Hi, my name is Vitalii Rudnykh 👋

Jun 19, 2022

📝 TryHackMe. Walkthrough: Mr. Phisher


Нам нужно изучить файл с расширением .docm который был получен в фишинговом письме. Файл содержит макросы, которые могут быть опасны при открытии файла.

Эту задачу нам предлагается решать в Ubuntu с оболочкой MATE. Для меня это не очень удобно, поэтому первое что я сделал, это скачал файл к себе на локальную машину, для этого перейдя в терминале в директорию /home/ubuntu/mrphisher/ необходимо выполнить:

$ python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

После этого, с локальной машины вы можете открыть http://machine_ip:8000/ и скачать файл MrPhisher.docm.

Для анализа файла я использовал oletools.

$ olevba MrPhisher.docm
...
VBA MACRO NewMacros.bas
in file: word/vbaProject.bin - OLE stream: 'VBA/NewMacros'
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Sub Format()
Dim a()
Dim b As String
a = Array(102, 109, 99, 100, 127, 100, 53, 62, 105, 57, 61, 106, 62, 62, 55, 110, 113, 114, 118, 39, 36, 118, 47, 35
, 32, 125, 34, 46, 46, 124, 43, 124, 25, 71, 26, 71, 21, 88)
For i = 0 To UBound(a)
b = b & Chr(a(i) Xor i)
Next
End Sub

Извлекаем из файла код на Visual Basic и пробуем переписать его на Python.

a = [102, 109, 99, 100, 127, 100, 53, 62, 105, 57, 61, 106, 62, 62, 55, 110, 113, 114, 118, 39, 36, 118,
47, 35, 32, 125, 34, 46, 46, 124, 43, 124, 25, 71, 26, 71, 21, 88]

for i in enumerate(a):
  print(chr(i[1] ^ i[0]), end='')

Выполняем скрипт и получаем флаг.

pic 1

Ответ: f**g{*******a239aacd40c948d852a5c*****}