arrdeepee

最新推荐文章于 2022-04-10 14:46:15 发布
最新推荐文章于 2022-04-10 14:46:15 发布
阅读量3.3k 收藏 1
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934520/article/details/122014291
版权

arrdeepee(来源:攻防世界)

 

1.关卡描述

2.解题步骤

分析:

下载附件得到一个流量包,对tcp流进行追踪,没有发现什么:

特别注意的是流量包含有含有大量TLS流,且没有http流,说明

使用foremost没有检测出关键信息,使用binwalk,得到一个crt文件

文件的内容是乱码。

通过对所有流进行分析:

发现重要协议中比较重要的协议是tcp、udp、ssl

对tcp流进行追踪,没有发现什么有效信息,而且只有一个tcp流,含有的信息也是非常的的多,现在追踪udp流也没有发现什么。

毫无头绪。

==================================

参考资料:

思路一:

来自:HITBGSEC CTF 2017 - arrdeepee (Misc) - Nandy Narwhals CTF Team ▌

PCAP文件中有两个不同的流:UDP流和大型TCP流。

当我们分析流量的开始时,我们可以看到TCP流包含RDP数据。如果在打开PCAP文件时没有像您那样显示出来,则将TCP通信解码为TPKT。

(注:解码为TPKT:

此时,会发现所有的TLSv1都变成了TPTK

且:

RDP一般指远程桌面协议

另外,我们注意到RDP流量是通过SSL加密的,如下所示:

由此,我们可以猜测我们需要重播RDP会话,但为此,我们需要找到用于解密通信的密钥。这可能在UDP流中。

跟随UDP流,我们看到大量的二进制数据,其中包含一些有趣的字符串。“ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider”看起来像是对我们要查找的加密货币的非常有趣的引用。(这是细节啊)

我们可以将整个流转储到文件中并尝试对其进行分析。首先,让我们看看它是否可以识别为文件:

$ file extracted_data.bin

extracted_data.bin: data

似乎没有可识别的标头。因此,让我们尝试在其上运行binwalk:

$ binwalk -e extracted_data.bin

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
30            0x1E            Certificate in DER format (x509 v3), header length: 4, sequence length: 2376
57            0x39            Certificate in DER format (x509 v3), header length: 4, sequence length: 1466
1546          0x60A           Private key in DER format (PKCS header length: 4, sequence length: 860

现在,它似乎包含一些证书和一个私钥。尝试将单个文件转换为我们可以使用openssl读取的纯文本格式似乎没有用。我们可以通过将其读取为ASN.1来对其进行调试。

$ openssl asn1parse -inform DER -in extracted_data.bin
    0:d=0  hl=4 l=2467 cons: SEQUENCE
    4:d=1  hl=2 l=   1 prim: INTEGER           :03
    7:d=1  hl=4 l=2399 cons: SEQUENCE
   11:d=2  hl=2 l=   9 prim: OBJECT            :pkcs7-data
   22:d=2  hl=4 l=2384 cons: cont [ 0 ]
   26:d=3  hl=4 l=2380 prim: OCTET STRING      [HEX DUMP]:省略
 2410:d=1  hl=2 l=  59 cons: SEQUENCE
 2412:d=2  hl=2 l=  31 cons: SEQUENCE
 2414:d=3  hl=2 l=   7 cons: SEQUENCE
 2416:d=4  hl=2 l=   5 prim: OBJECT            :sha1
 2423:d=3  hl=2 l=  20 prim: OCTET STRING      [HEX DUMP]:C6636BA1DC7A4063D2AD49F7DBB800AD92260253
 2445:d=2  hl=2 l=  20 prim: OCTET STRING      [HEX DUMP]:9BADF56CE6069E1EB9339E0E9FCD096ACD0DBC5B
 2467:d=2  hl=2 l=   2 prim: INTEGER           :07D0

