题目说明
我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗?
得到的是一个pcap包
有大量的tcp和udp流
查看udp流有以下的关键字
“ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider”
保存下来进行分析
有一些证书和私钥尝试openssl进行读取
命令:openssl asn1parse -inform DER -in
有大量的hex,深入分析嵌套的数据,进行解码尝试
命令加一个-strparse