第十八届软件系统安全赛半决赛取证DC-复现

第十八届软件系统安全赛

半决赛取证DC-复现

附件⽹盘：

https://pan.baidu.com/s/1bBnHZzWBlt-Tgbwjco8gHA?pwd=vadv&_at_=1776324309318#list/path=%2F

考察面分析

⼀道典型的Windows域控（DC）安全取证题目，涵盖从攻击初始突破、权限维持、横向移动到后门建立的攻击链分析。考察⾯分析如下：

题目一

小梁的域控机器被黑客攻击了，请你找出⼀些蛛丝马迹。攻击者通过AD CS提权至域管理员，在攻击过程中，攻击者使⽤有问题的证书模版注册了一张证书，该证书的证书模版名、证书序列号是什么？（格式为模版名-序列号，如CertTemplate-2f0000 00064287f6f 5 d6ff4a91000000000006）

知识点：

AD CS 权限提升 (CVE-2022-26923)

考点：

识别利⽤Active Directory证书服务（AD CS）漏洞进⾏提权的痕迹。

关键⽂件：

CertoCM.log（CA安装⽇志）、CertLog⽬录下的CA数据库⽂件（.edb）。

分析思路：

在CertoCM.1og中筛选成功操作，发现可疑模板名 hack-CA2. 使用数据库查看⼯具（ESEDatabaseView）打开CA数据库（hack-CA.edb）3. 关联 Request 表（查找成功的证书请求）和Certificate 表（获取对应的证书序列号），定位攻击者利⽤的恶意证书模板和颁发的证书。

前置知识

Active Directory Certificate Services(AD CS)是微软Windows Server环境中的⼀个服务器角色，用于帮助组织构建和管理内部公钥基础设施(PKI)，以便颁发、撤销和验证数字证书，从而支持加密、身份验证和数字签名等安全需求。通过与Active Directory紧密集成，AD CS可以实现证书的自动注册与分发，并借助组策略简化⼤规模部署。通过AD CS提权至域管理员

CVE-2022-26923：某低权限用户通过Web Enrollment接口无须适当验证即可申请到AD CS签发的域控证书，随即借助该证书获取高权限。

解题过程

用比赛提供的ftk 4.7挂载镜像dc.ad1

题目需要获取证书的证书模版名、证书序列号

Windows系统中，CertOCM.log是Active Directory Certificate Services(AD CS)安装与配置过程中生成的设置日志文件，主要用于记录证书服务角色安装的详细步骤、成功或失败信息，以及相关错误代码，帮助管理员在部署或排错时了解内部执行流程。

在Windows目录发现CertOCM.log日志文件

点开查看会发现前面有很多安装失败的证书信息

最后发现有一个成功创建了

仔细查看文件发现可疑字符串hack-CA

在部署Active Directory Certificate Services(AD CS)时，系统会在%SystemRoot%System32下生成两个关键目录：

CertLog：存放CA的证书数据库及事务日志文件，用于记录所有对数据库的写操作；
CertEnroll（位于certsrvCertEnroll）：存放CA自动发布的证书（ .crt）和撤销列表（ .crl）文件，以及在Web注册或自动注册过程中生成的证书请求和响应。在certlog下面发现hack-CA的数据库

用比赛给出的工具打开数据库

找到模板名以及序列号

但是GoodTemplate这个模板名没有序列号

然后在request这里可以看到有一个证书失败是因为模板不支持结合题干 GoodTemplate是失败的我们要找成功的

其中有两个成功颁发一个是id=3 ，一个是id=5

根据requestAttributes

发现3才是证书模板，于是回到certificate找序列号

flag{MyTem-5400000003eedab5344b2e5da5000000000003}

题目二

小梁的域控机器被黑客攻击了，请你找出一些蛛丝马迹。攻击者在获取域管理员权限后，尝试上传木马文件，但是被杀毒软件查杀，上传的木马文件的绝对路径是什么？（如C:\Windows\cmd.exe）题目附件同DC.Forensics.1

考点：

通过Windows Defender日志追踪被查杀的恶意文件。

核心文件：

Microsoft-Windows-Windows Defender%4Operational.evtx

分析思路：

1. 搜索Defender相关的事件日志

2. 筛选相关事件->检测恶意软件

3. 从事件详情中提取被查杀文件的绝对路径。

前置知识

Windows系统中，
C:WindowsSystem32winevt是Windows事件日志服务的主目录，主要用于管理事件日志的存储和配置，而其中最核心的子目录是Logs，用于存放所有实际的日志文件。
Logs目录中包含大量以.evtx为扩展名的文件，这些文件采用专有的二进制格怯存储事件记录，每个文件对应事件查看器（ Event Viewer）中的一个日志通道，如 Application.evtx、System.evtx、Security.evtx 等。

