe un comando llamado olvba, el cual nos despliega el código del macro.

Primer encabezado del código del macro

Justo en una parte del código encontramos la siguiente string, que parece está codificada. Normalmente, cuando veo esto suelo decodificar en base 64.

Segundo encabezado del código del macro

Decodificando cadena encontrada

En un sitio web decodifiqué la string y me di cuenta que dentro del resultado se encontraba el flag
Resultado decodificar string

Flag: PWNED{p4p3r_for_rev3ng3}

Top comments (0)