2024强网复现
谍影重重5.0
SMB v2流量
过滤smb2,发现有两个用户,一个abcdefgh,一个tom
直接使用NTLMRawUnHide工具,提取NTLM hash
https://github.com/mlgualtieri/NTLMRawUnHide
python NTLMRawUnHide.py -i 谍影重重5.0.pcapng
拿去john爆破就行了
john tom_hash -w=/usr/share/wordlists/rockyou.txt
密码是babygirl233
配置wireshark,导入密码
然后就会出现flag.7z,pfx证书
全部保存下来,
然后,就是解密rdp流量了
提取rdp服务端的私钥,可以使用越狱和猕猴桃两种方式
那我们就尝试mimikatz做密码,导出TLS密钥,命令如下:
openssl pkcs12 -in Desktop_0_DESKTOP-J0EE9MR.pfx -nocerts -out server_key.pem -nodes
配置TLS密钥
过滤rdp流量
发现有mouse和scancode,键盘扫描码
导出,并进行还原
tshark -r 谍影重重5.0.pcapng -T fields -e rdp.fastpath.scancode.keycode > scancode.txt
scancodes = {
0x00: "Error",
0x01: "Esc",
0x02: "1!",
0x03: "2@",
0x04: "3#",
0x05: "4$",
0x06: "5%",
0x07: "6^",
0x08: "7&",
0x09: "8*",
0x0A: "9(",
0x0B: "0)",
0x0C: "-_",
0x0D: "=+",
0x0E: "Backspace",
0x0F: "Tab",
0x10: "Q",
0x11: "W",
0x12: "E",
0x13: "R",
0x14: "T",
0x15: "Y",
0x16: "U",
0x17: "I",
0x18: "O",
0x19: "P",
0x1A: "[{",
0x1B: "]}",
0x1C: "Enter",
0x1D: "LCtrl",
0x1E: "A",
0x1F: "S",
0x20: "D",
0x21: "F",
0x22: "G",
0x23: "H",
0x24: "J",
0x25: "K",
0x26: "L",
0x27: ";:",
0x28: "'\"",
0x29: "`~",
0x2A: "LShift",
0x2B: "\\|",
0x2C: "Z",
0x2D: "X",
0x2E: "C",
0x2F: "V",
0x30: "B",
0x31: "N",
0x32: "M",
0x33: ",<",
0x34: ".>",
0x35: "/?",
0x36: "RShift",
0x37: "Keypad-*",
0x38: "LAlt",
0x39: "Space bar",
0x3A: "CapsLock",
0x3B: "F1",
0x3C: "F2",
0x3D: "F3",
0x3E: "F4",
0x3F: "F5",
0x40: "F6",
0x41: "F7",
0x42: "F8",
0x43: "F9",
0x44: "F10",
0x45: "NumLock",
0x46: "ScrollLock",
0x47: "Keypad-7/Home",
0x48: "Keypad-8/Up",
0x49: "Keypad-9/PgUp",
0x4A: "Keypad--",
0x4B: "Keypad-4/Left",
0x4C: "Keypad-5",
0x4D: "Keypad-6/Right",
0x4E: "Keypad-+",
0x4F: "Keypad-1/End",
0x50: "Keypad-2/Down",
0x51: "Keypad-3/PgDn",
0x52: "Keypad-0/Ins",
0x53: "Keypad-./Del",
0x54: "Alt-SysRq"
}
with open("scancode.txt", "r") as f:
data = f.read().split("\n")
for i in data:
if len(i) == 4:
print(scancodes[int(i, 16)], end=" ")