解答题目

根据题目内容“尝试上传木马文件，但是被杀毒软件查杀” ，去查看防火墙的事件日志，去WindowsSystem32winevtLogs目录下

然后根据防御的英文Defender ，找含有Defender的.evtx文件，或者直接在该目录下搜索Defender ，出现下面3个文件

Microsoft-Windows-Windows Defender%4Operational.evtx这个文件是Defender运行时的核心日志，涵盖扫描、检测、更新、网络保护、ASR规则执行及服务状态等多个维度的安全事件，对故障排查、安全审计和合规合规检查具有重要价值

双击打开发现事件1116是木马

C:\Users\Public\e9caab4405a14fb6.exe

题目三

小梁的域控机器被黑客攻击了，请你找出一些蛛丝马迹。攻击者从机器中提取出了用户的连接其他机器的Windows企业凭据，凭据的连接IP、用户名、密码是什么？（格怯为IP-用户名-密码，如127.0.0.1-sam-123456）题目附件同DC-Forensics-1

考点：

利用域控备份密钥（ Backup Key）离线解密用户的DPAPI加密凭据。

关键文件：

加密的凭据文件：

%localappdata%\Microsoft\Credentials\*

主密钥文件（Master Key File）：

%APPDATA%\Microsoft\Protect\%SID%\*

域控关键数据：SAM SYSTEM注册表文件

ntds .dit数据库

分析思路：

1.从 SYSTEM文件中提取BootKey（impacket-secretsdump ）。

2.使用BootKey从 ntds.dit 中提取DPAPI Backup Key

3.用Backup Key解密用户的主密钥文件（impacket-dpapi masterkey）。

4.用解密后的主密钥解密凭据文件（impacket-dpapi credential），得到明文连接凭据。

解答题目

Windows 凭据管理器是存储这些连接凭据的核心区域，按存储位置和敏感程度，主要分：

找到了凭据，但是需要解密

两种方法对加密的凭据信息进行解析：

impacket-dpapi.py

mimikatz

离线解密需要知道用户的SID以及密码，在Protect目录

智能领航未来，是科技浪潮奔涌向前的时代宣言，更是以人为本

找到用户的SID文件夹：

文件夹里面有4个GUID文件

每个主密钥都有一个随机生成的 GUID ，文件名就是这个 GUID要用dpapi要先安装impacket包

sudo  apt  updatesudo  apt  install  impacket-scripts  -y

获取guid masterkey：

impacket-dpapi  credential  -file  " 14396336784B72E4294497641A22A484 "

我们没有用户的密钥或者NTML hash

域控服务器持有一个特殊的备份密钥（Backup ĸey），它可以解密该域内所有用户的DPAPI主密钥
与机器本地用户对 masterkey file 进行解密的方法不同，域用户需要使用 DC backup key 来对 masterkey file 进行解密，然后在使用 masterkey 解密对应加密后的凭证文件。

1. SYSTEM注册表文件

路径：E:\C NONAME [NTFS] \ [root] \Windows\System32\config\SYSTEM SAM 文件

E:\C NONAME [NTFS] \ [root] \Windows\System32\config\SAM

2. ntds .dit数据库文件

路径： E:\C NONEAME [NTFS] \ [root] \Windows\NTDS\ntds .dit

找到这两个文件之后

利用SAM从 DC machine 的 SYSTEM 中提取 BootKey

impacket-secretsdump  -sam  SAM  -system  SYSTEM  LOCAL

bootKey: 0x8044866ff95b2378568f795d988d1d3e

使用 BootKey 从 ntds.dit 中提取 DPAPI backup key（注意这一步在powershell）

Get-ADDBBackupKey  -DBPath  .\ntds .dit  -BootKey  8044866ff95b2378568f795d988d1d3e |  Save-DPAPIBlob  -DirectoryPath  .\

成功拿到pvk文文件

利用主密钥文件以及 pvk 文件即可对 masterkey file 进行解密

impacket-dpapi  masterkey  -file  " 61e93ed3-5ca2-4e98-a27b-b8a09fcf618d "  -pvk " ntds_capi_439f5cbe-3a71-45e5-9db9-00df588d9386 .pvk "

拿到备份密钥

解密凭据文件

impacket-dpapi  credential  -file  " 14396336784B72E4294497641A22A484 "  -key0x75690187db3d7b10dbad020d97ee3557178b86d34736f60fed190de957366d803c7c46a563bfa08f345a70f7b77578f821c2cc38f5b182c1cfeb7a6b 8483412

答案：

172.16.6.25-indiana-Xss89cwsb!@#

题目四

小梁的域控机器被黑客攻击了，请你找出一些蛛丝马迹。攻击者创建了一个新用户组和一个新用户，并把这个用户加入了新用户组和域管理员组中，新用户组名、新用户的用户名、新用户的密码是什么？（用户组名和用户名均小写，格怯为用户组名-用户名-密码，如admins-sam-123456）

