“古剑山”初赛Misc 幸运饼干

考点:Chrome的Cookies解密

赛中思路

bandzip极限压缩hint.jpg后打明文攻击

压缩包密码:sv@1v3z

┌──(rootkali)-[~/桌面]

└─# file Cookies

Cookies: SQLite 3.x database, last written using SQLite version 3030001

SQLite3连接查询

导出encrypted_value BLOB

from os import getenv

import sqlite3

import binascii

conn = sqlite3.connect("Cookies")

cursor = conn.cursor()

cursor.execute('select encrypted_value BLOB from cookies')  # 导出encrypted_value BLOB字段

for result in cursor.fetchall():

    print(result)

    print (binascii.b2a_hex(result[0]))

    f = open('save.txt', 'wb')  # 保存为save.txt

    f.write(result[0])

    f.close()

admin.txt是mimikatz运行结果,密码没爆出来,只有ntlm

NTLM     : 786515ed10d6b79e74c1739f72a158cc

hashcat爆破

hashcat.exe -m 1000 -a 0 786515ed10d6b79e74c1739f72a158cc .\demo\rockyou.txt

得到密码54231

S-1-5-21-726299542-2485387390-1117163988-1001是Master Key file

User SID是S-1-5-21-726299542-2485387390-1117163988-1001

Windows Password Recovery恢复,选择Utils->DPAPI Decoder and Analyser->Decrypt DPAPI data blob

得到前半段flag:flag{mimik

参考文章:

https://blog.csdn.net/qq_38154820/article/details/106330148

https://blog.csdn.net/Onlyone_1314/article/details/113848990

赛中就到这为止,赛后在jiaqiniuZ3n1th师傅帮助下成功复现

复盘

其实不用这么麻烦,重新整理一下思路

在明文攻击之后,现已知的数据有

Master Key file:S-1-5-21-726299542-2485387390-1117163988-1001

User SID:S-1-5-21-726299542-2485387390-1117163988-1001

NTLM: 786515ed10d6b79e74c1739f72a158cc

首先肯定是对NTLM解密得到password,这里直接用在线网站: Ntlm Decrypt & Encrypt Online

得到password:54231

解题点是对Cookies的解密,那么综上的各个信息可以利用mimikatz破解

第一步:得到masterkey,即MimiKatz读取 DPAPI 加密密钥

Master Key:

64字节,用于解密DPAPI blob,使用用户登录密码、SID和16字节随机数加密后保存在Master Key file中

Master Key file:

二进制文件,可使用用户登录密码对其解密,获得Master Key

D:\forensics\mimikatz\x64>mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36

 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)

 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )

 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz

 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )

  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz # dpapi::masterkey /in:.\demo\e5f8e386-7041-4f16-b02d-304c71040126 /sid:S-1-5-21-726299542-2485387390-1117163988-1001 /password:54231 /protected

**MASTERKEYS**

  dwVersion          : 00000002 - 2

  szGuid             : {e5f8e386-7041-4f16-b02d-304c71040126}

  dwFlags            : 00000005 - 5

  dwMasterKeyLen     : 000000b0 - 176

  dwBackupKeyLen     : 00000090 - 144

  dwCredHistLen      : 00000014 - 20

  dwDomainKeyLen     : 00000000 - 0

[masterkey]

  **MASTERKEY**

    dwVersion        : 00000002 - 2

    salt             : 878dd8440a0e80ff0ecfcc13da57d1ec

    rounds           : 00001f40 - 8000

    algHash          : 0000800e - 32782 (CALG_SHA_512)

    algCrypt         : 00006610 - 26128 (CALG_AES_256)

    pbKey            : a5fbc1213adb93e582b8cc53aaa107798e15041a497e644b2ef630f72855990d3f4cca62e967d80679e9903e64aaee91e82656b179dbbb25ff809f52b0b08a6458ba1337820ef34b0107ffc03a1481d26f5d627aa1607a17833f6fdf801c818f184fd7461bdd64e55c2d7844ee87f610945377c032d8334c82a780a5f253d65d9daa10d1096e1de44f81d440d8b5b5a4

