“古剑山”初赛Misc 幸运饼干

考点:Chrome的Cookies解密

赛中思路

bandzip极限压缩hint.jpg后打明文攻击

压缩包密码:sv@1v3z

┌──(rootkali)-[~/桌面]

└─# file Cookies

Cookies: SQLite 3.x database, last written using SQLite version 3030001

SQLite3连接查询

导出encrypted_value BLOB

from os import getenv

import sqlite3

import binascii

conn = sqlite3.connect("Cookies")

cursor = conn.cursor()

cursor.execute('select encrypted_value BLOB from cookies')  # 导出encrypted_value BLOB字段

for result in cursor.fetchall():

    print(result)

    print (binascii.b2a_hex(result[0]))

    f = open('save.txt', 'wb')  # 保存为save.txt

    f.write(result[0])

    f.close()

admin.txt是mimikatz运行结果,密码没爆出来,只有ntlm

NTLM     : 786515ed10d6b79e74c1739f72a158cc

hashcat爆破

hashcat.exe -m 1000 -a 0 786515ed10d6b79e74c1739f72a158cc .\demo\rockyou.txt

得到密码54231

S-1-5-21-726299542-2485387390-1117163988-1001是Master Key file

User SID是S-1-5-21-726299542-2485387390-1117163988-1001

Windows Password Recovery恢复,选择Utils->DPAPI Decoder and Analyser->Decrypt DPAPI data blob

得到前半段flag:flag{mimik

参考文章:

https://blog.csdn.net/qq_38154820/article/details/106330148

https://blog.csdn.net/Onlyone_1314/article/details/113848990

赛中就到这为止,赛后在jiaqiniuZ3n1th师傅帮助下成功复现

复盘

其实不用这么麻烦,重新整理一下思路

在明文攻击之后,现已知的数据有

Master Key file:S-1-5-21-726299542-2485387390-1117163988-1001

User SID:S-1-5-21-726299542-2485387390-1117163988-1001

NTLM: 786515ed10d6b79e74c1739f72a158cc

首先肯定是对NTLM解密得到password,这里直接用在线网站: Ntlm Decrypt & Encrypt Online

得到password:54231

解题点是对Cookies的解密,那么综上的各个信息可以利用mimikatz破解

第一步:得到masterkey,即MimiKatz读取 DPAPI 加密密钥

Master Key:

64字节,用于解密DPAPI blob,使用用户登录密码、SID和16字节随机数加密后保存在Master Key file中

Master Key file:

二进制文件,可使用用户登录密码对其解密,获得Master Key

D:\forensics\mimikatz\x64>mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36

 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)

 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )

 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz

 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )

  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz # dpapi::masterkey /in:.\demo\e5f8e386-7041-4f16-b02d-304c71040126 /sid:S-1-5-21-726299542-2485387390-1117163988-1001 /password:54231 /protected

**MASTERKEYS**

  dwVersion          : 00000002 - 2

  szGuid             : {e5f8e386-7041-4f16-b02d-304c71040126}

  dwFlags            : 00000005 - 5

  dwMasterKeyLen     : 000000b0 - 176

  dwBackupKeyLen     : 00000090 - 144

  dwCredHistLen      : 00000014 - 20

  dwDomainKeyLen     : 00000000 - 0

[masterkey]

  **MASTERKEY**

    dwVersion        : 00000002 - 2

    salt             : 878dd8440a0e80ff0ecfcc13da57d1ec

    rounds           : 00001f40 - 8000

    algHash          : 0000800e - 32782 (CALG_SHA_512)

    algCrypt         : 00006610 - 26128 (CALG_AES_256)

    pbKey            : a5fbc1213adb93e582b8cc53aaa107798e15041a497e644b2ef630f72855990d3f4cca62e967d80679e9903e64aaee91e82656b179dbbb25ff809f52b0b08a6458ba1337820ef34b0107ffc03a1481d26f5d627aa1607a17833f6fdf801c818f184fd7461bdd64e55c2d7844ee87f610945377c032d8334c82a780a5f253d65d9daa10d1096e1de44f81d440d8b5b5a4