考点：

从安全日志中追踪用户和组的创建、成员添加操作，并获取账户密码

关键文件：

%SystemRoot%\System32\winevt\Logs\Security.evtx

分析思路：

1.筛选事件ID

2.通过日志确定新创建的组名和用户名

3.从 ntds.dit 中提取所有用户的NTLM哈希（impacket-secretsdump ）

4.对目标用户的NTLM哈希进行字典攻击获取明文密码

前置知识

在Windows系统中（从Vista/Server2008起），所有安全审计相关的事件，包括“创建新用户”与“创建新用户组”都会记录在安全日志（Security Log）中，而该日志对应的文件名为Security.evtx ，存放于%SystemRoot%System32winevtLogs目录下。该文件包含用户与组的创建时间、发起者等详细信息。

解答题目

路径：

E:\C__NONAME[NTFS[root]\Windows\System32\winevt\Logs

打开

4727：创建maintainer组

4728：添加新成员James到maintainer组里

7254：将 James 添加到 Domain Admins 组中可以确定 maintainer 用户组和 James 用户

获取密码：

通过 ntds.dit文件以及SYSTEM注册表文件对域用户的NTLM哈希进行 dump：

impacket-secretsdump  -ntds  ntds .dit  -system  SYSTEM  LOCAL

Γ__(crayon⑩crayon)- [/mnt/d/ctf/赛题/2025软件赛/凭证]L_$  impacket-secretsdump  -ntds  ntds .dit  -system  SYSTEM  LOCALImpacket  v0.14.0.dev0  -  Copyright  Fortra,  LLC  and  its  affiliated  companies[*]  Target  system  bootKey:  0x8044866ff95b2378568f795d988d1d3e [*]  Dumping  Domain  Credentials  (domain\uid:rid:lmhash:nthash) [*]  Searching  for  pekList ,  be  patient[*]   PEK  #  0  found  and  decrypted:  f3be9e9410d93545451f65dcf50188a4 [*]   Reading  and  decrypting  hashes  from  ntds .ditAdministrator:500:aad3b435b51404eeaad3b435b51404ee:3f0e42db02cf933707a4aa3575b ab3b8 : : :Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 :::john:1000:aad3b435b51404eeaad3b435b51404ee:4b679d47454b3bf0ba434d62c09ba644 :::DC$ :1001:aad3b435b51404eeaad3b435b51404ee:dbe46b92afe60335e751c96f6c4d7810 ::: krbtgt:502:aad3b435b51404eeaad3b435b51404ee:13fcb179f2788c599b27c0cefc445562 :: :CLIENT$ :1104:aad3b435b51404eeaad3b435b51404ee:c4d288a337abeb621ebb12e40ddf67c9 : : :Hannah:3102:aad3b435b51404eeaad3b435b51404ee:9b1d28539cc145c85086f38776169fea: : :Joshua:3103 :aad3b435b51404eeaad3b435b51404ee:db03e6daa244825c00d3f7e294d27d6f: : :Isabella:3104:aad3b435b51404eeaad3b435b51404ee:82d1759cdeb5c8725fc8e7788b83e42 6 : : :Kevin:3105:aad3b435b51404eeaad3b435b51404ee:599ed14dfebb2ec097ca628f49e1d423 :: :Amber:3106:aad3b435b51404eeaad3b435b51404ee:cf6925a3afed551ed10a5419da377a95 :: :Lillian:3109:aad3b435b51404eeaad3b435b51404ee:d3de8712ca56c72eebed117d3565873a : : :Blake:3110:aad3b435b51404eeaad3b435b51404ee:f469f6426abb7f7cb5e8844d4ca76523 :: :Samantha:3112:aad3b435b51404eeaad3b435b51404ee:8dedf5bc821230e586b5c2103597074 7f : : :Francis:3120:aad3b435b51404eeaad3b435b51404ee:6e9c54e1ef0ef8a26d86cbab01686d14 : : :Brittany:3124:aad3b435b51404eeaad3b435b51404ee:96f3648994ddb91648ac7b461ba7540 e : : :Aaron:3125:aad3b435b51404eeaad3b435b51404ee:1e18c5b51df4e3e2a04cab4a2ddcc606 :: :Emily:3126:aad3b435b51404eeaad3b435b51404ee:8f0d151425872dc248b8af7159f24579 :: :Katherine:3128:aad3b435b51404eeaad3b435b51404ee:cb809cb896174cf6faf9a2a791bd9d 86 : : :Nathan:3133 :aad3b435b51404eeaad3b435b51404ee:21be91e8953da8ad0513df5a5552e803 : : :Bethany:3134:aad3b435b51404eeaad3b435b51404ee:406caf707b7bd627f29f097762fc17cb : : :Derek:3135:aad3b435b51404eeaad3b435b51404ee:a22e1a8440d6d8beb7a77a18edc72c42 :: :Abigail:3136:aad3b435b51404eeaad3b435b51404ee:a7e1a39cd7c7f40c1bf2d61baf69e302 : : :Daniel:3137:aad3b435b51404eeaad3b435b51404ee:12f1eac19900aae4f5692bfa7ed55fa7 : : :Ashley:3142:aad3b435b51404eeaad3b435b51404ee:f030c60a6bba9829fc26a4e4d0707f40 : : :Emma:3144:aad3b435b51404eeaad3b435b51404ee:0363dee43a91a09cbf413259bb1a997e::: Brandon:3145:aad3b435b51404eeaad3b435b51404ee:cb5183ecb944dd2f9d9ffda4666699ee : : :Laura:3146:aad3b435b51404eeaad3b435b51404ee:7912be0e7e04010d855b5aaac0652b21 :: :George:3147:aad3b435b51404eeaad3b435b51404ee:5c27498c56f7da5eba7c536f2d4c4c0e: : :Harper:3148:aad3b435b51404eeaad3b435b51404ee:de4e876e5628791377184d233ece9b2f: : :Matthew:3149:aad3b435b51404eeaad3b435b51404ee:1ac5e256431fa8982db64af20d4554f2 : : :Benjamin:3151:aad3b435b51404eeaad3b435b51404ee:8bd9a7cf8167c7ae09b2e296f11bf3c d : : :Leah:3153 :aad3b435b51404eeaad3b435b51404ee:4245664d67e5b0b8db11abdd0a135908 ::: Elizabeth:3159:aad3b435b51404eeaad3b435b51404ee:775689673a62a33cb35117d93c6b8a ed : : :Connor:3160:aad3b435b51404eeaad3b435b51404ee:aaaa411583594936b88bbcfbc713bec8 : : :Angela:3162:aad3b435b51404eeaad3b435b51404ee:1854c60dc8265016521fcd64007e6ec1 : : :Aiden:3165:aad3b435b51404eeaad3b435b51404ee:329b3015e8205a3add613062fd0b49f1 :: :Julia:3171:aad3b435b51404eeaad3b435b51404ee:35447ece3cf29380cdf229ed556ad626 ::Charles:3172:aad3b435b51404eeaad3b435b51404ee:fdf77af33704f0f5b9d2d49ef978ac85 : : :Adrian:3173 :aad3b435b51404eeaad3b435b51404ee:db8ed3ef3d6ef1e9b7e9bab493176a0b: : :Liam:3174:aad3b435b51404eeaad3b435b51404ee:8eadd9d479600d1cb9b51a063dfa298b:::Brooke:3176:aad3b435b51404eeaad3b435b51404ee:959acd2731022f135ae87c27f15783a6 : : :Alan:3177:aad3b435b51404eeaad3b435b51404ee:5603b7c6420640265f9eb7be684241ed:::Ella:3178:aad3b435b51404eeaad3b435b51404ee:763ecdade02a78f952c71814a0e70c62 :::Caleb:3179:aad3b435b51404eeaad3b435b51404ee:576619eb3d35633613b0581425d74a6f:: :Noah:3180:aad3b435b51404eeaad3b435b51404ee:28a05da8b680cd692c44d78b4789e10f:::Donald:3181 :aad3b435b51404eeaad3b435b51404ee:d9d7c8ac83b284a3c0ab191c31e4e8e0 : : :Alexander:3183 :aad3b435b51404eeaad3b435b51404ee:c71320f068bd82730c1e8a6e86d987 2e : : :Austin:3184:aad3b435b51404eeaad3b435b51404ee:9e9a8992851d382126d798af0f7d4eca: : :Michelle:3187:aad3b435b51404eeaad3b435b51404ee:805a51f35bcfa168ae3c328b9279e70 b : : :Adam:3188:aad3b435b51404eeaad3b435b51404ee:e0c59c48452659eb5a885158d725e1e2 :::Isaiah:3189:aad3b435b51404eeaad3b435b51404ee:b37e1f03a36b28bed2bcef6aa492412d: : :Anthony:3191:aad3b435b51404eeaad3b435b51404ee:4ac6515bfd3ea713140a4c2e18922d85 : : :mary:3192:aad3b435b51404eeaad3b435b51404ee:1e5f261cdec77428aaa79a0ba5c133af:::James:3193 :aad3b435b51404eeaad3b435b51404ee:9fc8c6b0ac495fa52039ab6e0276a3c3 :: :[*]   Kerberos  keys  from  ntds .ditAdministrator:aes256-cts-hmac-sha1-96 :b4973e980f1126987cf91525d4d97db242d308c314a0c11afa7b3d486faa742fAdministrator:aes128-cts-hmac-sha1-96:866294af0f0a844c77fab4bd5eca9dc7Administrator:des-cbc-md5:89256d1c02a2b0bajohn:aes256-cts-hmac-sha1-96:2a6743e85897a8880c484aecc0d39700f9aa0c980a8e99ac50489bb553c4ede4john:aes128-cts-hmac-sha1-96 :15346b18cc86078657e6a1555d3e70a0john:des-cbc-md5 :ba540eb094fd04c1DC$:aes256-cts-hmac-sha1-96 :bd90739c9265896a17f387d6e23da294391927b7b9d0f18296d2351904c8721f DC$:aes128-cts-hmac-sha1-96 :b6363a1fe42f1e9a2bbedaf4ef066430DC$:des-cbc-md5:adef34f4ea7f73da krbtgt:aes256-cts-hmac-sha1-96:c19ba00f164b26796050ecb884d5f7e13ba0aae086c7486f64660be3d6ff39e9krbtgt:aes128-cts-hmac-sha1-96:e2e6c395b9b8d172cfb0a42998a233c7krbtgt:des-cbc-md5:70835157b375df62CLIENT$:aes256-cts-hmac-sha1-96:f66e981944d3a1650d14d2f9e1b593ed780cf4ee505132aa44cb1ce4b24c5839 CLIENT$:aes128-cts-hmac-sha1-96 :10e1b55dbf25099ed30572de6ecee205CLIENT$:des-cbc-md5:404fcbb67afd5dc1Hannah:aes256-cts-hmac-sha1-96:f5dfd1876831f3b913965eab3d8af711453b151ba510a81e2431819e011cafa1 Hannah:aes128-cts-hmac-sha1-96:f36eb5f85770dc9af7e4ba9e0854b25eHannah:des-cbc-md5 :b62ccbd0ab9e25e5Joshua:aes256-cts-hmac-sha1-96 :b430e1c3ac7bd4be593fd51d55e7bbb1953203013f7177e009a1d9da1b516f26 Joshua:aes128-cts-hmac-sha1-96:49890ebe537ae6401af4a3209426f4f1Joshua:des-cbc-md5:5d4f94ea38a4d525Isabella:aes256-cts-hmac-sha1-96:f4e36f7525971ee7948ece86656ff3644e1762dfaa2e5e045735de04badd71ff Isabella:aes128-cts-hmac-sha1-96 :b192a765dc7d3b12183081328c66581fIsabella:des-cbc-md5:c85b23e65761b6e3Kevin:aes256-cts-hmac-sha1-96:43b7751d1c3074bd9a90719bdfb1de46bc59e8791eb1df6de45e1b0cf1f52071 Kevin:aes128-cts-hmac-sha1-96:3ed50ef7239c1f4fdf7fc05bdfe2f451Kevin:des-cbc-md5:8546e075df80fd3eAmber:aes256-cts-hmac-sha1-96:3c51e715c551cbf36706a63dd97bd79f89a95ed1bd46414ce157c48cdd077b76 Amber:aes128-cts-hmac-sha1-96:242c8bd7cd6b79ed5e33d7f7123c9aa8Amber:des-cbc-md5:6de06e756bad575bLillian:aes256-cts-hmac-sha1-96:96b235fb7b694a81c7e136be5342cae8b2f1c151480db55db9d7ebd6b9217c9c Lillian:aes128-cts-hmac-sha1-96:a97e3811a9d0d25c7eac27a2316e4010Lillian:des-cbc-md5:df1032b5374f4a98Blake:aes256-cts-hmac-sha1-96 :12b14056196a17ec0852ba677905874ddbb8d8e2ae494286249331e987bc8e51 Blake:aes128-cts-hmac-sha1-96:66ad920ff8ef4a2f8363388a1b700f9fBlake:des-cbc-md5:ad4523c75be36d85Samantha:aes256-cts-hmac-sha1-96 :14f02ffa4b9bc989eb8a8b8840df596b64a95492a0fe4d8c5561ad41955680b7 Samantha:aes128-cts-hmac-sha1-96:ef51abbe5e1a0d170fd112a1a4a2090cSamantha:des-cbc-md5 :1ad676c27c1ac87fNicole:aes256-cts-hmac-sha1-96:5c8d68b7e0ae4fd9e5b36771698bd527a5e88a712ae4c22bd655b19a1915d7b3 Nicole:aes128-cts-hmac-sha1-96:46c9c96fefc6f8b55909ecc69a4881a4Nicole:des-cbc-md5 :b91579ef4510c49eLogan:aes256-cts-hmac-sha1-96:40591ce121f13256826b8e6af83546432973cf1a5c31a1eb5576f43b6b72a694 