Junior.Crypt.2024 CTF - Forensics

Junior.Crypt.2024 CTF - Forensics

部分题目复现参考：

https://blog.jacki.cn/2024/07/05/Junior_Crypt_2024_CTF/#SAMBO-wrestler

https://yocchin.hatenablog.com/entry/2024/07/08/124230

标注“#”表示未复现，日后有机会补上吧

题目地址：https://ctf-spcs.mf.grsu.by/challenges

Admin rights

帮我找出哪个 ACTIVE 帐户具有管理员权限 像 user_xxxx 这样的帐户
格式为 grodno{user_xxxx} 的标志

附件：SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

导入 RegRipper3.0

RegRipper3.0 是一个功能强大且易于使用的注册表解析工具
项目地址：https://github.com/keydet89/RegRipper3.0

运行后会生成对应结果，搜索关键词Admin即可

Username        : user_7565 [1302]
SID             : S-1-5-21-3540531501-39330331-37505187-1302
Full Name       : 
User Comment    : 
Account Type    : Default Admin User
Account Created : Fri Jun 28 12:59:04 2024 Z
Name            :  
Last Login Date : Never
Pwd Reset Date  : Fri Jun 28 12:59:04 2024 Z
Pwd Fail Date   : Never
Login Count     : 0--> Normal user account

grodno{user_7565}

#Banishment

哪些员工被解雇了？我记得的最后一件事是，他的帐户被删除了。表格user_x帐户
格式为 grodno{user_x} 的标志

附件：SAM MD5: 6F3372C2E0F2FE14C007D04C9554723F

Series SAM

您的任务是提取 Tilen2000 用户的密码
标志格式： grodno{password_plain_text}
例如，grodno

附件：Tilen.rar

解压是SYSTEM以及ntds.dit

在渗透测试的过程中，当我们已经是域管权限时就可以实现提取所有域内用户的密码哈希以进行离线破解和分析，这是非常常见的一个操作，这些哈希值存储在域控制器(NTDS.DIT)中的数据库文件中，并带有一些其他信息，例如:用户名、散列值、组、GPP、OU等于活动目录相关的信息

impacket-secretsdump -system /root/桌面/SYSTEM -ntds /root/桌面/ntds.dit LOCAL -history

搜索用户名Tilen2000，得到hash

Tilen2000:2649:aad3b435b51404eeaad3b435b51404ee:c0720d115b8b326aca0d9b95f0eca86e:::

md5解密

grodno{password_Hello123}

RDP

来自哪个国家/地区的用户通过 RDP 连接？
旗帜格式： grodno

附件：Logs.zip

参考：https://blog.csdn.net/travelnight/article/details/122854895

对于RDP日志溯源，一般重点关注security.evtx、setup.evtx、system.evtx这三个日志

还有Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

https://search.censys.io/hosts/103.109.92.4

grodno{Bangladesh}

Videomaker

关键在其中一个视频中

附件：Video.rar

直接分离即可

foremost -T 2.mp4

grodno{video_recovery}

SAMBO wrestler

从哪个 IP 获得对网络文件夹的访问？
格式为 grodno{xxx.xxx.xxx.xxx} 的标志

附件：shar.zip

参考：https://www.cnblogs.com/hetianlab/p/15061694.html

查看Security.evtx

grodno{103.109.92.5}

FTP

查找您的 FTP 密码。
标志格式：grodno

附件：FTP_connection.rar

是dll文件，使用dnSpy反编译查看代码，发现password

grodno{12345_ftp_ctf}

Image

密钥隐藏在 Image 中。探索图像以查找密钥。必须在 Image 中搜索密钥
格式为 grodno{name} 的标志

附件：Image.rar

发现在Images文件夹中图片0被删了，但是有Thumbs.db。

Thumbs.db是一个用于MicrosoftWindows XP 或mac os x缓存Windows Explorer的缩略图的文件。把他恢复出来

工具：https://thumbsviewer.github.io/

grodno{image_in_thumbnail}

Admin

我自己也是一名数据库管理员。
格式为 grodno{key_to_database} 的标志

附件：Disk_G.rar

数据库文件

dd if=Disk_G bs=552960 skip=1 of=Disk_G.db

关于这个命令，分享一篇文章：https://cloud.tencent.com/developer/article/2142280

但为什么是这个bs=552960值还是不太懂。。有佬会的话教教

grodno{DataBase_key}

Confusion

有必要将文件存档，反之亦然
格式为 grodno{text} 的标志

附件：Doc1.docx

docx改zip

rar有密码，rar2john6+john

rar2john download.rar > hash
john --incremental:digits hash

grodno{ctf_zip_key}

#Key

有了这个exe，一切都那么简单吗？
格式为 grodno{text} 的标志

附件：

#Lost

我丢失了存储标志的手机，请帮我找到它。

附件：__ctf_key.exe