[backupkey]

  **MASTERKEY**

    dwVersion        : 00000002 - 2

    salt             : 8ff5a6cd081af8648c2d286a5818d26b

    rounds           : 00001f40 - 8000

    algHash          : 0000800e - 32782 (CALG_SHA_512)

    algCrypt         : 00006610 - 26128 (CALG_AES_256)

    pbKey            : e47dedb2912cf83ce3683410ea6d95bc4b19440840ef1398e4232dd62a7d0c6b5690e56ed2a33d8e872018574bf74789f4528a0463eeb322b0dc3b36ff855c207dd4392b7a0df71087b5eaba379aeb93fb635d1e589660c08c09d3abd1c4fa4d4db2e805e52621081629d9e6a8acd741

[credhist]

  **CREDHIST INFO**

    dwVersion        : 00000003 - 3

    guid             : {70a2dbe6-bd4e-407b-86e1-744f01fb3833}

[masterkey] with password: 54231 (protected user)

  key : 7a4d2ffbb42d0a1ab46f0351260aef16cae699e03e9d6514b3bf10e2977c5d228fda4a48e39b7b8a06a443c39653c2a3c3656596e7edc84e1c9682511c8343ac

  sha1: 0da593d6efa52b90e548a703de74359cf355703a

成功得到masterkey,下一步是用masterkey解密Chrome的Cookies

mimikatz # dpapi::chrome /in:./demo/Cookies /masterkey: 7a4d2ffbb42d0a1ab46f0351260aef16cae699e03e9d6514b3bf10e2977c5d228fda4a48e39b7b8a06a443c39653c2a3c3656596e7edc84e1c9682511c8343ac

Host  : www.baidu.com ( / )

Name  : flag

Dates : 2020/8/27 20:59:52 -> 2030/1/1 8:00:01

 * volatile cache: GUID:{e5f8e386-7041-4f16-b02d-304c71040126};KeyHash:0da593d6efa52b90e548a703de74359cf355703a

Cookie: flag{mimikatz_is_bravo_cvuwjr}

得到flag

参考文章:

https://www.cnblogs.com/-zhong/p/15744408.html

https://xz.aliyun.com/t/9810#

“古剑山”初赛Misc 幸运饼干的更多相关文章

  1. LINUX命令总结 -------来自 水滴娃娃 的CSDN

    LINUX命令总结 标签: LINUX命令总结 2014-01-27 15:54 41039人阅读 评论(1) 收藏 举报  分类: linux(1)  版权声明:本文为博主原创文章,未经博主允许不得 ...

  2. express-2 express介绍

    脚手架 大多数项目都需要一定数量的"套路化"代码,所有可以创建一个通用的项目骨架,每次开始新项目时,只需复制这个骨架,或者说是模板. RoR把这个概念向前推进了一步,它提供了一个可 ...

  3. 学习express(一)

    菜鸟教程简介:Express 是一个简洁而灵活的 node.js Web应用框架, 提供了一系列强大特性帮助你创建各种 Web 应用,和丰富的 HTTP 工具. 使用 Express 可以快速地搭建一 ...

  4. 幸运数字(number)

    幸运数字(number) Time Limit:1000ms   Memory Limit:64MB [题目描述] LYK最近运气很差,例如在NOIP初赛中仅仅考了90分,刚刚卡进复赛,于是它决定使用 ...

  5. <路径算法>哈密顿路径变种问题(2016华为软件精英挑战赛初赛)

    原创博客,转载请联系博主! 前言:几天前华为的这个软件精英(算法外包)挑战赛初赛刚刚落幕,其实这次是我第二次参加,只不过去年只入围到了64强(32强是复赛线),最后搞到了一个华为的一顶帽子(感谢交大l ...

