记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ShmooCon Ticket Contest 解题过程(Writeup)

2014-12-26 22:25

分享到:

: 思路大部分来自http://www.projectmentor.net/2014/12/shmoocon-ticket-contest-writeup.html

通过https://mega.co.nz/#!wso0AIJL!si9Q9PsaBrImsQPd6fpOyAl2ykaefMS1AK01Ysg4p9M 下载回来的evil.exe,我们先使用strings查看下

t01f30018bccaa4dcc3.png

图1

strings –n10 evil.exe


通过返回的信息可以看到有用户名,域名,IP地址,还有一串可疑的字符串“IT IS BETWEEN THE NULL BYTES”

Administrator
EXPLOITS.LOCAL
<<<<<<<<< IT IS BETWEEN THE NULL BYTES!!+2
Administrator
EXPLOITS.LOCAL
<<<<<<<<< IT IS BETWEEN THE NULL BYTES!!c?
YT1CTy*=tS
104.236.163.121


再使用xxd看一下evil.exe的十六进制找更多的线索

t013dcfb1a7307a9f74.png

xxd evil.exe > evil_hexdump


NULL字符的十六进制就是00,根据刚才strings看到的,可以得到下面这串hash

5f69 6258 dce9 ff60 6bf3 fb3d 1a3b 86f9

通过使用hashid或者Hash-Identifier这种工具来识别哈希类型

t016097529c55a064da.png

工具下载地址:

git clone https://github.com/psypanda/hashid.git

git clone https://github.com/Miserlou/Hash-Identifier.git

分析出哈希类型是“Domain Cached Credentials”,根据刚才strings出的字符串线索,有用户名,域名,也能进一步确定是域缓存哈希,可以使用join或者hashcat来破解出明文

t012b407a0e65e89efd.png

得到明文密码是welcome1,这个evil.exe没有输入的地方,访问strings里出来的http://104.236.163.121/,查看网页源码,访问http://104.236.163.121/shmoo_opensteg.png

t01649d4ae388779134.png

xxd查看png文件,没有发现异常,估计是隐写,下载openstego分析:

git clone https://github.com/seglo/openstego.git

是使用的常见的LSB算法隐写,用openstego释放出README.TXT文件

t01419779ab413711d6.png

通过阅读README.TXT发现是pyftpd的说明文档,端口扫描下104.236.163.121

t013962c1231d196e74.png

得知2121端口正是pyftpd监听的FTP服务端口。上网搜索pyftpd历史漏洞,找到http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2073,漏洞描述里说auth_db_config.py里存在硬编码后的账户

t01636ffaedb83a3584.png

但是账号是加密的,通过auth_db_module.py查看md5hash函数

def md5hash(s):
    m = md5.new()
    m.update(s)
    return string.strip(binascii.b2a_base64(m.digest()))
ItZ2pB7rPmzFV6hrtdnZ7A==


转换,解密:

binascii.b2a_hex(binascii.a2b_base64('ItZ2pB7rPmzFV6hrtdnZ7A=='))


t019a5c8236cd3500e6.png

使用roxon:noxor登录104.236.163.121的2121,下载

Acrobatics Earthliest Subinfeudatorys Enchanted Creative Broad.data

文件回来(这里它的FTP只允许同时2个用户登录,我一直没下载回来,就用writeup里的图吧)

根据文件名提示,AESECB,知道是AES算法,ECB模式,但是有没有填充,多少位加密的,不知道,手工使用openssl遍历解密下,反正也就大概最多试6次左右。

测试到:

Openssl aes-128-ecb –d –in Acrobatics Earthliest Subinfeudatorys Enchanted Creative Broad.data –d nopad –k

十六进制编码的welcome1

解密成功

http://pic1.hackdig.com/pictures/month_1412/201412262225221004.png

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.projectmentor.net/2014/12/shmoocon-ticket-contest-writeup.html

知识来源: bobao.360.cn/learning/detail/166.html

阅读:87709 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“ShmooCon Ticket Contest 解题过程(Writeup)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云