XCTF 3rd-HITB CTF-2017 arrdeepee 复现

题目说明

我们某一个box被pwn了。在检查过程中，我们发现了一个叫mimikatz的东西，我们以前没有安装过，所以我们清除了，并且重新安装了box。但是，我们忘记备份我们的flag文件了。幸运的是，我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗？

得到的是一个pcap包
有大量的tcp和udp流

查看udp流有以下的关键字
“ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider”
保存下来进行分析
有一些证书和私钥尝试openssl进行读取
命令：openssl asn1parse -inform DER -in

有大量的hex，深入分析嵌套的数据，进行解码尝试
命令加一个-strparse

继续解码
有可能是密钥
提取出来
提取需要密码结合题目的 mimikatz （https://github.com/FreeRDP/FreeRDP/wiki/Mimikatz）尝试做密码
成功提取
回过头看pcap包
有RDP和TPKT包（如果没有就右键decode解码）

其中的RDP 可以通过rdp_replay来重播RDP会话

命令
replay/rdp_replay -r 1.pcap -o recording.avi -p ./private.key --save_clipboard --show_keys > output

https://download.csdn.net/download/m0_46580995/12579907

通过视频（视频等上传通过）可以知道攻击者，他的工作是使用未显示给用户的密码压缩和加密标志文件，然后将base64编码并复制到剪贴板。
上一步已经把键位和剪切板下载下来
以及粘贴板上的base64解码并写入文件发现一个7z压缩包
需要密码就是键盘键入的
RDP SSL MODE Requested by server!!
SSL private key found.
1024x756x8
REALLY DELICIOUS PANCAKESREALLY DELICIOUS PANCAKES

得到flag