Le journal d’évènements PowerShell comporte peu d’entrées, il est donc possible de l’analyser à la main.
Une des entrées est marquée comme Warning ce qui a attiré mon attention.
L’entrée suivante comporte un script particulièrement intéressant car il y est question d’échanges TCP avec une machine distante.
En analysant le code du script on observe que le script ouvre une socket sur une machine distante et, après avoir envoyé le message SHELL>, envoie une chaine de caractère construite en parcourant un tableau de valeurs hexadécimales.
Pour chaque valeur du tableau le script fait un XOR avec l’index de la valeur dans le tableau.
En exécutant spécifiquement cette partie du script on obtient le flag.