Logan:aes128-cts-hmac-sha1-96:511ddca5380e6d4a2e2a0b9d0171ff12Logan:des-cbc-md5:80f894a29d08928aJessica:aes256-cts-hmac-sha1-96:2fe3f0d5cc2b4cba7652870d8d244645c5369bd4d9cb645e40b991b8f7a160eaJessica:aes128-cts-hmac-sha1-96:d945d5ebc33231bf815cdfb186e538efJessica:des-cbc-md5:45efd6d023190eeaCharlotte:aes256-cts-hmac-sha1-96:2832b3b4722402b5ee72750dea9b56210db8c7fe7761c168a25db7e1a9d268cf Charlotte:aes128-cts-hmac-sha1-96:c44ee26970237ce2081a5828cbdabab0 Charlotte:des-cbc-md5:4926089ba8a7e997Francis:aes256-cts-hmac-sha1-96:0732cfa9e29220872358aaf946985ebda9e167debf0412ee8c5041276ce160fb Francis:aes128-cts-hmac-sha1-96:76058e2a6419ba17944d9f37ea18093dFrancis:des-cbc-md5:02bf3de9e543e0c2Brittany:aes256-cts-hmac-sha1-96:fcc16041186d564c5bebc54a32aa76ba9927b8fcc075fc798efc4585352a87db Brittany:aes128-cts-hmac-sha1-96:cb05e77257066aaa0a894ab322b16de6Brittany:des-cbc-md5:6e57f19408f27946Aaron:aes256-cts-hmac-sha1-96 :1ad72a9f3b912d104dd301441dae66fc2ef90da01689ffbce1d981c6f7673792 Aaron:aes128-cts-hmac-sha1-96 :11c0d01aa7885243337b2f1ae9c455d9Aaron:des-cbc-md5:37b6676d19b91307Emily:aes256-cts-hmac-sha1-96:52992869238b0b4839c6db6dda4f6b43720032e47b3249bfe4a19caee2999962 Emily:aes128-cts-hmac-sha1-96:751fe2523800366258088cd9f8c359a1Emily:des-cbc-md5 :13b940b93257cee6Katherine:aes256-cts-hmac-sha1-96:758b87aa1fbe11963b42b76a46a14778e219815a6b19b87299af146da0082132 Katherine:aes128-cts-hmac-sha1-96:a61b0884284b1fdbe7ad7706270b3c6c Katherine:des-cbc-md5:0ec7910e76fdda79Nathan:aes256-cts-hmac-sha1-96:6ed510ea3da9b3b77dadcf0e1f9683ab5c076326eee53f60106f21be03c07e2e Nathan:aes128-cts-hmac-sha1-96:6e8e3b4765ab033db2b1df04ca4da0fdNathan:des-cbc-md5:df9d92b379231613Bethany:aes256-cts-hmac-sha1-96:44ded16920b1588a48aeb50e4d6e554421f8d2d2e87bf143fc3a53eabd5a97dc Bethany:aes128-cts-hmac-sha1-96:822b1c8151b0a9c2c29a994b6d9564c2Bethany:des-cbc-md5:da7c6d928086a49eDerek:aes256-cts-hmac-sha1-96:913684f108b5a7cccf8333b00530ec9e78712210662de128f9865f61bc8c7dee Derek:aes128-cts-hmac-sha1-96:47321c9441e1ba242a766bfded0e3bbbDerek:des-cbc-md5:3e1af2e38adc9852Abigail:aes256-cts-hmac-sha1-96:70b833e81f210afbe176366ca8ef1f17615c246efce1daa3564488256f12dc6f Abigail:aes128-cts-hmac-sha1-96:35fa0bc32176efbf7fd3323a7d716908Abigail:des-cbc-md5:34fb98e0453d0183Daniel:aes256-cts-hmac-sha1-96:26a3748198d75fb82500077a61e595a7251a8830e1a1e8852bb2c1cd6072edcb Daniel:aes128-cts-hmac-sha1-96:659897df7220dc3f90624a5a69135fd2Daniel:des-cbc-md5 :b65df86b5d850102Ashley:aes256-cts-hmac-sha1-96:ab935a669a8fe74c5afd9f47179690022429c3d91fba803ff87f4a34836f008a Ashley:aes128-cts-hmac-sha1-96:6bc87b24d72e8fb5c6c90934770b3d8bAshley:des-cbc-md5:ad2c527f61021f8cEmma:aes256-cts-hmac-sha1-96:6db06f2f8b92ee46db78c9de9179b7408cbe2af7218d7b3709f3a9cf678a153c Emma:aes128-cts-hmac-sha1-96:817ab112142e859a216d17db023ae5d6Emma:des-cbc-md5:c29e4cd64fad0267Brandon:aes256-cts-hmac-sha1-96:ee2dce89ad6a520d9494dab243f583c484444df7c0a8a6a6211fab37eb54c9f0 