DEV Community

Carlos
Carlos

Posted on • Edited on

Paper sospechoso - Forensics Writeup CTF - Pwnedcr2024

Descripción del reto

En este reto se nos proporciona un archivo con extensión docm. Personalmente, no conocía la extensión y lo primero que hice fue buscar en internet. Tras buscar me di cuenta que efectivamente mi hipótesis de un archivo con un código malicioso era cierta. Así que busqué en internet opciones para analizar un docm y me encontré una librería llamada python-oletools.

Analizando el archivo con Ole tools

Leyendo la documentación de dicha librería encontré el comando oleid, el cual me brindaba información básica del archiva y parte de esta información era el análisis de un posible macro malicioso. Así que tras correr el comando oleid Paper.docm

resultado tras correr comando oleid

Analizando el macro malicioso

Dentro de esta librería existe un comando llamado olvba, el cual nos despliega el código del macro.

Primer encabezado del código del macro

Justo en una parte del código encontramos la siguiente string, que parece está codificada. Normalmente, cuando veo esto suelo decodificar en base 64.

Segundo encabezado del código del macro

Decodificando cadena encontrada

En un sitio web decodifiqué la string y me di cuenta que dentro del resultado se encontraba el flag
Resultado decodificar string

Flag: PWNED{p4p3r_for_rev3ng3}

AWS Security LIVE!

Join us for AWS Security LIVE!

Discover the future of cloud security. Tune in live for trends, tips, and solutions from AWS and AWS Partners.

Learn More

Top comments (0)

AWS Security LIVE!

Tune in for AWS Security LIVE!

Join AWS Security LIVE! for expert insights and actionable tips to protect your organization and keep security teams prepared.

Learn More

👋 Kindness is contagious

Immerse yourself in a wealth of knowledge with this piece, supported by the inclusive DEV Community—every developer, no matter where they are in their journey, is invited to contribute to our collective wisdom.

A simple “thank you” goes a long way—express your gratitude below in the comments!

Gathering insights enriches our journey on DEV and fortifies our community ties. Did you find this article valuable? Taking a moment to thank the author can have a significant impact.

Okay