360ctf流量分析题wp

题目附件下载:ok.pcapng

刚开始直接看底下的流量发现无法解密,又回过头去看最开始的地方

发现最开始的post到/upload.php的包传了个加密shell上去,之后get了两次pass参数是为了获取key

mark

直接看?pass=790的拿到shell的$key

mark

mark

然后写个简单的脚本来解密

mark

然后把最后全部解码后的代码全部放到一个文件里开始找线索,发现了三个有用的点

  • 1.读取了桌面的password.txt,内容为p@ssw0rd

    mark

  • 2.下载了C:/Users/shadow/AppData/Local/Google/Chrome/User Data/Default/Cookies中的cookie文件

    mark

  • 3.最后下载了C:/Users/shadow/AppData/Roaming/Microsoft/Protect/S-1-5-21-2127750816-4215895028-2373289296-1001/路径中的6ecf76bd-1803-437e-92e6-28dd36c907aa文件

    mark

然后再谷歌搜了一下,找到一篇文章:https://www.kraftkennedy.com/roaming-internet-explorer-chrome-user-saved-passwords-ue-v/,发现下载的是保存了密码的文件,然后继续谷歌搜DPAPI,发现可以用mimikatz来解密cookie

贴几篇参考的文章:

https://www.anquanke.com/post/id/158667#h3-3

https://bbs.pediy.com/thread-247634-1.htm

https://www.4hou.com/technology/10477.html

https://xz.aliyun.com/t/6508

https://www.4hou.com/technology/10477.html

整理一下我们现在知道的信息,我们现在拿到了用户的明文密码,拿到了加密过的cookie,还有最后下载下来的masterkey file,但是如果要解密的话需要拿到系统的master key。经过几个小时的尝试均不能成功解密,一直遇到mimikatz闪退的情况,但感觉思路没错,因为解密cookie的时候提示需要masterkey

mark

同时也确定了用masterkeyfile和password就可以拿到masterkey,但要处理掉mimikatz闪退的问题,后来发现是dump下来的文件的字节流都多了一点点,6ecf76bd-1803-437e-92e6-28dd36c907aa文件应该是468个字节

调整前:

mark

调整后:

mark

还要注意一点就是目录和原来必须一模一样。。不然只能获取到pbkey无法获取masterkey。。

然后成功获取到了masterkey:

mark

同样的套路修改cookie文件,然后拿到flag:

mark