2025软件安全攻防赛半决赛部分WP

Sky1ie Sky1ie 收录于 WriteUp
 约 1900 字 预计阅读 4 分钟 - 次阅读  

5G消息_TLS

SIP流量中明文传输了sslkey.log

image-20250326083315649

SERVER_HANDSHAKE_TRAFFIC_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 994da7436ac3193aff9c2ebaa3c072ea2c5b704683928e9f6e24d183e7e530386c1dcd186b9286f98249b4dc90d8b795
EXPORTER_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 31882156a3212a425590ce171cb78068ee63e7358b587fed472d45d67ea567d98a079c84867a18665732cf0bfe18f0b0
SERVER_TRAFFIC_SECRET_0 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 1fbf7c07ca88c7c91be9cce4c9051f2f4bd7fb9714920661d026119ebab458db8637089348dd5a92dc75633bdcf43630
CLIENT_HANDSHAKE_TRAFFIC_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 a98fab3039737579a50e2b3d0bbaba7c9fcf6881d26ccf15890b06d723ba605f096dbe448cd9dcc6cf4ef5c82d187bd0
CLIENT_TRAFFIC_SECRET_0 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 646306cb35d94f23e125225dc3d3c727df65b6fcec4c6cd77b6f8e2ff36d48e2b7e92e8f9188597c961866b3b667f405

保存为sslkey.log,wireshark中加入解密TLS

image-20250326083451466

解密后

image-20250326083512153

提取png

%2f

flag:abcdef1234567890deadbeefc0ffeeba

ez_sight

明文攻击,可用winrar仅存储压缩公告.txt

image-20250326083746653

ARCHPR进行明文攻击

image-20250326083948119

得到hash密钥

[ ffe9e9e9 d65f814a f3c468c9 ]

解压得到

image-20250326084136935

由公告内容

各位员工:

为了提升公司的安全管理水平,从即日起,我司将引入AI技术对通行密码进行管理。相关的密码图片内容已整理并放入压缩包中,压缩包的密码将由各部门负责组织发放,请大家留意部门通知。

请注意公司内部AI模型的使用规范:
1.除最后一层外与池化层外其他隐藏层输出均需要通过激活函数
2.至少需要通过两次池化层
3.注意隐藏之间输出数据格式的匹配,必要时对数据张量进行重塑
4.为保证模型准确性,输入图片应转换为灰度图


感谢大家的配合与支持。如有疑问,请随时与人事部联系。

此致

构建模型,参考https://zephyr369.online/software2025/

import torch
import pickle
import torch.nn as nn
import numpy as np
from PIL import Image

class SimpleCNN(nn.Module):
    def __init__(self):
        super(SimpleCNN, self).__init__()

        self.conv1 = nn.Conv2d(1, 32, kernel_size=(3, 3), stride=(1, 1), padding=(1, 1))
        self.pool = nn.MaxPool2d(kernel_size=2, stride=2, padding=0, dilation=1, ceil_mode=False)
        self.conv2 = nn.Conv2d(32, 64, kernel_size=(3, 3), stride=(1, 1), padding=(1, 1))
        self.fc1 = nn.Linear(in_features=3136, out_features=128, bias=True)
        self.fc2 = nn.Linear(in_features=128, out_features=10, bias=True)
        self.actf = nn.ReLU()

    def forward(self, x):
        x = self.conv1(x)
        x = nn.ReLU()(x)
        x = self.pool(x)
        x = self.conv2(x)
        x = nn.ReLU()(x)
        x = self.pool(x)
        x = x.view(3136)
        x = self.fc1(x)
        x = nn.ReLU()(x)
        x = self.fc2(x)
        return x
        
model = torch.load('password.pt')
def check(model, img):
    inp = np.array(img)
    outputs = torch.tensor(inp, dtype=torch.float32).unsqueeze(0) # 不用/255?
    pred = model(outputs)
    #print(pred)
    pred_idx = torch.argmax(pred, dim=0).item()
    return pred_idx
    
result = ''
for i in range(14):
    image = Image.open(f'flag/{i}.bmp').convert('L')
    result += str(check(model, image))
print(result)

运行得到

image-20250326084657120

87857688384085

验证

image-20250326084730663

flag:dart{2855dc9b-b8c2-3c82-86d9-6afa9111b715}

DC-Forensics

FTP挂载ad1

image-20250326085323237

DC-Forensics-1

61261742801912_.pic

C:\Windows\System32\certsrv\CertEnroll中可找到证书

image-20250326090222201

可找到这个证书的序列号

image-20250326090304349

序列号:295cd192f74f97b04e25f5c39d563012

C:\Windows\System32\CertLog中可找到edb数据库文件

image-20250326090456809

在RequestAttributes表中找到模版名:Mytem

image-20250326090856047

Certificates表中对应找到模版的序列号

image-20250326094352549

image-20250326094359762

flag:Mytem-5400000003eedab5344b2e5da5000000000003

DC-Forensics-2

image-20250326192457869

木马被杀毒软件查杀,分析杀软日志

找到

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx

image-20250326192513406

flag:C:\Users\Public\e9caab4405a14fb6.exe

DC-Forensics-3

61281742801915_.pic

DC-Forensics-4

61291742801917_.pic

分析security.evtx日志,找到

C:\Windows\System32\winevt\Logs\Security.evtx

Security.evtx是 Windows 操作系统中安全事件日志(Security Log)的文件路径。这个文件存储了与系统安全相关的所有事件记录,包括用户登录、账户创建、权限更改等。

4720: 账户创建成功
	描述:一个新账户被成功创建。
	详细信息包括账户名称、创建时间等。

4728: 创建安全启用的本地组
	描述:一个安全启用的本地组被创建。
	详细信息包括组名称、创建者等

筛选事件id:4728,发现

image-20250326172751599

管理员账户将用户James加入到了组maintainer中

image-20250326172853331

同时也加入到了域管理员组中

所以

maintainer-james

日志中无法得到密码,利用mimikatz通过sam文件和system文件获得密码

文件存放在

C:\Windows\System32\config

通过mimikatz读取

image-20250326173856571

没抓出来james的hash

通过NTDS.dit和SYSTEM读取密钥

SYSTEM存放着NTDS.dit的秘钥

NTDS.dit是 Windows Active Directory 中的一个关键数据库文件,它存储了域中的用户账户、密码哈希值以及其他安全相关信息。

找到

C:\Windows\NTDS\ntds.dit

windows下,可通过NTDSDump.exe读取

image-20250326175942462

得到

James:3193:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::

跑完发现是错的??

windows下,通过NTDSDumpEX.exe读取

image-20250326185520124

得到

James:3193:aad3b435b51404eeaad3b435b51404ee:9fc8c6507e46caa72039ab6e02c630c0:::

还是错的??

kali下,通过impacket-secretsdump读取

image-20250326190730711

得到

James:3193:aad3b435b51404eeaad3b435b51404ee:9fc8c6b0ac495fa52039ab6e0276a3c3:::

这回没问题了

通过john或者hashcat爆破,字典选择rockyou.txt

image-20250326190903710

得到密码:3011liverpool!

flag:maintainer-james-3011liverpool!

更新于 2025-03-26 
文章
CTF
返回 | 主页
0%