文章详细描述了一系列网络安全取证的过程,包括网站文件的解压和分析,使用AESCBC加密的密码解密,代码审计查找敏感信息,计算机内存取证获取BitLocker密码,以及手机数据和网络流量的分析,从中提取NTLMhash等关键信息。
网站取证
1.网站取证_1
拿到一个
解压WWW,发现里面有脏东西,用火绒直接杀
明显的flag
2.网站取证_2
打开WWW文件,这里一般是存数据库连接的文件
打开后发现这个
密码是my_encrypt()这个函数加密的,然后去找这个函数
打开后看一下
看不懂,直接GPT
就是说这个使用AES的CBC加密,然后密钥是PanGuShi,使用base64加密,然后偏移量是PanGuShi的SHA1的前16位
3.网站取证_3
就是纯代码审计了,一点点看代码
最后在www/application/admin/model/Channelorderlist中找到
也没有明确的告诉这就是盐值,但是看他的代码描述,拿去试了一试,果然正确
4.网站取证_4
可知张宝是3,然后王子豪是5
然后看下面这个发现最后这个应该是钱数,然后倒数第二位是3,倒数第三位是5就是所要的
需要从网上找一个脚本然后来计算,记住还要盐值去掉
脚本这里就不找了,写了好几个也没搞出来
程序分析
5.程序分析_1
6.程序分析_2
7.程序分析_3
查看主函数,看到decode字样,试一下,果然是flag
8.程序分析_4
然后我们查看这个d.a.a.c.a.a
发现这个类就是a
计算机取证
9.计算机取证_1
拿到手以后是一个这些
问内存,那就先用vol呗
拿到版本,然后指令跑密码
MD5破解一下
拿到密码
10.计算机取证_2
直接跑进程
从下往上看,发现MagnetRAMCaptu这个进程不知道是什么,直接去搜一下
那就是这个喽,2192
11.计算机取证_3
直接用passware结合内存找BitLocker密码
然后拿到密钥以后去火眼挂镜像,解密
拿到四个文件
解压出来以后,发现有一个密码本,然后3和4都加密,我们猜测密码是用来爆破的,然后直接爆
用passware字典爆破要先导入密码本,在这里导入
解密ppt
12.计算机取证_4
我们上一题拿到了四个文档,第四个文档那个新建txt文档,我们猜测他为加密容器,然后我们用EFDD解密TC容器
拿到一个压缩包
发现还有密码,然后我们爆破
手机取证
13.手机取证_1
直接搜这个东西
14.手机取证_2
直接搜姜总
MISC(流量分析)
15.domainhacker(流量分析)
拿到一个流量包
上来先导出http分组看一下
发现里面有一个压缩包,然后导出来
发现他有密码
怀疑是上面的1.php里面有密码
然后导出,发现这么多1.php其实只有application的那种的才有用
打开一个看一眼,发现这个类似base64加密,然后去解密一下
把8m去掉再试一下
这类似是一个指令历史,然后我们把每个1.php这部分都给解密一下,发现有一个解密是这样的
发现了rar,-P是一个指令,然后猜测密码就是SecretsPassw0rds
试了一下果然可以
这个文件是mimikatz抓到的windows账号和密码,NTLM部分就是hash
这一串就是hash
然后思考了一下,这道题我们其实可以过滤TCP流,然后查看发现只有第13个流里面出现了1.rar,然后我们再解密这一部分的就会快很多
16.domainhacker2(流量分析)
用同样的方法,我们拿到手一个压缩包,一个流量包,然后我们分析流量包,导出http查看这次没有发现rar,因为她给我们单独拿出来了,但是还是可以看到很多1.php文件,我们直接去过滤TCP流,然后一点一点的找有没有rar的信息,发现在这个流里面找到了
里面出现了ntds.rar字样,我们找出关键信息,然后base64
拿到了解压密码
然后我们解压出来拿到了三个文件
使用kali渗透密码的指令
| Plain Text |
关于impacket -secretsdump:
提取出了密码
这个就是NTLM的hash
扫一扫
1584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