Enter Enter T T H H E E LShift LShift Space bar Space bar 7& 7& Z Z Space bar Space bar P P A A S S S S W W O O R R D D Space bar Space bar I I S S Space bar Space bar F F '" '" LShift [{ [{ LShift W W I I N N D D O O W W S S LShift -_ -_ LShift P P A A S S S S W W O O R R D D LShift ]} ]} LShift 9( 9( 3# 3# 4$ 4$ 7& 7& 0) 0) 1! 1! 3# 3# 1! 1! 8* 8* 2@ 2@ '" '" LCtrl S S LCtrl
整理一下
THE 7Z PASSWORD IS F '{WINDOWS-PASSWORD} 9347013182'
压缩包密码是:babygirl2339347013182
Master of DFIR - Phishing
饥渴C猫是一个刚刚入职的员工,但是最近他发现自己的电脑变得越来越奇怪。可能由于是之前他接受的一封奇怪的邮件,于是饥渴C猫找到了你,他希望你作为取证-应急响应大师可以帮忙。你可以完成调查到底发生了什么并且填写相关的调查报告。
Hint: 第六问指得是解密完载荷后可以看到一个s******s的函数(*不代表正确长度) 然后你需要去提交该函数的参数,这个参数是需要解字符串混淆后的一段字符串 并且将这段字符放到cyberchef MD5一下
Hint: 第12问的最终载荷指得是RAT的载荷 java的马和本题目毫无关系
(1/13) 攻击者的邮箱是什么? (注意:MD5(攻击者邮箱),以cyberchef的为准) 示例:9b04d152845ec0a378394003c96da594
请输入你的答案 > a8cd5b4ba47e185d4a69a583fde84da5
正确✅!
(2/13) 攻击者所投放的文件md5是什么? (注意:以md5sum的结果为准) 示例:33ec9f546665aec46947dca16646d48e
请输入你的答案 > f436b02020fa59f3f71e0b6dcac6c7d3
正确✅!
(3/13) 攻击者所使用的攻击载荷后缀是什么? 示例:lnk
请输入你的答案 > msc
正确✅!
(4/13) 攻击者所投放样本的初始执行语句在该攻击载荷文件的第几行? 示例:20
请输入你的答案 > 97
正确✅!
(5/13) 经过初始执行后,攻击者所加载的第二部分载荷所使用的语言是什么? 示例:javascript
请输入你的答案 > VBScript
正确✅!
(6/13) 攻击者所进行的第二部分载荷其将黑DLL存在了什么地方? (注意:需要提供完成的解混淆后的第二部分载荷s*******s函数的参数) 提交需要MD5(参数内容) 以Cyberchef结果为准 示例:9b04d152845ec0a378394003c96da594
请输入你的答案 > d2fabdcc28074462ac2379101836c938
正确✅!
(7/13) 攻击者使用的这个白EXE加载黑DLL的手法所对应的MITRE ATT&CK ID是什么? (注意:请注意示例的提示提交大类即可不需要细化到分项) 示例: T1000
请输入你的答案 > T1574
正确✅!
(8/13) 攻击者所使用的黑DLL劫持了原始DLL的哪个函数? 示例: main
请输入你的答案 > curl_easy_init
正确✅!
(9/13) 攻击者所使用的黑DLL解密下一阶段载荷所使用的算法是什么? 示例:chacha20
请输入你的答案 > RC4
正确✅!
(10/13) 攻击者所使用的下一阶段载荷的回连C2是什么? (注意:需要提供ip地址:端口的形式) 示例:127.0.0.1:5100
请输入你的答案 > 192.168.57.119:6000
正确✅!
(11/13) 攻击者所使用最终阶段载荷所使用的加密算法是什么? 示例:DES
请输入你的答案 > AES
正确✅!
(12/13) 攻击者所使用最终阶段载荷所使用的密钥的MD5是什么? (注意:MD5(密钥内容),以cyberchef的为准) 示例:9b04d152845ec0a378394003c96da594
请输入你的答案 > a524c43df3063c33cfd72e2bf1fd32f6
正确✅!
(13/13) 攻击者使用了什么家族的C2? 示例:PoshC2
请输入你的答案 > OrcaC2
正确✅!
恭喜你完成了所有任务,这是你的flag 🚩 -->
攻击者的邮箱是什么?
alice@flycode.cn
攻击者所投放的文件md5是什么?
