时间:2025-04-03 18:28
人气:
作者:admin
首先使用ftk-image挂载ad1文件 ヽ(*。>Д<)o゜
找到证书相关的日志存放位置,一般
在C:\Windows\System32\winevt\Logs\Microsoft-Windows-CertificateServicesClient-Lifecycle-System%4Operational.evtx
我是先去分析提取 C:\Windows\System32\CertSrv 和 C:\Windows\System32\winevt\Logs 目录下的证书和日志文件
可以从ftkimage将这两个目录提取出来然后进行分析,但是我一番寻找,发现上面并没有特别的证书,日志也没有信息啊(っ °Д °;)っ
所以我们选择去找证书的CA数据库,在C___NONAME [NTFS]\[root]\Windows\System32\CertLog目录下找到hack-CA.edb文件
然后用官方文件夹中的工具ESEDatabaseView.exe打开,翻找发现有一个很奇怪的证书o(≧口≦)o
在RequestAttributes里面发现RequestID=3时的名字值为MyTem
然后加上序列号,尝试提交,发现正确
flag为MyTem-5400000003eedab5344b2e5da5000000000003
查看windows安全日志,具体路径为C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender/Operational
打开该日志文件后查看,筛选查看相关事件,事件ID:1116(检测到恶意文件)、1117(已阻止/隔离文件)(≧∀≦)ゞ
因此路径为C:\Users\Public\e9caab4405a14fb6.exe
没做出来,看了下大佬写的wp,有点繁琐所以未复现(;´д`)ゞ
https://blog.zeroc0077.cn/software2025-writeup/#dc-forensics
这里我们要去查看安全事件日志,
在C:\Windows\System32\winevt\Logs\Security.evtx目录下!!
关键事件:
事件ID 4648:用户显式凭据登录(攻击者可能通过此方式窃取凭据)。
Target Server Name(IP)、Account Name(用户名)。事件ID 4624:成功登录记录,可能包含目标机器的IP和用户名。
事件ID 4672:特权账户登录(域管理员操作)。
事件ID 4727:创建新安全组。
Group Name(用户组名)、Creator Account(操作者账户)。事件ID 4720:创建新用户。
Account Name(用户名)、Account Domain(域)。事件ID 4732:将用户添加到域管理员组(Domain Admins)。
Member Name(被添加的用户名)、Target Group(目标组名)。事件ID 4724:重置用户密码(可能包含密码设置时间戳)。
我们一个个事件查看后,在4727事件里面看到了新建的用户组
再根据这个maintainer用户组去找对应的用户
发现James用户
然后密钥需要我们用john去爆破
先找到位于 \windows\NTDS下 的ntds.dit (不要找错了,我做的时候找错了目录,导致一直没跑出来用户密钥hash)以及位于\windows\system32\config下的SYSTEM
然后将导出的system和ntds.dit文件放到和secretdump.py相同的文件夹下
通过secretdump工具(可以在网上查找进行下载)导出James用户的hash值
语句:python secretsdump.py -system SYSTEM local -ntds ntds.dit
将James用户的hash值保存到一个文件中,然后使用john工具(kali有)进行hash爆破
执行下列语句,用john进行爆破
john 123.txt --wordlist=/usr/share/wordlists/rockyou.txt --format=NT
得到3011liverpool!
因此可以知道flag为maintainer-james-3011liverpool!
关注微信