SUCTF2025-misc-SU_AD 域渗透分析教学文档<\/h1>

1. 流量分析与NTLM协议解密<\/h2>

1.1 初始流量观察<\/h3>

流量包中存在SMB2协议流量<\/li>

需要解密NTLM协议部分以获取更多信息<\/li> <\/ul>

1.2 提取NTLM认证信息<\/h3>

使用tshark命令提取关键字段：<\/p>

# 过滤NTLM认证信息<\/span>
<\/span><\/span>tshark -r capture.pcap -Y "ntlmssp.auth.domain"<\/span> -T fields -e ntlmssp.auth.domain -e ntlmssp.auth.username
<\/span><\/span><\/code><\/pre>分析结果：<\/p>

Domain name: sk.com<\/li>
User name: sk<\/li>
<\/ul>
1.3 提取NTLMv2哈希组件<\/h3>
需要收集以下三个关键组件：<\/p>

NTproofstring<\/li>
ModifiedNTLMv2Response<\/li>
ServerChallenge<\/li>
<\/ol>
提取命令：<\/p>
# 提取ServerChallenge<\/span>
<\/span><\/span>tshark -r capture.pcap -Y "ntlmssp.ntlmserverchallenge"<\/span> -T fields -e ntlmssp.ntlmserverchallenge
<\/span><\/span><\/code><\/pre>1.4 构建NTLMv2哈希格式<\/h3>
将提取的信息拼接成hashcat可识别的格式：<\/p>
username::domain:server_challenge:NTproofstring:modifiedntlmv2response
<\/code><\/pre>
注意：modifiedntlmv2response前面部分就是NTproofstring，需要手动删除重复部分<\/p>
1.5 使用hashcat爆破密码<\/h3>
将拼接好的哈希存入2.txt，使用hashcat爆破：<\/p>
hashcat -m 5600<\/span> 2.txt \/path\/to\/wordlist
<\/span><\/span><\/code><\/pre>爆破结果：密码为Eminem01<\/code><\/p>
2. 解密GSS-API流量<\/h2>
2.1 使用获得的密码解密<\/h3>

将Eminem01<\/code>作为NTLMSSP的Password解密流量<\/li>
解密后可以观察到修改Administrator密码的操作<\/li>
<\/ul>
2.2 解析密码修改操作<\/h3>
参考Microsoft文档[MS-ADTS]:unicodePwd编码规则，提取出新密码：

1202)78M5CcE=+!2<\/code><\/p>
2.3 DACL滥用分析<\/h3>
这是一个强制改密操作，参考ForceChangePassword技术实现<\/p>
3. Kerberos流量解密<\/h2>
3.1 流量特征分析<\/h3>

后续流量主要是Kerberos认证<\/li>
通过psexec脚本产生的SMB流量<\/li>
使用Administrator用户进行认证<\/li>
<\/ul>
3.2 制作Keytab文件<\/h3>
使用Create-KeyTab PowerShell脚本制作Administrator用户的keytab文件：<\/p>
# 示例命令<\/span>
<\/span><\/span>Create-KeyTab -User Administrator -Domain sk.com -Password "1202)78M5CcE=+!2"<\/span>
<\/span><\/span><\/code><\/pre>注意：用户名大小写敏感<\/p>
3.3 导入Wireshark解密<\/h3>
将生成的keytab文件导入Wireshark解密DCERPC流量<\/p>
4. VBScript分析与提取<\/h2>
4.1 过滤DCERPC流量<\/h3>
tshark -r capture.pcap -Y "dcerpc"<\/span>
<\/span><\/span><\/code><\/pre>4.2 提取VBScript文件<\/h3>

从流量中提取出混淆的VBScript<\/li>
进行反混淆处理<\/li>
<\/ul>
4.3 获取flag.zip密码<\/h3>
解混淆后得到base64编码的command，解码后获得flag.zip密码：

oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code><\/p>
5. SMB2流量解密<\/h2>
5.1 Kerberos认证下的SMB2解密<\/h3>
由于Wireshark不支持自动解密Kerberos认证的SMB2流量，需要手动处理：<\/p>

从TGS-REP中获取sessionKey<\/li>
手动添加解密密钥<\/li>
<\/ol>
5.2 Session Key与Session ID对应关系<\/h3>
建立Session ID与sessionKey的映射表：<\/p>



Session Id<\/th>
sessionKey<\/th>
<\/tr>
<\/thead>


0500001000140000<\/td>
c475652caee0502bbf57d0583c8d02f7<\/td>
<\/tr>

2100001000140000<\/td>
057ca236576c77a46c3974840f1a407f<\/td>
<\/tr>

0d00001000140000<\/td>
400ececb0dfa0b9e69debe0cd859b7b4<\/td>
<\/tr>

0900001000140000<\/td>
2251c04efe1ea59d1d1871ef65ae1ce5<\/td>
<\/tr>

0100001000140000<\/td>
9ea564454a9c0b1f68d152cb72e49baa<\/td>
<\/tr>
<\/tbody>
<\/table>
5.3 解密SMB2流量<\/h3>

在Wireshark中为每个Session ID添加对应的sessionKey<\/li>
过滤smb2流量确认解密成功<\/li>
导出SMB对象中的文件<\/li>
<\/ol>
6. 获取Flag<\/h2>