[backupkey]

  **MASTERKEY**

    dwVersion        : 00000002 - 2

    salt             : 8ff5a6cd081af8648c2d286a5818d26b

    rounds           : 00001f40 - 8000

    algHash          : 0000800e - 32782 (CALG_SHA_512)

    algCrypt         : 00006610 - 26128 (CALG_AES_256)

    pbKey            : e47dedb2912cf83ce3683410ea6d95bc4b19440840ef1398e4232dd62a7d0c6b5690e56ed2a33d8e872018574bf74789f4528a0463eeb322b0dc3b36ff855c207dd4392b7a0df71087b5eaba379aeb93fb635d1e589660c08c09d3abd1c4fa4d4db2e805e52621081629d9e6a8acd741

[credhist]

  **CREDHIST INFO**

    dwVersion        : 00000003 - 3

    guid             : {70a2dbe6-bd4e-407b-86e1-744f01fb3833}

[masterkey] with password: 54231 (protected user)

  key : 7a4d2ffbb42d0a1ab46f0351260aef16cae699e03e9d6514b3bf10e2977c5d228fda4a48e39b7b8a06a443c39653c2a3c3656596e7edc84e1c9682511c8343ac

  sha1: 0da593d6efa52b90e548a703de74359cf355703a

成功得到masterkey,下一步是用masterkey解密Chrome的Cookies

mimikatz # dpapi::chrome /in:./demo/Cookies /masterkey: 7a4d2ffbb42d0a1ab46f0351260aef16cae699e03e9d6514b3bf10e2977c5d228fda4a48e39b7b8a06a443c39653c2a3c3656596e7edc84e1c9682511c8343ac

Host  : www.baidu.com ( / )

Name  : flag

Dates : 2020/8/27 20:59:52 -> 2030/1/1 8:00:01

 * volatile cache: GUID:{e5f8e386-7041-4f16-b02d-304c71040126};KeyHash:0da593d6efa52b90e548a703de74359cf355703a

Cookie: flag{mimikatz_is_bravo_cvuwjr}

得到flag

参考文章:

https://www.cnblogs.com/-zhong/p/15744408.html

https://xz.aliyun.com/t/9810#

“古剑山”初赛Misc 幸运饼干的更多相关文章

  1. LINUX命令总结 -------来自 水滴娃娃 的CSDN

    LINUX命令总结 标签: LINUX命令总结 2014-01-27 15:54 41039人阅读 评论(1) 收藏 举报  分类: linux(1)  版权声明:本文为博主原创文章,未经博主允许不得 ...

  2. express-2 express介绍

    脚手架 大多数项目都需要一定数量的"套路化"代码,所有可以创建一个通用的项目骨架,每次开始新项目时,只需复制这个骨架,或者说是模板. RoR把这个概念向前推进了一步,它提供了一个可 ...

  3. 学习express(一)

    菜鸟教程简介:Express 是一个简洁而灵活的 node.js Web应用框架, 提供了一系列强大特性帮助你创建各种 Web 应用,和丰富的 HTTP 工具. 使用 Express 可以快速地搭建一 ...

  4. 幸运数字(number)

    幸运数字(number) Time Limit:1000ms   Memory Limit:64MB [题目描述] LYK最近运气很差,例如在NOIP初赛中仅仅考了90分,刚刚卡进复赛,于是它决定使用 ...

  5. <路径算法>哈密顿路径变种问题(2016华为软件精英挑战赛初赛)

    原创博客,转载请联系博主! 前言:几天前华为的这个软件精英(算法外包)挑战赛初赛刚刚落幕,其实这次是我第二次参加,只不过去年只入围到了64强(32强是复赛线),最后搞到了一个华为的一顶帽子(感谢交大l ...