我们得到了大量的数据。但是,由于该结构可以包含嵌套数据,因此我们可以通过指定要解码的八位位组字符串来进行向下钻取。

$ openssl asn1parse -inform DER -in extracted_data.bin -strparse 26
    0:d=0  hl=4 l=2376 cons: SEQUENCE
    4:d=1  hl=4 l=1489 cons: SEQUENCE
    8:d=2  hl=2 l=   9 prim: OBJECT            :pkcs7-data
   19:d=2  hl=4 l=1474 cons: cont [ 0 ]
   23:d=3  hl=4 l=1470 prim: OCTET STRING      [HEX DUMP]:省略
 1501:d=2  hl=2 l=   9 prim: OBJECT            :pkcs7-encryptedData
 1512:d=2  hl=4 l= 864 cons: cont [ 0 ]
 1516:d=3  hl=4 l= 860 cons: SEQUENCE
 1520:d=4  hl=2 l=   1 prim: INTEGER           :00
 1523:d=4  hl=4 l= 853 cons: SEQUENCE
 1527:d=5  hl=2 l=   9 prim: OBJECT            :pkcs7-data
 1538:d=5  hl=2 l=  28 cons: SEQUENCE
 1540:d=6  hl=2 l=  10 prim: OBJECT            :pbeWithSHA1And40BitRC2-CBC
 1552:d=6  hl=2 l=  14 cons: SEQUENCE
 1554:d=7  hl=2 l=   8 prim: OCTET STRING      [HEX DUMP]:135DB999CA2CD6B1
 1564:d=7  hl=2 l=   2 prim: INTEGER           :07D0
 1568:d=5  hl=4 l= 808 prim: cont [ 0 ]

同样,让我们​​对嵌套结构进行解码。

$ openssl asn1parse -inform DER -in extracted_data.bin -strparse 26 -strparse 23
    0:d=0  hl=4 l=1466 cons: SEQUENCE
    4:d=1  hl=4 l=1462 cons: SEQUENCE
    8:d=2  hl=2 l=  11 prim: OBJECT            :pkcs8ShroudedKeyBag
   21:d=2  hl=4 l=1270 cons: cont [ 0 ]
   25:d=3  hl=4 l=1266 cons: SEQUENCE
   29:d=4  hl=2 l=  28 cons: SEQUENCE
   31:d=5  hl=2 l=  10 prim: OBJECT            :pbeWithSHA1And3-KeyTripleDES-CBC
   43:d=5  hl=2 l=  14 cons: SEQUENCE
   45:d=6  hl=2 l=   8 prim: OCTET STRING      [HEX DUMP]:66AFD4385D4302C4
   55:d=6  hl=2 l=   2 prim: INTEGER           :07D0
   59:d=4  hl=4 l=1232 prim: OCTET STRING      [HEX DUMP]:省略
 1295:d=2  hl=3 l= 172 cons: SET
 1298:d=3  hl=2 l=  13 cons: SEQUENCE
 1300:d=4  hl=2 l=   9 prim: OBJECT            :Microsoft Local Key set
 1311:d=4  hl=2 l=   0 cons: SET
 1313:d=3  hl=2 l=  19 cons: SEQUENCE
 1315:d=4  hl=2 l=   9 prim: OBJECT            :localKeyID
 1326:d=4  hl=2 l=   6 cons: SET
 1328:d=5  hl=2 l=   4 prim: OCTET STRING      [HEX DUMP]:01000000
 1334:d=3  hl=2 l=  39 cons: SEQUENCE
 1336:d=4  hl=2 l=   9 prim: OBJECT            :friendlyName
 1347:d=4  hl=2 l=  26 cons: SET
 1349:d=5  hl=2 l=  24 prim: BMPSTRING
 1375:d=3  hl=2 l=  93 cons: SEQUENCE
 1377:d=4  hl=2 l=   9 prim: OBJECT            :Microsoft CSP Name
 1388:d=4  hl=2 l=  80 cons: SET
 1390:d=5  hl=2 l=  78 prim: BMPSTRING

这实际上看起来像是PKCS12文件,捆绑证书的存档格式和私钥。我们可以从中提取私钥:

$ openssl pkcs12 -in extracted_data.bin -nocerts -nodes -out private.key
Enter Import Password: mimikatz
MAC verified OK

我猜到了证书文件的密码“ mimikatz”,但我们可以在此处获取有关信息。获取私钥后,我们可以使用一个称为RDP-Replay的工具 来重播RDP会话,并找出攻击者在入侵期间正在做什么。

编译后,我们可以运行rdp_replay带有选项的可执行文件,以保存攻击者按下的键,并将捕获到的剪贴板事件中的数据转储到文件中。另外,我们将重播的视频保存到文件中。

$ rdp_replay -r ../e8e2ceb9-b77f-4b26-b09a-fcec86e27497.pcap -o recording.avi -p ./private.key --save_clipboard --show_keys > output

这是攻击者通过RDP所做的记录:

他的工作是使用未显示给用户的密码压缩和加密标志文件,然后将base64编码并复制到剪贴板。这就是为什么我们必须保存键入的键和剪贴板事件信息的原因。

输入的键记录:

RDP SSL MODE Requested by server!!
SSL private key found.
1024x756x8
REALLY DELICIOUS PANCAKES<Tab>REALLY DELICIOUS PANCAKES

剪贴板的内容:

N3q8ryccAATjAlOVMAAAAAAAAABqAAAAAAAAACmoQ4fA1DQXZvCzJGIg/8cxnh8QXnWoDkwNxjGL
37P7rvVC2SMn8+wquEv/A5HBL9djQewBBAYAAQkwAAcLAQACJAbxBwEKUweBdxD1DDirkCEhAQAB
AAwrJwAICgGwcALcAAAFARkJAAAAAAAAAAAAERMAZgBsAGEAZwAuAHQAeAB0AAAAGQAUCgEAAFNu
lssb0wEVBgEAIAAAAAAA

放在一起:

$ cat ../clip-00000000-down | base64 -d -i > flag.7z
$ 7z x flag.7z

7-Zip [64] 9.20  Copyright (c) 1999-2010 Igor Pavlov  2010-11-18
p7zip Version 9.20 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: flag.7z


Enter password (will not be echoed) :
Extracting  flag.txt

Everything is Ok

Size:       39
Compressed: 186
$ cat flag.txt
HITB{44519a67ffc654e40febc09e20e8e745}

思路二:

XCTF 3rd-HITB CTF-2017 arrdeepee 复现_m0_46580995的博客-CSDN博客

得到的是一个pcap包

有大量的tcp和udp流

查看udp流有以下的关键字

“ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider”

保存下来进行分析

有一些证书和私钥尝试openssl进行读取

命令:openssl asn1parse -inform DER -in

有大量的hex,深入分析嵌套的数据,进行解码尝试

命令加一个-strparse

继续解码

有可能是密钥

提取出来

提取出来

提取需要密码结合题目的 mimikatz (https://github.com/FreeRDP/FreeRDP/wiki/Mimikatz)尝试做密码

成功提取

回过头看pcap包

有RDP和TPKT包(如果没有就右键decode解码)

其中的RDP 可以通过rdp_replay来重播RDP会话

命令

replay/rdp_replay -r 1.pcap -o recording.avi -p ./private.key --save_clipboard --show_keys > output

recording.avi-其它其他资源-CSDN下载

通过视频(视频等上传通过)可以知道攻击者,他的工作是使用未显示给用户的密码压缩和加密标志文件,然后将base64编码并复制到剪贴板。

上一步已经把键位和剪切板下载下来

以及粘贴板上的base64解码并写入文件发现一个7z压缩包

需要密码就是键盘键入的

RDP SSL MODE Requested by server!!

SSL private key found.

