Junior.Crypt.2024 CTF - Forensics

Junior.Crypt.2024 CTF - Forensics

部分题目复现参考:

https://blog.jacki.cn/2024/07/05/Junior_Crypt_2024_CTF/#SAMBO-wrestler

https://yocchin.hatenablog.com/entry/2024/07/08/124230

标注“#”表示未复现,日后有机会补上吧

题目地址:https://ctf-spcs.mf.grsu.by/challenges

Admin rights

帮我找出哪个 ACTIVE 帐户具有管理员权限 像 user_xxxx 这样的帐户
格式为 grodno{user_xxxx} 的标志

附件:SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

导入 RegRipper3.0

RegRipper3.0 是一个功能强大且易于使用的注册表解析工具
项目地址:https://github.com/keydet89/RegRipper3.0

image-20240705094529087

运行后会生成对应结果,搜索关键词Admin即可

Username        : user_7565 [1302]
SID             : S-1-5-21-3540531501-39330331-37505187-1302
Full Name       : 
User Comment    : 
Account Type    : Default Admin User
Account Created : Fri Jun 28 12:59:04 2024 Z
Name            :  
Last Login Date : Never
Pwd Reset Date  : Fri Jun 28 12:59:04 2024 Z
Pwd Fail Date   : Never
Login Count     : 0
  --> Normal user account

grodno{user_7565}

#Banishment

哪些员工被解雇了?我记得的最后一件事是,他的帐户被删除了。表格user_x帐户
格式为 grodno{user_x} 的标志

附件:SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

Series SAM

您的任务是提取 Tilen2000 用户的密码
标志格式: grodno{password_plain_text}
例如,grodno

附件:Tilen.rar

解压是SYSTEM以及ntds.dit

在渗透测试的过程中,当我们已经是域管权限时就可以实现提取所有域内用户的密码哈希以进行离线破解和分析,这是非常常见的一个操作,这些哈希值存储在域控制器(NTDS.DIT)中的数据库文件中,并带有一些其他信息,例如:用户名、散列值、组、GPP、OU等于活动目录相关的信息

impacket-secretsdump -system /root/桌面/SYSTEM -ntds /root/桌面/ntds.dit LOCAL -history

搜索用户名Tilen2000,得到hash

Tilen2000:2649:aad3b435b51404eeaad3b435b51404ee:c0720d115b8b326aca0d9b95f0eca86e:::

md5解密

image-20240705093713014

grodno{password_Hello123}

RDP

来自哪个国家/地区的用户通过 RDP 连接?
旗帜格式: grodno

附件:Logs.zip

参考:https://blog.csdn.net/travelnight/article/details/122854895

对于RDP日志溯源,一般重点关注security.evtx、setup.evtx、system.evtx这三个日志

还有Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

image-20240915003602970

https://search.censys.io/hosts/103.109.92.4

image-20240915003759579

grodno{Bangladesh}

Videomaker

关键在其中一个视频中

附件:Video.rar

直接分离即可

foremost -T 2.mp4

image-20240915013925388

grodno{video_recovery}

SAMBO wrestler

从哪个 IP 获得对网络文件夹的访问?
格式为 grodno{xxx.xxx.xxx.xxx} 的标志

附件:shar.zip

参考:https://www.cnblogs.com/hetianlab/p/15061694.html

查看Security.evtx

image-20240915010105197

grodno{103.109.92.5}

FTP

查找您的 FTP 密码。
标志格式:grodno

附件:FTP_connection.rar

是dll文件,使用dnSpy反编译查看代码,发现password

image-20240915005218974

grodno{12345_ftp_ctf}

Image

密钥隐藏在 Image 中。探索图像以查找密钥。必须在 Image 中搜索密钥
格式为 grodno{name} 的标志

附件:Image.rar

发现在Images文件夹中图片0被删了,但是有Thumbs.db。

image-20240915004319536

Thumbs.db是一个用于MicrosoftWindows XP 或mac os x缓存Windows Explorer的缩略图的文件。把他恢复出来

工具:https://thumbsviewer.github.io/

image-20240915004821823

grodno{image_in_thumbnail}

Admin

我自己也是一名数据库管理员。
格式为 grodno{key_to_database} 的标志

附件:Disk_G.rar

image-20240915014154685

数据库文件

dd if=Disk_G bs=552960 skip=1 of=Disk_G.db

关于这个命令,分享一篇文章:https://cloud.tencent.com/developer/article/2142280

但为什么是这个bs=552960值还是不太懂。。有佬会的话教教

image-20240915020724367

grodno{DataBase_key}

Confusion

有必要将文件存档,反之亦然
格式为 grodno{text} 的标志

附件:Doc1.docx

docx改zip

image-20240915010438941

image-20240915010537624

rar有密码,rar2john6+john

rar2john download.rar > hash
john --incremental:digits hash

image-20240915012145523

grodno{ctf_zip_key}

#Key

有了这个exe,一切都那么简单吗?
格式为 grodno{text} 的标志

附件:

#Lost

我丢失了存储标志的手机,请帮我找到它。

附件:__ctf_key.exe

posted @   Mar10  阅读(36)  评论(0编辑  收藏  举报
相关博文:
· DownUnderCTF 2024 - Forensics
· SHCTF-Week1 个人Writeup
· 2023-2024 Pointer Overflow CTF WP
· LitCTF 2024 -- WP
· BUUCTF Misc Page2-6部分题目
阅读排行:
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
点击右上角即可分享
微信分享提示