玄机靶场
靶场地址:https://xj.edisec.net/
第十八届软件系统安全赛半决赛取证DC
下载附件,里面有题目所需附件和工具
步骤1#
1.小梁的域控机器被黑客攻击了,请你找出一些蛛丝马迹。 攻击者通过AD CS提权至域管理员,在攻击过程中,攻击者使用有问题的证书模版注册了一张证书,该证书的证书模版名、证书序列号是什么?(格式为模版名-序列号,如CertTemplate-2f000000064287f6f5d6ff4a91000000000006)'
使用附件提供的ftk-image工具挂载ad1文件
找到证书相关的日志存放位置,一般在\Windows\System32\winevt\Logs\Microsoft-Windows-CertificateServicesClient-Lifecycle-System%4Operational.evtx
我们选择去找证书的CA数据库,在C___NONAME [NTFS]\[root]\Windows\System32\CertLog目录下找到hack-CA.edb文件
用附件里面提供的ESEDatabaseView工具打开该数据库,翻找发现有一个很奇怪的证书
证书ID为3,证书序列号为5400000003eedab5344b2e5da5000000000003
然后根据证书ID去找证书模版名
在RequestAttributes里面发现RequestID=3时得到证书模版名为MyTem
然后加上序列号,尝试提交,发现正确
flag为MyTem-5400000003eedab5344b2e5da5000000000003
浙公网安备 33010602011771号