邮箱中的附件压缩包
关于组织参加第八届“强网杯”全国网络安全挑战赛的通知(11月2日至3日举行线上赛).zip
攻击者所使用的攻击载荷后缀是什么?
关于组织参加第八届“强网杯”全国网络安全挑战赛的通知(11月2日至3日举行线上赛).msc
msc
攻击者所投放样本的初始执行语句在该攻击载荷文件的第几行?
97行
经过初始执行后,攻击者所加载的第二部分载荷所使用的语言是什么?
第92行代码,url解码一下
VBScript
攻击者所进行的第二部分载荷其将黑DLL存在了什么地方? (注意:需要提供完成的解混淆后的第二部分载荷s*s函数的参数) 提交需要MD5(参数内容) 以Cyberchef结果为准 示例:9b04d152845ec0a378394003c96da594
https://mp.weixin.qq.com/s/vV_II8TpyaGL4HUlUS57RQ
https://mp.weixin.qq.com/s/NNfJZd6qOfotRi_AvWgISw
import re
with open("1.vbs", "r") as f:
c = f.read()
matches = re.findall("Chr\((.*?)\)", c)
for i in matches:
x = i.replace('"', '')
x = x.replace('/', '//')
try:
x = eval(x)
c = c.replace(f"Chr({i})", chr(x))
except:
pass
print(c)
/MMC_ConsoleFile/BinaryStorage/Binary[@Name='CONSOLE_PANE']
libcurl.dll
攻击者使用的这个白EXE加载黑DLL的手法所对应的MITRE ATT&CK ID是什么? (注意:请注意示例的提示提交大类即可不需要细化到分项) 示例: T1000
攻击者所使用的黑DLL劫持了原始DLL的哪个函数? 示例: main
攻击者所使用的黑DLL解密下一阶段载荷所使用的算法是什么? 示例:chacha20
攻击者所使用的下一阶段载荷的回连C2是什么? (注意:需要提供ip地址:端口的形式) 示例:127.0.0.1:5100
攻击者所使用最终阶段载荷所使用的加密算法是什么? 示例:DES
攻击者所使用最终阶段载荷所使用的密钥的MD5是什么? (注意:MD5(密钥内容),以cyberchef的为准) 示例:9b04d152845ec0a378394003c96da594
攻击者使用了什么家族的C2? 示例:PoshC2
Master of DFIR - Coffee
(1/9) 受害者操作系统是什么版本?以C2回显为准 示例:Microsoft Windows 7 专业版
请输入你的答案 > Microsoft Windows 10 教育版
正确✅!
(2/9) 受害者主机的systemId是多少? 示例:1b0679be72ad976ad5d491ad57a5eec0
请输入你的答案 > 9e4a7e9ebdd51913b5d724be14868e85
正确✅!
(3/9) 攻击者下载的文件的保存名是什么? 示例:flag.txt
请输入你的答案 > history
正确✅!
(4/9) tomcat的用户名和密码是多少? 示例:admin:admin
请输入你的答案 > tomcat:beautiful
正确✅!
(5/9) webshell的路径? 示例:/memshell/favicon.ico
请输入你的答案 > /help/help.jsp
正确✅!
(6/9) webshell中加密算法的密钥是什么,若有多个,以加密顺序用_连接 示例:keya_keyb
请输入你的答案 > b42e327feb5d923b_82ca9b43c1b8ef8c
正确✅!
(7/9) 被黑客窃取的云存储服务的管理员账户和密码是多少? 示例:admin:admin
请输入你的答案 > hhcloud:vipvip123
正确✅!
(8/9) 恶意脚本设置的计划任务叫什么? 示例: Miner
请输入你的答案 > Update service for Windows Service
正确✅!
(9/9) 该挖矿程序回连的矿池域名是什么? 示例:www.baidu.com
请输入你的答案 > auto.skypool.xyz
正确✅!
恭喜你完成了所有任务,这是你的flag 🚩 -->