Julebal i Exfilland

Nissernes produktionsafdeling er blevet ramt af et phishingangreb fra de grimme gnomer. Find ud af, hvad de har fået eksfiltreret og hvordan!

En fed opgave med mange lag.

Step 1: Excel Macro

Excel filen indeholder en VBA macro som extractes og reverses (se step1.py)

Step 2: Obfuskeret Powershell

Følgende powershell deobfuskeres (protip: brug pwsh til løbende at udpakke "{0}{1}" -f "var1" "var2")

${u`R9}=[TYPE]("system.CoNVERT") ;
${7`53}=[TYPE]("IO.CoMpression.cOMPresSioNMoDe");

(.("NeW-oBjECt") ("IO.StreaMrEADEr")( ( .("NeW-oBjECt") ("sYstEM.io.cOmprEsSIoN.deflaTesTrEAM")( [SYSTem.Io.meMorySTReAM]  (&("variaBlE") ("uR9") -valUEoNLY  )::("FrOMBaSe64stRiNg")."inVoke"("...")

En stor blok base64 encoded og deflated tekst blob findes i ...

Step 3: Kryptering

Ved hjælp af CyberChef kommer det sidste lag frem.

Som før deobfuskeres powershell koden og vi finder en funktion gET-KEy (returnere Jul3b4lI3xf1ll4nd!) samt en funktion til at kryptere (eNcRYpt) og eksfiltrerer flaget.

Flag

Krypteringsmetoden er RC4 og endnu engang kan CyberChef hjælpe med at decrypte for os.

Flag: NC3{j3g_tr0r_4t_j3g_dr@mm3r_n3j_d3t_3r_r1gt1gt_n0k!}

ctf-writeups

CTF scripts and writeups (mostly challenge + .py solving script)

Julebal i Exfilland

Step 1: Excel Macro

Step 2: Obfuskeret Powershell

Step 3: Kryptering

Flag