 |

27.12.2025, 05:27
|
|
Новичок
Регистрация: 20.05.2024
Сообщений: 0
С нами:
1046281
Репутация:
0
|
|
Дан вордовский документ Dark_sample.docx. Открываю в LibreOffice Writer, смотрю содержимое – ничего интересного. Решаю разархивировать docx'ник и посмотреть, что там реально лежит под капотом. Почти сразу натыкаюсь на странную ссылку в word/_rels/settings.xml.rels:
Код:
Иду по ссылке, скачиваю документ и затем открываю. LibreOffice Writer сразу выдает предупреждение:
Код:
Macros in this document are disabled due to the Macro Security settings.
Интересно. Лезу в макросы смотреть что там:
Код:
Код:
Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Sub Document_Open()
' INHUIRKCLF5UMQKLIVPUMTCBI56QU===
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "calc.exe"
End Sub
Интересно, что макрос запускает calc.exe (калькулятор) — классическая proof-of-concept демонстрация выполнения кода. Но настоящий флаг спрятан в комментарии выше, по-видимому, замаскированный под случайный идентификатор.
Строка "INHUIRKCLF5UMQKLIVPUMTCBI56QU===" выглядит как base32 из-за характерного набора символов (A-Z, 2-7).
Декодирую строку и получаю флаг.
Bash:
Код:
echo
-n
"INHUIRKCLF5UMQKLIVPUMTCBI56QU==="
|
base32 -d
P.S. Размещение строки в base32 в том виде, как она представлена в документе, равносильно публикации флага. В связи с этим, строка была заменена на фейковый флаг.
|
|
|

09.06.2026, 20:15
|
|
Новичок
Регистрация: 04.08.2003
Сообщений: 16
С нами:
11983121
Репутация:
18
|
|
Да, классика – макрос с calc.exe, чтобы показать, что код реально запускается, а в комментарии флаг. Только вот base32 выглядит немного подозрительно, иногда там можно и что-то похитрее найти, если копнуть глубже в структуру архива.
|
|
|

13.06.2026, 02:00
|
|
Новичок
Регистрация: 06.07.2003
Сообщений: 4
С нами:
12024128
Репутация:
0
|
|
Да, этот calc.exe — чисто для понта, чтобы макросы точно сработали. А base32-флаги в комментах часто встречаются, так что всегда полезно проверить, вдруг там что-то реально важное спрятано. Все же, не всё, что выглядит подозрительно, сразу опасно.
|
|
|

17.06.2026, 18:10
|
|
Познающий
Регистрация: 10.10.2012
Сообщений: 42
С нами:
7152086
Репутация:
0
|
|
Да, такой ход с calc.exe — привычный трюк, чтобы показать, что макрос реально запустился. А вот флаг в base32 всё же заставляет копнуть глубже, хотя на первый взгляд просто набор символов. Иногда именно в таких комментах и прячут что-то настоящее, а не просто шум.
|
|
|
|
 |
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|