  6. 华南师大 2017 年 ACM 程序设计竞赛新生初赛题解

    题解 被你们虐了千百遍的题目和 OJ 也很累的,也想要休息,所以你们别想了,行行好放过它们,我们来看题解吧... A. 诡异的计数法 Description cgy 太喜欢质数了以至于他计数也需要用质 ...

  7. JZOJ 1492. 烤饼干

    1492. 烤饼干 (Standard IO) Description NOIP烤饼干时两面都要烤,而且一次可以烤R(1<=R<=10)行C(1<=C<=10000)列个饼干, ...

  8. Java经典面试题-不古出品

    @ 目录 一.Java 基础 1.JDK 和 JRE 有什么区别? 2.== 和 equals 的区别是什么? 3.两个对象的 hashCode()相同,则 equals()也一定为 true,对吗? ...

  9. SCNU ACM 2016新生赛初赛 解题报告

    新生初赛题目.解题思路.参考代码一览 1001. 无聊的日常 Problem Description 两位小朋友小A和小B无聊时玩了个游戏,在限定时间内说出一排数字,那边说出的数大就赢,你的工作是帮他 ...

  10. 2016百度之星 初赛2A ABEF

    只做了1001 1002 1005 1006.剩下2题可能以后补? http://acm.hdu.edu.cn/search.php?field=problem&key=2016%22%B0% ...

随机推荐

  1. Spring环境获取Spring的Bean

    一.测试数据准备 /* Navicat Premium Data Transfer Source Server : swp-mysql Source Server Type : MySQL Sourc ...

  2. three.js教程3-模型对象、材质material

    1.Object3D的position和scale是三维向量Vector3 因此模型的位置和缩放等变化,也是使用Vector3的属性和方法实现,查询文档Vector3. 三维向量Vector3有xyz ...

  3. form-create-designer-naiveui

    这个是 Vue3 版本 form-create-designer-naiveui 是基于 @form-create/naive-ui vue3版本实现的表单设计器组件.可以通过拖拽的方式快速创建表单, ...

  4. Python读Excel数据自动化填入日常办公的网页表单

      前言 本篇内容,让你完全掌握Python是如何自动化办公的~ 一.环境准备 1.1  Python 3.7.0 1.2  Pycharm  (Python 开发工具) 1.3 Selenium  ...

  5. CF527E Data Center Drama 题解

    目录 题目 题意 题解 思路 详解 注意事项 代码 AC 记录 尾声 题目 CF527E Data Center Drama · 戳这里 题意 给定一张 $n$ 个点 $m$ 条边的连通无向图. 你需 ...

  6. Swoole 源码分析之 Http Server 模块

    首发原文链接:Swoole 源码分析之 Http Server 模块 Swoole 源码分析之 Http Server 模块 Http 模块的注册初始化 这次我们分析的就是 Swoole 官网的这段代 ...

  7. MR+meta分析的摘录

    第四篇公众号:来自微信 天桥下的卖艺者 零基础说科研,仅为个人学习用,如有侵权,可以删除 吸烟没什么创意,唯一的创意就是加入了MR和meta分析,作者显示介绍吸烟与多种疾病之间的因果关系扔不明确, 第 ...

  8. Android启动过程-万字长文(Android14)

    在计算机启动过程和Linux内核Kernel启动过程介绍了计算机启动和内核加载,本篇文章主要介绍Android系统是如何启动的. 一.Android启动流程 Android系统的启动流程与Linux接 ...

  9. CMake官网教程学习

    简介 本文档是根据CMake的官方教程学习的笔记,同时将教程中C++实现的代码更改为C语言实现.当前还未学习完. 教程官网:CMake Tutorial - CMake 3.27.0-rc1 Docu ...

  10. python 如何判断一组数呈上升还是下降趋势

    1. python 判断一组数呈上升还是下降趋势的方法 要判断一组数(数列)是呈上升趋势.下降趋势还是无明显趋势,我们可以比较数列中相邻元素的差值.如果大部分差值都是正数,则数列呈上升趋势:如果大部分 ...