Brandon:aes128-cts-hmac-sha1-96 :bd3d79603f130ce8bae83e5582190315Brandon:des-cbc-md5:43aef201ae8f8351Laura:aes256-cts-hmac-sha1-96:ffc0621435d2072391123b966a339d6116a07efc15291c5dc4d77132b2376edf Laura:aes128-cts-hmac-sha1-96 :13aeb186b5a83518f4bbe7bd2f608b8fLaura:des-cbc-md5:324349c85b0e1558George:aes256-cts-hmac-sha1-96:53cae56304a93b6a762617dc0cb5f9f97087e3437ac8b0e299684b355b60e087 George:aes128-cts-hmac-sha1-96 :18592734077ae853cf99394b4590c909George:des-cbc-md5:9ed525c179aedcbaHarper:aes256-cts-hmac-sha1-96:eb304b0b6c0d93076a5f7e67d69d144a0d8b2a4e7b0165a57690ef0335fad0e8 Harper:aes128-cts-hmac-sha1-96:399547164b1c50a2f51d5c42644100c9Harper:des-cbc-md5 :150497198092ea9dMatthew:aes256-cts-hmac-sha1-96:8e9eb6e892bd0470f9a1d764f41b9cf0865ec3d271f2d3c7a45b48010b7fa755 Matthew:aes128-cts-hmac-sha1-96:630ab00434d159e4c319703348aa5c07Matthew:des-cbc-md5:01c4850897bc19aeBenjamin:aes256-cts-hmac-sha1-96:cbf3227b8edb84b7e05cf282acc982bf57ad868d16f31b79bfd64c8402df89a5 Benjamin:aes128-cts-hmac-sha1-96:508e75afd5858721778db4cbc67951d7Benjamin:des-cbc-md5:20680d0ee6925801Leah:aes256-cts-hmac-sha1-96:f3c342a8b4fa0d1534ced21b8256e424daecc8ff6c61d304501d183610fa9496 Leah:aes128-cts-hmac-sha1-96:5dc194200a238e33b8853d827e1654dcLeah:des-cbc-md5:79ce25439e92a838Elizabeth:aes256-cts-hmac-sha1-96:d7e8aa7e2fdc6ec714492c897e3abe05a96d7d158b7d66a7b580edb33b34472d Elizabeth:aes128-cts-hmac-sha1-96:93b25e494b6eeb9b72301dcfb94325a7Elizabeth:des-cbc-md5:cb8aa2b59befba10Connor:aes256-cts-hmac-sha1-96:ab5e72fd28ec1b4c201bb8ac46fc0fa9fc6cda0f6b4bd47d63559575cab3ec34 Connor:aes128-cts-hmac-sha1-96:6265e830a18293c8ee87e3ea6b7f7665Connor:des-cbc-md5:6ee65408b68532f2Angela:aes256-cts-hmac-sha1-96:0e43c362897254dc9cada5f55675c73d7bd7c8ea7f84d759ba1d95d397519d96Angela:aes128-cts-hmac-sha1-96:cb16ae5aff64fc14da9a22a005b4edc6Angela:des-cbc-md5:20a8e66d02b03840Aiden:aes256-cts-hmac-sha1-96:200466c671bfd62756f79c48348789811fe06756b01691dba2db0aad0a420c77 Aiden:aes128-cts-hmac-sha1-96:f83f287a27976e6eced1d1444f5dd6ebAiden:des-cbc-md5:eff26db952047920Julia:aes256-cts-hmac-sha1-96:f566e3af8e52609fdab00ae8cc754e42a5d9a7e4e321b16a369a54669b24e44b Julia:aes128-cts-hmac-sha1-96:07df647146898a9763571db6a8149e3eJulia:des-cbc-md5:94087a9ef46b52bfCharles:aes256-cts-hmac-sha1-96:064f7fe1ee20b21dc1ceaee7efbffa18c45e6b93d6cd50ec72638ee4f1cb8429 Charles:aes128-cts-hmac-sha1-96:9308806bc1d25e296f8edbaafbfa0da6Charles:des-cbc-md5:7a6b6b2c8c1338bfAdrian:aes256-cts-hmac-sha1-96:ce703b72d1765e7a0c8791248672e41d8f3a250cb354d088b2a87d5cc767b672 Adrian:aes128-cts-hmac-sha1-96:fa189c0463e0551019863da5c1333978Adrian:des-cbc-md5:37cb0454ea43b96eLiam:aes256-cts-hmac-sha1-96:49b1e51560375949e47165759673b0653a3fd3c8dd154d1cc14554509e01495a Liam:aes128-cts-hmac-sha1-96:c324605385e73ed12980eae8288eee08Liam:des-cbc-md5:2f3df7cbb073bfd0Brooke:aes256-cts-hmac-sha1-96:9c8e2fda8f8743a3cf2c549aa6180bdf979484aa56af32b521814bc47097c80e