# Challenges
| Category | Challenge Name | Difficulty |
| --------- | ----------------- | ---------- |
| Forensics | Scripts and formulas| Easy |
## Scripts and formulas
### Des :
### Sol :
+ Đề cung cấp cho ta các file :
Chạy các chuỗi trên tệp lối tắt, chúng ta có thể thấy powershell đang được sử dụng:
Tệp hóa đơn.vbs chứa những gì mình mong đợi, mã độc bị xáo trộn.
logs.zip chứa các tệp evtx. Sử dụng [evtx_dump.py](https://github.com/williballenthin/python-evtx/blob/master/scripts/evtx_dump.py) để chuyển đổi chúng thành định dạng có thể đọc được cho linux và để có thể dễ dàng duyệt qua chúng.
```bash
for file in ./*.evtx;do evtx_dump.py "$file" > converted/"${file%.evtx}.xml";done
```
Bởi vì powershell đã được sử dụng, sau khi chuyển đổi tất cả nhật ký trình xem sự kiện, có thể chạy các chuỗi trên mọi thứ và grep cho powershell:
```bash
strings *|grep powershell
```
Mình nhanh chóng tìm thấy một số thứ thú vị.Thấy một lệnh powershell đã được chạy với chuỗi base64:
Giải mã chuỗi đó, chúng ta có thể thấy URL Google Trang tính:
`https://sheets.googleapis.com/v4/spreadsheets/1HpB4GqqYwI6X71z4p2EK88FoJjrsW2DKbSkx-ro5lQQ?key=AIzaSyDUpjSf7R1l1dQohA5Qv9EdyWA3KBOMc0U&ranges=Sheet1!O37&includeGridData=true`
Tuy nhiên, dường như chúng ta không thể truy cập URL này vì vậy đây là những gì đã thực hiện hiện tại:
Mình đã thu thập khá nhiều thông tin cho đến nay. Hãy chạy docker và kết nối với IP và cổng được cung cấp bằng netcat. Mình được thông báo rằng để có được lá cờ và phải trả lời một số câu hỏi.
Câu hỏi 1:
Khi mình tìm kiếm powershell, có thể thấy dòng này cung cấp cho mình câu trả lời đang tìm kiếm:
Câu hỏi 2:
Chỉ có hai chức năng trong tập lệnh. Câu trả lời dễ dàng ngay cả khi dùng thử/lỗi. Trong khi cái đầu tiên xây dựng tải trọng, thì cái thứ hai thực hiện giải mã nguồn.
Câu 3:
Từ việc tìm hiểu của mình trước đó và đã biết điều này đó là powershell.
Câu 4:
Phát hiện ra điều này thông qua việc tìm kiếm . Mặc dù không thể truy cập trang Google Trang tính nhưng mình có URL chứa ID bảng tính.
Câu 5:
Có thông tin này trong cùng một URL Google Trang tính mà chúng tôi đã phát hiện:
Câu 6:
Để tìm thấy điều này, cần mở file `Microsoft-Windows-PowerShell%4Operational.evtx` bằng `Event viewer` nơi tìm thấy lệnh powershell đang thực thi base64, có thể tìm thấy tệp đó là gì bằng cách thêm các cờ `-rn` vào grep.
Mở tệp có thể thấy EventID:
Câu 7:
Nếu chúng ta tiếp tục đọc tệp mà chúng ta vừa mở cho Câu hỏi 6, ở phía dưới một chút, chúng ta có thể thấy phép toán XOR:
Và cuối cùng mình cũng nhận được lá cờ của mình:
#flag : `HTB{GSH33ts_4nd_str4ng3_f0rmula3_byp4ss1ng_f1r3w4lls!!}`
##
Sign in with Wallet
Connect another wallet