XCTF 3rd-HITB CTF-2017 arrdeepee 复现

题目说明

我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗?

得到的是一个pcap包
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第1张图片有大量的tcp和udp流

查看udp流有以下的关键字
“ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider”
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第2张图片保存下来进行分析
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第3张图片有一些证书和私钥尝试openssl进行读取
命令:openssl asn1parse -inform DER -in

有大量的hex,深入分析嵌套的数据,进行解码尝试
命令加一个-strparse
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第4张图片

继续解码
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第5张图片有可能是密钥
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第6张图片提取出来
在这里插入图片描述提取需要密码结合题目的 mimikatz (https://github.com/FreeRDP/FreeRDP/wiki/Mimikatz)尝试做密码
在这里插入图片描述成功提取
回过头看pcap包
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第7张图片有RDP和TPKT包(如果没有就右键decode解码)

XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第8张图片其中的RDP 可以通过rdp_replay来重播RDP会话

命令
replay/rdp_replay -r 1.pcap -o recording.avi -p ./private.key --save_clipboard --show_keys > output

https://download.csdn.net/download/m0_46580995/12579907

通过视频(视频等上传通过)可以知道攻击者,他的工作是使用未显示给用户的密码压缩和加密标志文件,然后将base64编码并复制到剪贴板。
上一步已经把键位和剪切板下载下来
在这里插入图片描述XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第9张图片以及粘贴板上的base64解码并写入文件发现一个7z压缩包
XCTF 3rd-HITB CTF-2017 arrdeepee 复现_第10张图片需要密码就是键盘键入的
RDP SSL MODE Requested by server!!
SSL private key found.
1024x756x8
REALLY DELICIOUS PANCAKESREALLY DELICIOUS PANCAKES

得到flag
在这里插入图片描述

你可能感兴趣的:(CTF)