1024x756x8

REALLY DELICIOUS PANCAKESREALLY DELICIOUS PANCAKES

得到flag

红烧兔纸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(MISC)高手进阶
doraemon12345的博客
11-24 441
1.base64÷4 题目下载下来是一个文本,里面有一串字符,看题目提示联想到64除以4得16,应该是bease16拿去试一下,果然flag{DugUpADiamondADeepDarkMine} 解密网站:http://www.jsons.cn/aesencrypt/ 2.wireshark-1 是一个流量分析题,用Wireshark打开然后选择tcp追踪流查看到第二个流的时候发现flag如图提交flag{ffb7567a1d4f4abdffdb54e022f8facd} 3.pure_color 下载附
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1205
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
recording.avi
07-05
HITB CTF-2017 arrdeepee的相关视频
2017
m0_38051203的博客
02-11 153
      今年是我第一年出来工作,也是第一次快过年了,还在远方。  伴随着,每天重复的工作,时间比我想象中更快的速度流逝。而感觉自己似乎什么技术也没有学到。大学刚毕业的时候的远大理想,竟被这短短几个月的时间磨灭了,在这中间的时间,想过考研,考公务员。  出现了一对矛盾的东西,时间过得太快,而对事物的坚持总是不够时间。           ...
攻防世界逆向WP,XCTF 3rd-GCTF-2017 hackme
Darclindy的博客
07-20 430
64位ELF文件,拖入IDA分析,对主函数整体进行分析如下: 现在的难点在于,在do……while循环里,如何才能满足v8==v11^v7,继续分析: 写脚本的注意事项:
攻防世界Misc高手进阶区第一页WriteUp
D-R0s1的博客
09-04 3355
0x01 写这篇博客的目的 在上一篇杂项新手进阶区的WriteUp写完以后,自己也觉得起到了一个复习强化的作用。只有把简单的事情做好做精重复做才会熟能生巧,刷题–经验–在经验基础上继续刷题–继续获得经验-----------形成自己的一套风格。同样,本着互联网分享的精神把自己的解题思路和解题步骤都记录下来,方便大家查看,节约时间,提高效率。师傅们有更好的解题思路也欢迎在评论区留言,咱们一起交流,共...
攻防世界 二(进阶篇)
sjt670994562的博客
06-06 1547
re-for-50-plz-50 该题比较简单,直接ida分析就可以,虽然不能出伪代码,但单看汇编就行 首先看到一串字符串,估计进行转码 看到异或 尝试python转码,得到flag The_Maya_Society 这几天来比较让我头秃的题目,脑洞题吧,可以取巧的那种,真的头秃还是实力不行,首先扔到ida静态分析,看到一个取时间的函数 所以跟时间肯定有关系,经搜索找到关键函数,打开观察...
[译]RDP Replay
iteye_16188的博客
10-30 246
原文地址:http://contextis.co.uk/resources/blog/rdp-replay/ 发现可以数据包: [img]http://dl2.iteye.com/upload/attachment/0102/6554/dd373427-fb9a-3f7c-8a80-d35b5cbef19d.png[/img] keyboard layout是2052-天朝 [b]1. 密...
攻防世界RESERVE练习区解析合集(中)
Trms_z的博客
01-28 362
首先利用下载附件,使用EXEinfo PE查看文件类型 为32位 利用IDA打开,找到主函数 同时Shift+F12 我们就此可以推测这就是flag 六:python-trade 我们利用软件打开为一堆乱码 反编码得到: import base64 #Base64是一种任意二进制到字符串的编码方法,.base64生成的编码都是ascii码。 base64编码或解码都返回的是字节,需要手动转换成字符 def enc.
【Linux | 项目】数据加密传输平台(一、系统模块)
Midnight_city的博客
10-12 284
Linux项目——数据加密传输平台 子系统 统一数据库访问组件libicdbapi 统一通讯组件SocketApi 统一报文编解码组件Libmessagereal 统一共享内存读写组件 密钥协商服务程序SecMngServer 密钥协商客户端程序SecMngClient 密钥协商服务配置管理终端SecMngServerAdmin 外联接口AppInterface 对称密钥加解密接口 安全传输平台数据库脚本 人员分配: 通用组件:1人 后台框架和业务流:1人 后台配置管理(MFC):1人 前台框架和业务流(