  6. 华南师大 2017 年 ACM 程序设计竞赛新生初赛题解

    题解 被你们虐了千百遍的题目和 OJ 也很累的,也想要休息,所以你们别想了,行行好放过它们,我们来看题解吧... A. 诡异的计数法 Description cgy 太喜欢质数了以至于他计数也需要用质 ...

  7. JZOJ 1492. 烤饼干

    1492. 烤饼干 (Standard IO) Description NOIP烤饼干时两面都要烤,而且一次可以烤R(1<=R<=10)行C(1<=C<=10000)列个饼干, ...

  8. Java经典面试题-不古出品

    @ 目录 一.Java 基础 1.JDK 和 JRE 有什么区别? 2.== 和 equals 的区别是什么? 3.两个对象的 hashCode()相同,则 equals()也一定为 true,对吗? ...

  9. SCNU ACM 2016新生赛初赛 解题报告

    新生初赛题目.解题思路.参考代码一览 1001. 无聊的日常 Problem Description 两位小朋友小A和小B无聊时玩了个游戏,在限定时间内说出一排数字,那边说出的数大就赢,你的工作是帮他 ...

  10. 2016百度之星 初赛2A ABEF

    只做了1001 1002 1005 1006.剩下2题可能以后补? http://acm.hdu.edu.cn/search.php?field=problem&key=2016%22%B0% ...

随机推荐

  1. C语言:单链表删除学生信息,增加学生信息(简易版)

    假设用户都是正常的,不会输入一些乱七八糟的东西. 功能1:输出学生学号和成绩,用动态连链表来存放,继续存放学生信息的时候可以继续输入之前输入过的学号信息,打印的时候会分开打印(因为是简易版本,没有太完 ...

  2. 使用 JS 实现在浏览器控制台打印图片 console.image()

    在前端开发过程中,调试的时候,我门会使用 console.log 等方式查看数据.但对于图片来说,仅靠展示的数据与结构,是无法想象出图片最终呈现的样子的. 虽然我们可以把图片数据通过 img 标签展示 ...

  3. selenium 滚动截图参考

    Selenium本身并不直接支持滚动截图,但是你可以通过编程方式实现滚动截图.下面是一个Python的例子,使用Selenium和PIL库实现滚动截图: from selenium import we ...

  4. winform 绘图控件 chart 实时曲线图

    官方教程:http:////files.cnblogs.com/files/HelloQLQ/Winform图表.rar 更多参考:https://blog.csdn.net/boxuming/art ...

  5. 开发者说PaddleOCR的.NET封装与应用部署

  6. kubeadm部署高可用版Kubernetes1.21[基于centos7.6]

    1. 基础环境规划: 主机名 IP地址 节点说明 k8s-node01 192.168.1.154 node1节点 k8s-node02 192.168.1.155 node2节点 master01 ...

  7. 使用python获取房价信息

    从贝壳网获取房价信息. 基本的步骤和我的这篇博文一样:https://www.cnblogs.com/mrlayfolk/p/12319414.html.不熟悉的可参考一下. 下面的代码是获取3000 ...

  8. LeetCode 719. 找出第 k 小的距离对 (Java)

    题目: 给定一个整数数组,返回所有数对之间的第 k 个最小距离.一对 (A, B) 的距离被定义为 A 和 B 之间的绝对差值. 示例 1: 输入:nums = [1,3,1]k = 1输出:0 解释 ...

  9. HTML/CSS复习

    CSS复习 HTML语义化 有利于SEO(搜索引擎优化) 便于阅读,修改 对盲人等不方便浏览网页的人来说比较方便 盒模型 盒模型有border-box和content-box两种,默认是content ...

  10. js沙雕排序之睡眠排序&随机排序

    1.睡眠排序,只要睡的时间多少就可以排序出来不要在乎时间多少 var arr=[4,77,741,41,142,52,244]; var sleepSort=function(arr,callback ...