SICTF-Round3#WP

文章发布时间:

2024-02-19

最后更新时间:

2024-02-21

页面浏览：加载中...

Misc:

[签到]签到

FLAG：SICTF{1f4ce05a-0fed-42dc-9510-6e76dff8ff53}

WHO?WHO?WHO

题目描述：我不说是谁了！！！太渣了！！！呜呜呜！！！让我遍体鳞伤！！！

提示：压缩包密码为6位小写字母，树木是渣男

爆破口令解压文件

零宽字符

树木是渣男兔子解密

树木的DNA里都是渣男DNA解码，null为_和{}

处理一下

FLAG：SICTF{Q1A0_Q1A0_GA0_SU_N1_SHUMU_SH1_ZHA_NAN}

日志分析1

使用Windows事件查看器导出csv格式文件分析

搜集的线索

使用者:
	帐户名:		attack$
	帐户域:		ADOFLMB
	登录 ID:		0x12A334
会话:
	会话名:		RDP-Tcp#0
附加信息:
	客户端名:		kali
	客户端地址:		192.168.222.200
已请求 Kerberos 服务票证。
帐户信息:
	帐户名:		attack$@ADOFLMB.COM
	帐户域:		ADOFLMB.COM
	登录 GUID:		{7539ad21-0be8-8cb6-7406-054797c14d68}

服务信息:
	服务名称:		WIN-WH8G5MDPHE5$
	服务 ID:		S-1-5-21-867333373-202576419-2389709931-1000

任务信息:c:\windows\system32\windows_attack.exe
	任务名称: 		\callback
	任务内容: 		<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2020-07-22T10:51:15</Date>
    <Author>SYSTEM</Author>
  </RegistrationInfo>
  <Triggers>
    <TimeTrigger>
      <Repetition>
        <Interval>PT1M</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2020-07-22T10:51:00</StartBoundary>
      <Enabled>true</Enabled>
    </TimeTrigger>
  </Triggers>
  <Settings>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>c:\windows\system32\windows_attack.exe</Command>
    </Exec>
  </Actions>
  <Principals>
    <Principal id="Author">
      <UserId>ADOFLMB\WIN-WH8G5MDPHE5$</UserId>
      <LogonType>InteractiveToken</LogonType>
    </Principal>
  </Principals>
</Task>

FLAG：SICTF{192.168.222.200|attack$|Administrators|callback|C:\windows\system32\windows_attack.exe|ADOFLMB\attack$}

日志分析2

题目描述：没想到刚刚修复回来的阿帕奇又被入侵了，师傅们速度来揪出树魔王的蛛丝马迹吧！flag格式为 SICTF{攻击者的IP地址|攻击者得到Web应用后台管理权限的方法|攻击者在SQL注入攻击过程中使用的自动化工具名称|工具版本号|攻击者使用的Webshell连接工具（中文名）|工具版本号}

2198行和45860行

FLAG：SICTF{10.11.35.95|暴力破解|sqlmap|1.2.4.18|蚁剑|2.1}

神秘流量

提示：你听说过CS吗？

根据提示我搜到了Cobalt Strike 网络流量，首先把流量包内的dmp.zip压缩包提取出来解压备用

尝试提取加密数据流量：

┌──(kali㉿kali)-[~/Desktop/Beta-master]
└─$ python3 cs-parse-http-traffic.py -k unknown 神秘流量.pcapng
Packet number: 234
HTTP response (for request 231 GET)
Length raw data: 80
fb7efc65c19576940dc6540528b5af8421b44ccdae820a540c1c51f320357e46f7960da2ea8cda6a3c031f6685c2ec33465f50025bed07f299943c7df89068dc4cf1742a39ffd526afa301efb0b63b17
省略...

尝试提取密钥：

┌──(kali㉿kali)-[~/Desktop/Beta-master]
└─$ python3 cs-extract-key.py -t fb7efc65c19576940dc6540528b5af8421b44ccdae820a540c1c51f320357e46f7960da2ea8cda6a3c031f6685c2ec33465f50025bed07f299943c7df89068dc4cf1742a39ffd526afa301efb0b63b17 dmp.dmp 
File: dmp.dmp
Searching for AES and HMAC keys
Searching after sha256\x00 string (0x35fd8c)
AES key position: 0x003662d8
AES Key:  e453d7f06b53a1638b0087236bae5d3b
HMAC key position: 0x003695f8
HMAC Key: 2bfb11c55658a2050e501c3571ebe676
SHA256 raw key: 2bfb11c55658a2050e501c3571ebe676:e453d7f06b53a1638b0087236bae5d3b
Searching for raw key

之后就可以使用提取的 AES 和 HMAC 密钥解密流量（-k HMACkey:AESkey）：

┌──(kali㉿kali)-[~/Desktop/Beta-master]
└─$ python3 cs-parse-http-traffic.py  -k  2bfb11c55658a2050e501c3571ebe676:e453d7f06b53a1638b0087236bae5d3b 神秘流量.pcapng
Packet number: 776
HTTP request POST
http://192.168.40.144:1234/submit.php?id=1767805336
Length raw data: 440
Counter: 5
Callback: 30 OUTPUT
 驱动器 C 中的卷没有标签。
 卷的序列号是 FC36-B1C0

 C:\Users\admin\Desktop\ctf\flag 的目录

2024/01/20  22:16    <DIR>          .
2024/01/20  22:16    <DIR>          ..
2024/01/20  21:42                43 flag.txt
               1 个文件             43 字节
               2 个目录 29,218,734,080 可用字节


Counter: 6
Callback: 30 OUTPUT
SICTF{b50936c7-b60d-411e-a91f-304937164b9c}

FLAG：SICTF{b50936c7-b60d-411e-a91f-304937164b9c}

问卷调查

FLAG：SICTF{See_y0u_1n_sictf_rOund4_!!!!@#_558b0304}

Crypto:

[签到]Vigenere

在线网站直接破解

FLAG：SICTF{4695cab9-fd68-4684-be81-c6c1acb6cafa}

Reverse:

[签到]Baby_C++

#include <iostream>

unsigned char flag[] =
{
    0x00, 0x53, 0x49, 0x43, 0x54, 0x46, 0x7B, 0x34, 0x65, 0x34, 
    0x37, 0x34, 0x62, 0x38, 0x61, 0x2D, 0x39, 0x64, 0x66, 0x36, 
    0x2D, 0x34, 0x35, 0x34, 0x62, 0x2D, 0x39, 0x65, 0x61, 0x36, 
    0x2D, 0x64, 0x34, 0x66, 0x35, 0x65, 0x33, 0x37, 0x63, 0x64, 
    0x35, 0x31, 0x66, 0x7D, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00
};

int main() {
    std::string decryptedFlag;
    
    for (int i = 1; i < sizeof(flag) / sizeof(flag[0]) - 1; i++) {
        decryptedFlag += flag[i];
    }
    
    std::cout << "Decrypted Flag: " << decryptedFlag << std::endl;
    
    return 0;
}