CTF-攻防世界-MISC-高手进阶区(001-018 持续更新中...)
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
08-22 4203
MISC 高手进阶区 base64÷4 embarrass 神奇的Modbus wireshark-1 pure_color Aesop_secret a_good_idea Training-Stegano-1 can_has_stdio? János-the-Ripper Test-flag-please-ignore 快乐游戏题 Banmabanma reverseMe stage1 Hear-with-your-Eyes What-is-this MISCall
X509证书基本概念
marylgao技术专栏
04-10 9361
编码格式 x509证书主要有2种编码格式,一种是DER格式,另一种是PEM格式。 1. DER格式 二进制格式。der类型的不用在编码解码,直接就是二进制的数据可以直接使用 2.PEM格式 PEM格式数据要根据base64编码解码后,得到的数据需要进行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。 下面一个例子就是PEM格式的私钥文件, 以-----BEGIN PRIVATE KEY----开头, 以-----END PRIVATE KEY-----结尾。 -----BEGIN PRIV
攻防世界-Misc-_Aesop_secret
半岛铁盒的博客
11-21 366
开头引语 题主百度了一下 AESop 翻译是伊索哦! <伊索寓言的那个>;这题叫做伊索的秘密!我们就来看看吧! 解题 下载题目附件,发现是动态图,是动态图的话我们第一反应就是分解嘛! 今天题主发现了个宝藏网站,专门做动态图的,分享给你们哦!! 动态图在线解密 使用网站后就是这个样子的~~ 我们拿到了完整的图~ 看不出什么信息,刚开始我还以为是个二维码呢 -.- 那是上面有四个字母 ISCC 结合题目我们联想到 AES解密,(AES解密是需要秘钥的!!) 我们把原图用记事本打开后发现了奇怪
解密TLS协议全记录之利用wireshark解密
热门推荐
walleva96的博客
07-17 3万+
引言 为什么会突然有使用wireshark学习TLS的想法,主要是为了在nike官网抢限量球鞋,但是发现路子好像走歪了,唯一的价值好像就是多了这么一篇博客,查阅了很多有根据,没根据的博客内容,总结出这篇自以为还算全面,结实的文章。如有问题,欢迎讨论交流。 学习网络协议之前,必须先找对最基本的协议学习网站, rfc协议官网 https://www.rfc-editor.org ietf协议官网 https://www.ietf.org/ 这个网站我经常搜索不出比较理想的文件,标题不直观,杂七杂八的会议记录
X509V3数字证书介绍
Xiang_Cheung的博客
08-25 4713
目录参考目的约定文章思路脑图数字证书基础定义用途工作原理数字签名摘要算法基础非对称密钥基础组成数字签名示例数字签名部分数字证书部分文件编码格式如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowcha...
XCTF练习题---MISC---再见李华
liu914589417的博客
01-08 685
XCTF练习题—MISC—再见李华 **flag:Stay hungry, Stay foolish. ** 解题步骤: 1、观察题目,下载附件 2、拿到手以后发现是一张图片,其中有MD5,破解一下没有任何作用,Stegsolve也没用,上HXD,经过分析发现其中是有文件的,如图所示: 3、既然都知道其中有文件了,直接上Kali linux拆解一下,使用foremost,得出了一个压缩包 4、把压缩包拽出来,打开后发现有密码,密码无从下手,后来观察到题目要求,推测出后5位应该是署名,也就是LiHua,
efi签名提取
chenqioulin的博客
08-18 607
binwalk shimx64.efi DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 0x0 Microsoft executable, portable (PE) 26243 0x6683 mcrypt 2.2 encr...
replay的意义
weixin_33817333的博客
12-16 192
数据库重放: (1) 在测试环境中重新创建实际的生产数据库工作量。 (2) 在生产中实施更改之前,确定和分析潜在的不稳定性。 (3) 捕获生产中的工作量:  ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值