Continuamos con la cuarta entrega de los retos CTF propuesto por el Comando Conjunto Cibernético, si no has visto la tercera entrega haga clic aquí.
Parte 4
RETO # 17 - Un problema muy majo
Descripción del Reto: Hemos interceptado un documeto .docm y según dicen nuestros expertos hay un mensaje oculto, pero desafortunadamente no hemos podido encontrar nada, quizás tu tengas más suerte.
Nivel de dificultad: Fácil
Puntos asignados: 50
Formato de bandera: QMISSION{FLAG}
Archivo adjunto del reto: Documento.docm
SOLUCIONARIO:
El reto consiste en encontrar la flag que se esconde un documento .docm, este es un formato de documento que indica que tiene los Macros incrustados, lo que significa que viene con ciertas características programadas para automatizar tareas, para el reto se nos da:
Documento.docm
Lo primero que tenemos que hacer es abrir el archivo, el cual es posible abrir mediante Word.
Cuando ya está abierto notifica que los macros de Word del ordenador en donde se está ejecutando no tienen esta característica habilitada, en caso de no aparecer esta advertencia significa que el ordenador si los tiene habilitados, para resolver el reto se necesita más información sobre los macros que tiene el reto, para ello se va a la pestaña de Vista, Macros y ver macros.
Cuando se inspecciona esta pestaña aparecen todos los macros que tenga habilitado el sistema y los que tenga el archivo.
Dentro de los macros basta con una simple inspección para notar un macro que se llama “Flag” con la descripción “Quizás aquí esté la flag... quien sabe” a lo que se procede a ejecutar el macro.
Pero el macro no hace nada, entonces se recurre a inspeccionar el contenido del macro en la opción modificar macro.
En esta opción permite ver el mismo escrito que está en el texto,con unas leves diferencias.
Se ve que hay unos fragmentos que están codificados en diferentes bases y se procede a decodificarlos
01010001 01001101 01001001 01010011 (Binario)
123 111 117 116 (Octal)
7B6D3463723073 (Hexadecimal)
L53TA4TEPU====== (Base32)
Decodificación
01010001 01001101 01001001 01010011 = QMIS
123 111 117 116 = SION
RETO # 18 - ¿y la clave?
Descripción del Reto:Durante un hallazgo encontramos un archivo desconocido, algunos expertos en la materia aseguran que este archivo tiene protección con contraseña, obviamente no sabemos cual es la clave, lo que si sabemos es que usaron una contraseña muy común a nivel mundial.
Nivel de dificultad: Fácil