Junior.Crypt.2024 CTF - Forensics

Mar10發表於2024-09-15

Junior.Crypt.2024 CTF - Forensics

部分題目復現參考:

https://blog.jacki.cn/2024/07/05/Junior_Crypt_2024_CTF/#SAMBO-wrestler

https://yocchin.hatenablog.com/entry/2024/07/08/124230

標註“#”表示未復現,日後有機會補上吧

題目地址:https://ctf-spcs.mf.grsu.by/challenges

Admin rights

幫我找出哪個 ACTIVE 帳戶具有管理員許可權 像 user_xxxx 這樣的帳戶
格式為 grodno{user_xxxx} 的標誌

附件:SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

匯入 RegRipper3.0

RegRipper3.0 是一個功能強大且易於使用的登錄檔解析工具
專案地址:https://github.com/keydet89/RegRipper3.0

image-20240705094529087

執行後會生成對應結果,搜尋關鍵詞Admin即可

Username        : user_7565 [1302]
SID             : S-1-5-21-3540531501-39330331-37505187-1302
Full Name       : 
User Comment    : 
Account Type    : Default Admin User
Account Created : Fri Jun 28 12:59:04 2024 Z
Name            :  
Last Login Date : Never
Pwd Reset Date  : Fri Jun 28 12:59:04 2024 Z
Pwd Fail Date   : Never
Login Count     : 0
  --> Normal user account

grodno{user_7565}

#Banishment

哪些員工被解僱了?我記得的最後一件事是,他的帳戶被刪除了。表格user_x帳戶
格式為 grodno{user_x} 的標誌

附件:SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

Series SAM

您的任務是提取 Tilen2000 使用者的密碼
標誌格式: grodno{password_plain_text}
例如,grodno

附件:Tilen.rar

解壓是SYSTEM以及ntds.dit

在滲透測試的過程中,當我們已經是域管許可權時就可以實現提取所有域內使用者的密碼雜湊以進行離線破解和分析,這是非常常見的一個操作,這些雜湊值儲存在域控制器(NTDS.DIT)中的資料庫檔案中,並帶有一些其他資訊,例如:使用者名稱、雜湊值、組、GPP、OU等於活動目錄相關的資訊

impacket-secretsdump -system /root/桌面/SYSTEM -ntds /root/桌面/ntds.dit LOCAL -history

搜尋使用者名稱Tilen2000,得到hash

Tilen2000:2649:aad3b435b51404eeaad3b435b51404ee:c0720d115b8b326aca0d9b95f0eca86e:::

md5解密

image-20240705093713014

grodno{password_Hello123}

RDP

來自哪個國家/地區的使用者透過 RDP 連線?
旗幟格式: grodno

附件:Logs.zip

參考:https://blog.csdn.net/travelnight/article/details/122854895

對於RDP日誌溯源,一般重點關注security.evtx、setup.evtx、system.evtx這三個日誌

還有Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

image-20240915003602970

https://search.censys.io/hosts/103.109.92.4

image-20240915003759579

grodno{Bangladesh}

Videomaker

關鍵在其中一個影片中

附件:Video.rar

直接分離即可

foremost -T 2.mp4

image-20240915013925388

grodno{video_recovery}

SAMBO wrestler

從哪個 IP 獲得對網路資料夾的訪問?
格式為 grodno{xxx.xxx.xxx.xxx} 的標誌

附件:shar.zip

參考:https://www.cnblogs.com/hetianlab/p/15061694.html

檢視Security.evtx

image-20240915010105197

grodno{103.109.92.5}

FTP

查詢您的 FTP 密碼。
標誌格式:grodno

附件:FTP_connection.rar

是dll檔案,使用dnSpy反編譯檢視程式碼,發現password

image-20240915005218974

grodno{12345_ftp_ctf}

Image

金鑰隱藏在 Image 中。探索影像以查詢金鑰。必須在 Image 中搜尋金鑰
格式為 grodno{name} 的標誌

附件:Image.rar

發現在Images資料夾中圖片0被刪了,但是有Thumbs.db。

image-20240915004319536

Thumbs.db是一個用於MicrosoftWindows XP 或mac os x快取Windows Explorer的縮圖的檔案。把他恢復出來

工具:https://thumbsviewer.github.io/

image-20240915004821823

grodno{image_in_thumbnail}

Admin

我自己也是一名資料庫管理員。
格式為 grodno{key_to_database} 的標誌

附件:Disk_G.rar

image-20240915014154685

資料庫檔案

dd if=Disk_G bs=552960 skip=1 of=Disk_G.db

關於這個命令,分享一篇文章:https://cloud.tencent.com/developer/article/2142280

但為什麼是這個bs=552960值還是不太懂。。有佬會的話教教

image-20240915020724367

grodno{DataBase_key}

Confusion

有必要將檔案存檔,反之亦然
格式為 grodno{text} 的標誌

附件:Doc1.docx

docx改zip

image-20240915010438941

image-20240915010537624

rar有密碼,rar2john6+john

rar2john download.rar > hash
john --incremental:digits hash

image-20240915012145523

grodno{ctf_zip_key}

#Key

有了這個exe,一切都那麼簡單嗎?
格式為 grodno{text} 的標誌

附件:

#Lost

我丟失了儲存標誌的手機,請幫我找到它。

附件:__ctf_key.exe

相關文章