从解密的SMB流量中导出flag.zip<\/li>
使用之前获取的密码oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code>解压<\/li>
获得flag：

flag{Sk_l!kEs_aD_BuT_Ad_i5_7Oo_Hard_T_T}<\/code><\/li>
<\/ol>
7. 关键工具与参考<\/h2>


工具列表<\/strong>：<\/p>

tshark (Wireshark命令行工具)<\/li>
hashcat (密码爆破工具)<\/li>
Create-KeyTab (Keytab生成脚本)<\/li>
John the Ripper (密码破解工具)<\/li>
<\/ul>
<\/li>

参考文档<\/strong>：<\/p>

[MS-ADTS]:unicodePwd | Microsoft Learn<\/li>
ForceChangePassword | The Hacker Recipes<\/li>
Kerberos认证过程详细分析(一) | MYZXCG<\/li>
SMB解密技术文档 - TryHackMe<\/li>
<\/ul>
<\/li>

关键点总结<\/strong>：<\/p>

NTLMv2哈希的正确拼接格式<\/li>
Kerberos Keytab的制作与使用<\/li>
SMB2流量的手动解密方法<\/li>
Session ID与sessionKey的对应关系<\/li>
<\/ul>
<\/li>
<\/ol>

SUCTF2025-misc-SU_AD 域渗透分析教学文档<\/h1>

1. 流量分析与NTLM协议解密<\/h2>

2.2 解析密码修改操作<\/h3>
参考Microsoft文档[MS-ADTS]:unicodePwd编码规则，提取出新密码：
`1202)78M5CcE=+!2<\/code><\/p>`

3. Kerberos流量解密<\/h2>

3.3 导入Wireshark解密<\/h3>
将生成的keytab文件导入Wireshark解密DCERPC流量<\/p>

4. VBScript分析与提取<\/h2>

4.3 获取flag.zip密码<\/h3>
解混淆后得到base64编码的command，解码后获得flag.zip密码：
`oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code><\/p>`

Session Id<\/th>	sessionKey<\/th> <\/tr> <\/thead>
0500001000140000<\/td>	c475652caee0502bbf57d0583c8d02f7<\/td> <\/tr>
2100001000140000<\/td>	057ca236576c77a46c3974840f1a407f<\/td> <\/tr>
0d00001000140000<\/td>	400ececb0dfa0b9e69debe0cd859b7b4<\/td> <\/tr>
0900001000140000<\/td>	2251c04efe1ea59d1d1871ef65ae1ce5<\/td> <\/tr>
0100001000140000<\/td>	9ea564454a9c0b1f68d152cb72e49baa<\/td> <\/tr> <\/tbody> <\/table> 5.3 解密SMB2流量<\/h3> 在Wireshark中为每个Session ID添加对应的sessionKey<\/li> 过滤smb2流量确认解密成功<\/li> 导出SMB对象中的文件<\/li> <\/ol> 6. 获取Flag<\/h2> 从解密的SMB流量中导出flag.zip<\/li> 使用之前获取的密码`oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code>解压<\/li>` 获得flag： flag{Sk_l!kEs_aD_BuT_Ad_i5_7Oo_Hard_T_T}<\/code><\/li> <\/ol> 7. 关键工具与参考<\/h2> 工具列表<\/strong>：<\/p> tshark (Wireshark命令行工具)<\/li> hashcat (密码爆破工具)<\/li> Create-KeyTab (Keytab生成脚本)<\/li> John the Ripper (密码破解工具)<\/li> <\/ul> <\/li> 参考文档<\/strong>：<\/p> [MS-ADTS]:unicodePwd \| Microsoft Learn<\/li> ForceChangePassword \| The Hacker Recipes<\/li> Kerberos认证过程详细分析(一) \| MYZXCG<\/li> SMB解密技术文档 - TryHackMe<\/li> <\/ul> <\/li> 关键点总结<\/strong>：<\/p> NTLMv2哈希的正确拼接格式<\/li> Kerberos Keytab的制作与使用<\/li> SMB2流量的手动解密方法<\/li> Session ID与sessionKey的对应关系<\/li> <\/ul> <\/li> <\/ol>

SUCTF2025-misc-SU_AD 域渗透分析教学文档<\/h1>

1. 流量分析与NTLM协议解密<\/h2>

2.2 解析密码修改操作<\/h3> 参考Microsoft文档[MS-ADTS]:unicodePwd编码规则，提取出新密码： 1202)78M5CcE=+!2<\/code><\/p>

3. Kerberos流量解密<\/h2>

3.3 导入Wireshark解密<\/h3> 将生成的keytab文件导入Wireshark解密DCERPC流量<\/p>

4. VBScript分析与提取<\/h2>

4.3 获取flag.zip密码<\/h3> 解混淆后得到base64编码的command，解码后获得flag.zip密码： oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code><\/p>

2.2 解析密码修改操作<\/h3>
参考Microsoft文档[MS-ADTS]:unicodePwd编码规则，提取出新密码：
`1202)78M5CcE=+!2<\/code><\/p>`

3.3 导入Wireshark解密<\/h3>
将生成的keytab文件导入Wireshark解密DCERPC流量<\/p>

4.3 获取flag.zip密码<\/h3>
解混淆后得到base64编码的command，解码后获得flag.zip密码：
`oOCDLbkZ9Mtu67Alyh8uAaFHy6KDsCbG<\/code><\/p>`