Brooke:aes128-cts-hmac-sha1-96:6736c776ff203e525d6dea0da3a9d2c7Brooke:des-cbc-md5:75156832f179e0a4Alan:aes256-cts-hmac-sha1-96:570208f6a9def255dd5567d6f62d59319d74a0c8c4fb7d281d41533364b907f0 Alan:aes128-cts-hmac-sha1-96:e8319c480d1ed57a1fd250482eb357b6Alan:des-cbc-md5:7c407ca1cd513d9dElla:aes256-cts-hmac-sha1-96:ef150cd991e6a02aae3d74087a90fcc364853d2efb9d3f6e41d09c932a5df897 Ella:aes128-cts-hmac-sha1-96:99e1a83e9a4e96406be2b591f7583b22Ella:des-cbc-md5:a8f46ee0a720e39bCaleb:aes256-cts-hmac-sha1-96:95da18fecd659b13d89bacfe18eb321244a1b15cda8511a754b1eb76f16a912a Caleb:aes128-cts-hmac-sha1-96:87fa1125ffe9d62a7f9b9e90c3caede0Caleb:des-cbc-md5:ae7cf2dce92ad0e3Noah:aes256-cts-hmac-sha1-96:a6f754e6b93cad1b3472a627ab007a710819569e9d3b44d0688dab92d2f93efd Noah:aes128-cts-hmac-sha1-96:e9d4cebb4b663b32b17caed3c3c64edcNoah:des-cbc-md5:ea0b2a4cea70e6e9Donald:aes256-cts-hmac-sha1-96:f25cb2dc1269780ce6c366ee4a78a40f443ff9521e49ea709bee4b0b1e7fc5b3 Donald:aes128-cts-hmac-sha1-96:433c504d6b77d6c297605d272b02ae3dDonald:des-cbc-md5:8cb5589152316edaAlexander:aes256-cts-hmac-sha1-96:0aafdbdcc39a3b5d3d79e51aeff82e75dcf9cd0beba1b5c79abdfbac757e597c Alexander:aes128-cts-hmac-sha1-96:3e7e13a98af4e2e8c1bd5c3abc00d729Alexander:des-cbc-md5:a79832e3b658491cAustin:aes256-cts-hmac-sha1-96:2942adb6d614d9c805f86de96ed7d83bb10d39772b83425a6b9cec610f9ad7e3 Austin:aes128-cts-hmac-sha1-96:210743007b2ee4578e9faef2c91905a0Austin:des-cbc-md5:c81f8c464c0e97aeMichelle:aes256-cts-hmac-sha1-96:077152b6daaa372437c6fdd3b28d95e4bfaaf3fa68c665dce5a0f101482d0cfd Michelle:aes128-cts-hmac-sha1-96:21251e328b8cb3b84184d5485765aa86Michelle:des-cbc-md5:f25d6eb3f8439e31Adam:aes256-cts-hmac-sha1-96:3894f2ac25768a95e1f537224aa1949c72c0fe4a5f3cf06fdb43a91d34b9724e Adam:aes128-cts-hmac-sha1-96:62b6a054a409457f540c44ea0ace2c3bAdam:des-cbc-md5:cea72ab98a1562f2Isaiah:aes256-cts-hmac-sha1-96:5eded632130c72fa261669cd660e353f9dcb1579a27b866a21345a8bc0d56b81 Isaiah:aes128-cts-hmac-sha1-96:616855dfb064127290371b24824fb929Isaiah:des-cbc-md5:a7c28097c2f76d38Anthony:aes256-cts-hmac-sha1-96:511d25e2720b6432d4b1d07583038c47667a106050a7375a3ef30d6f72df8e85 Anthony:aes128-cts-hmac-sha1-96 :bb1fe1afb0cc57c421efef129a689a76Anthony:des-cbc-md5:c4fbfd234f2a897amary:aes256-cts-hmac-sha1-96:7dde43d29a88d5ba112ef65504f0fbb816e338cfd0dbd0a00ca5bf4f71e68c71

拿到James的哈希

echo" James:3193 :aad3b435b51404eeaad3b435b51404ee:9fc8c6b0ac495fa52039ab6e0276a3c3 : : : "  >  james_hash .txt

爆破密码

john  --format二nt  --wordlist二/usr/share/wordlists/rockyou .txt  james_hash .txt

答案：maintainer-james-3011liverpool!

END

关于“方兴未艾”

方兴未艾是指事物正在发展，尚未达到止境；意指学无止境，要有利用每一篇字数有限的文章去学习无限的知识的决心和毅力。

方：代表方班预备班；

兴：代表因为兴趣，所以热爱；

未：代表我们对方班预备班的未来充满信心；

艾：代表我们在追求梦想的道路上不会停歇；

预备班人拥有一个梦想——

为国家网络安全贡献自己的绵薄之力！

在这里，我们一起

分享、学习、进步……

扫描二维码，关注我们

栏目 | 方兴未艾

文案 | 陈慧珍

排版 | 张云凯

审核 | 姚丽平陶昱成鲁辉

指导老师 | 鲁辉