De1CTF2020-Misc Easy Protocol

题目文件链接：easy-protocol
文件列表：

使用file命令查看hint文件
发现文件格式为cab文件，文件中包含一个名为hint.txt的文件，提取出hint文件查看内容
提示文件给出了flag的格式与提示，猜测三个数据包对应flag的三段。接下来使用wireshark依次打开三个数据包文件，一脸懵逼。
仔细查看part3文件，返现存在HTTP协议的数据包，过滤HTTP的包

从数据包交互中发现类似身份认证请求，并且包含Authorization ： NTLM xxx关键字，百度NTLM，发现NTLM为windows上的身份验证协议，并存在漏洞，继续查找相关的漏洞和攻击方式，找到Windows下的密码hash——NTLM hash和Net-NTLM hash介绍。根据文章所述，构造hash值使用hashcat进行爆破。
Hash格式为username::domain:serverchallenge:HMAC-MD5:blob,从数据包中提取相关数据拼接


HMAC-MD5为NTML Response的前32位，blob为剩余的部分，最终得出所要破解的hash为De1CTF2020::TEST:56886f90fcb73ded:b5991cc2a0d585d0f813358eaafc7412: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，提示中说flag的每一部分都为8位纯数字，假设解密后的密码位所需要的flag的part3，则密码必为8位纯数字，使用hashcat+8位纯数字字典进行密码爆破，最终得出

根据part3得出的结果猜测part1与part2是否也是类似的密码爆破思路，随即搜索Kerberos相关的攻击方式，找到Kerberos协议探索系列之扫描与爆破篇与Windows内网协议学习Kerberos篇之ASREQ& ASREP。
分析part1，发现存在关键字为De1CTF2020的数据包

根据之前推测的身份认证的思路过滤Kerberos的数据包

发现存在De1CTF2020的TGS-REQ与TGS-REP，根据之前找的文章所述，尝试进行Kerberoasting攻击，同样利用hashcat进行爆破，根据hashcat的wiki找的所需要的参数和hash格式



构造hash时最后两个字段分别为cipher的前32位和后面的所有，最后得出：
$krb5tgs$23$*De1CTF2020$TEST.LOCAL$part1/De1CTF2020*$b9bac2cd9555738bc4f8a38b7aa3b01d$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，使用hashcat爆破
同理，在part2中找寻类似的关键信息，发现带De1CTF2020的AS-REP数据包，搜索是否有相关的攻击方式，得到Windows内网协议学习Kerberos篇之ASREQ& ASREP，利用AS-REPRoasting方式同样可以获取用户口令，同样使用hashcat爆破，构造hash[email protected]:2a00ca98642914e2cebb2718e79cbfb6$9026dd00f0b130fd4c4fd71a80817ddd5aec619a9b2e9b53ae2309bde0a9796ebcfa90558e8aaa6f39350b8f6de3a815a7b62ec0c154fe5e2802070146068dc9db1dc981fb355c94ead296cdaefc9c786ce589b43b25fb5b7ddad819db2edecd573342eaa029441ddfdb26765ce01ff719917ba3d0e7ce71a0fae38f91d17cf26d139b377ea2eb5114a2d36a5f27983e8c4cb599d9a4a5ae31a24db701d0734c79b1d323fcf0fe574e8dcca5347a6fb98b7fc2e63ccb125a48a44d4158de940b4fd0c74c7436198380c03170835d4934965ef6a25299e3f1af107c2154f40598db8600c855b2b183，爆破

最终得出part1:79345612，part2:15673223，part3: 74212345，组合得到flag{79345612_15673223_74212345}。

注：以上仅为个人思路，由于得出以上结论时比赛已经结束，无法验证flag对错，故此文仅作为个人记录
文章中相关链接：

• 百度百科: https://baike.baidu.com/item/NTLM/6371298?fr=aladdin
• Windows下的密码hash——NTLM hash和Net-NTLM hash介绍: https://xz.aliyun.com/t/1943
• Kerberos协议探索系列之扫描与爆破篇: https://www.freebuf.com/articles/system/196434.html
• Windows内网协议学习Kerberos篇之ASREQ& ASREP: http://www.secwk.com/2019/11/05/13711/
• hashcat wiki: https://hashcat.net/wiki/doku.php?id=example_hashes