我的iPhone 7是红色的

题目

小神先生与小神先生的分身的微信聊天记录被你瞥见了，其中小神先生的分身很明显不想告诉小神先生他家的Wi-Fi密码，因为Wi-Fi密码最小长度是8位。这个时候你收到了一份邮件，其中包含一份文件。邮件内容显示，这份文件里面保存了小神先生与小神先生的分身之间的通信内容， 你的任务是破译通信内容从中求证：

到底小神先生的iPhone 7是什么颜色的？

解题报告

1.打开PRO.zip发现需要密码，考虑线索可能在前两张图片。在终端输入：

$ strings A.jpg

$ strings B.PNG

或者使用winhex可以发现发现在B图片中插⼊入了了字段

Good! You get password that [The_C0l0r_04_my_iPhone_7_is_RED]. Keep moving.

得到密码The_C0l0r_04_my_iPhone_7_is_RED，解压PRO.zip得到一个数据报文，用wireshark打开这个报文。

2.看到里面全部都是802.11的通信记录，可知是无线网通信记录，于是在WireShark过滤eapol，发现3组4次握手，其中有两组是完整的。通过这个我们可以得到wifi密码

3.在Kail Linux中，终端输入如下字段，其中wordlist.txt为Kail预设字典。aircrack为工具

$ aircrack-ng -w wordlist.txt PRO.pcap

选择SSID为AlienX，注意到其提示获得了握手包。得到Wi-Fi密码为xvitriole231。

4.在Wireshark中，Preferences-Protocols-IEEE 802.11-Edit，(首选项-协议-IEEE 802.11-添加)

key-type : wpa-pwd

Key : xvitriole231:AlienX

其中AlienX是这个Wi-Fi的名字,基本可以猜到，从报文里面也可以找到

5.此时802.11的数据帧已经被解锁，用常见的协议类型过滤报文，发现存在SMB2协议字段，表明这段通信存在一次Samba服务器的连接。因为图片提示了服务器密码，所以我们要破解SMB2的密码。过滤条件ntlmssp，得到4组认证过程，其中1组丢失，2组认证失败，1组成功。这里考察知识点是NT Lan Manger认证过程，详细可以百度一下。找到62151号包， 是服务器下达挑战到客户端，提取挑战：

NTLM Server Challenge : 05:04:46:66:c5:f7:17:78

6.找到62159号包，是客户端提交服务器的响应，提取响应：

NTLMv2 Response :

322fd745ece0f34f7467be47768651af0101000000000000314f064b8bdfd2016 b9578e313f541d30000000002000c0048004900570049004600490001000c0 048004900570049004600490004000a0030002e0030002e003100030012003 100320037002e0030002e0030002e003100080030003000000000000000010 000000020000054a9cc9e142f87dd9a3a39906ea1658ea32603a48a14c4482c df5acbc225e9cd0a00100000000000000000000000000000000000090016006 3006900660073002f004800490057004900460049000000000000000000

7.在62159号包中，找到登录名AlienX，登陆域DESKTOP-FL18GIC。填充字段并保存到文件sample.txt中，确保是一行。

AlienX::DESKTOP-FL18GIC:

05044666c5f71778:322fd745ece0f34f7467be47768651af: 0101000000000000314f064b8bdfd2016b9578e313f541d30000000002000c0 048004900570049004600490001000c0048004900570049004600490004000 a0030002e0030002e003100030012003100320037002e0030002e0030002e0 03100080030003000000000000000010000000020000054a9cc9e142f87dd9 a3a39906ea1658ea32603a48a14c4482cdf5acbc225e9cd0a00100000000000 0000000000000000000000000900160063006900660073002f004800490057 004900460049000000000000000000

登陆域::登陆名:Challenge:Response的前32位:Response的后32位

8.在Kail Linux中，终端输入，其中wordlist.txt为Kail预设字典，hashcat为工具。

hashcat -m 5600 sample.txt wordlist.txt

得到Samba的登录密码是wswisemaster。

9.在SMB2的所有包中，排序length找到一个最大长度的包(一个长度为1528)，序号是63017，Info是Read Response(读响应)，发现里面包含数据。在Data字段，提取文件得到一个压缩包。根据题目提示，用服务器的登录密码解开这个压缩包，得到flag文件。

10.在终端执行

$ chmod -R 777 flag

$ ./flag

得到两组message

将message按照下面格式组合

296761957C2A3E83C26E4EE300F8F57B:A27CCC76AB50959FF5339ACEA 901F96C

提交到http://www.objectif-securite.ch/ophcrack.php解开得到QWRNMW5JejM=，

用base64解码得到AdM1nIz3。

PS：上述用到的两个字典包，均可以在Kail Linux的这个位置/usr/share/sqlmap/txt/wordlist.txt找到

Flag

HSCTF{AdM1nIz3}