THM打靶日寄19-The Return of the Yeti

• What’s the name of the WiFi network in the PCAP?

  点进去随便一个包点开就有

  

  FreeWifiBFC

• What’s the password to access the WiFi network?

  由于 pcapng 文件抓取到的是加密的 wifi 通信

  有两种办法，一种是用 wireshark 先转成 pcap 文件，再用 aircrack-ng 爆破密码 aircrack-ng 1.pcap -w /usr/share/wordlists/rockyou.txt

  第二种是用 https://hashcat.net/cap2hashcat/ 来分离出 hash 握手包，再 hashcat 爆破其中的密码

  

  得到密码 Christmas

  拿到密码后先去给流量包解密：

  在 编辑-首选项-Protocol-IEEE802.11- Decryption Keys 加上得到的密码：

  

• What suspicious tool is used by the attacker to extract a juicy file from the server?

  这个思路大致是这么看的：

  在 统计-会话 中可以看到

  

  然后就选了下面那个分析，理由我没听太懂，好像是上面那个数据太多了怀疑是加密过的

  

  对于所选的数据，忽略掉 ICMP ，其用于在主机与路由器之间传递控制消息，而不用于传输用户数据

  

  然后是忽略掉红色的 tcp.reset 包，其表明 tcp 连接需要释放掉并重连

  

  最后来到 4w 多行的地方，这里有正确使用的 tcp 包

  

  直接追踪流：

  

  找到工具 mimikatz

• What is the case number assigned by the CyberPolice to the issues reported by McSkidy?

  往下翻找到一个 base64 编码后的 pfx 文件

  

  .pfx 作为个人信息交换文件，用于存储或传输用户或服务器私钥，公钥以及证书，通过导入该文件可以分析更多信息：

  先解码一下然后存到文件里面，试着打开，但是有密码

  

  由于是用 mimikatz 生成的，根据上面的命令看到没有自定义密码：

  

  那么就是默认密码 mimikatz

  那么现在就可以解密 TLS 了：

  

  然后去 文件-导入PDUs-OSI Layer7 ，并另存为 .pcap

  接下来引入一个新的工具 pyrdp

  先用 pyrdp-convert -f replay 1.pcap 转换格式：

  

  再用 pyrdp-player ***.pyrdp 来看：

  

  找到答案：

  

  31337-0

• What is the content of the yetikey1.txt file?

  继续看，找到：

  

  1-1f9548f131522e85ea30e801dfd9b1a4e526003f9e83301faad85e6154ef2834