第六章 流量特征分析-蚂蚁爱上树
第六章 流量特征分析-蚂蚁爱上树题目
1. 管理员Admin账号的密码是什么?
2. LSASS.exe的程序进程ID是多少?
3. 用户WIN101的密码是什么?1. 管理员Admin账号的密码是什么?
题目告诉我们管理员账户,我首先在wireshark里面搜索与Admin相关的关键字在4079这里追踪http流
发现了蚁剑相关的流量特征,并且确定了黑客的内网ip地址和上传的shell,但是这里没有我相要的密码
<img alt="image-20250805112134278" >我们对黑客的上传的shell进行关键搜索,按照长度大小排序在长度为4146这里对这里进行base64解码得到黑客的操作信息
http.request.method =="POST" && http contains "product2.php"
条命令在 Windows 系统上执行了一系列操作,包括导航到特定目录并添加一个名为 admin 的用户,同时设置密码
flag{Password1}2. LSASS.exe的程序进程ID是多少?
在前面分析流量的时候在长度为4172这里得到了这么一行代码
·~\·m|···ol·cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo &cd&echo
LSASS.exe(Local Security Authority Subsystem Service,本地安全认证子系统服务)是Windows操作系统的核心系统进程,负责管理本地安全策略、用户登录认证、访问控制等关键安全功能。其重要性在于直接涉及系统安全机制,但也常被恶意软件伪装利用
“rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full”:
[*]功能:这是命令的核心部分,调用rundll32.exe(一个Windows系统工具)加载comsvcs.dll动态链接库中的MiniDump函数,以生成进程ID(PID)为852的完整内存转储文件,并保存为“C:\Temp\OnlineShopBackup.zip”。参数“full”指定转储类型为完整内存快照。
[*]详细解析:
[*]rundll32.exe:合法Windows二进制文件,用于运行DLL函数,但常被攻击者滥用。
[*]comsvcs.dll:系统DLL文件,包含COM+服务功能;其MiniDump函数能创建进程内存转储。
[*]MiniDump:函数名,用于导出指定进程的内存数据。参数“852”是目标进程的PID(进程标识符),参数“C:\Temp\OnlineShopBackup.zip”是输出文件路径,参数“full”表示包含进程的所有内存信息(如敏感凭证)。
[*]安全含义:此操作常用于转储LSASS(Local Security Authority Subsystem Service)进程的内存,以窃取用户凭证(如密码)。LSASS存储登录信息,攻击者通过转储其内存并离线分析(如用Mimikatz工具)获取密码。证据显示,PID 852常指LSASS进程。
flag{852}3.用户WIN101的密码是什么?
这里我看了大佬的文章,因为上题C:\Temp\OnlineShopBackup.zip这里看到了zip就在流量包里面找zip结果没找到
后面文章说已经在product2.php里面了,所以我们在这里找那个是有dmp文件的product2.php文件了
我们在文件->导出->http ->搜product2.php文件然后找dmp文件
dmp文件大小特点:文件的大小,主要取决于你想保存多少信息,最小几百 KB,最大可达整个物理内存的大小(数 GB)。
类型大小特点内容概述小型转储(Minidump)较小,通常为几百 KB 到几十 MB包含线程、模块、异常、堆栈等简要信息完整用户转储(Full User Dump)较大,可能为 数百 MB 到数 GB包含整个进程的所有虚拟内存内容内核转储(Kernel Dump)较大,通常为 200MB 到 1GB包含内核空间和驱动等完整系统转储(Complete Dump)非常大,可达 系统内存大小(RAM)的一倍包括全部内存数据,最详尽最后在这个为47mb这里找到了文件,将它保存下来用010打开
010打开发现明显的头部特征,删除并且Ctrl+s进行保存(后缀格式为dmp)
改完之后为这样
使用工具“mimikatz”分析dmp文件中MD5密码的值,分析的dmp文件放在同一目录下
使用命令开始分析
sekurlsa::minidump product2.dmp
sekurlsa::logonpasswords
Primary:
[*]表示主要的认证信息。
NTLM: 282d975e35846022476068ab5a3d72df
[*]这是用户的NTLM(NT LAN Manager)哈希值。NTLM哈希值是Windows系统中用于身份验证的密码哈希。(MD5)
最后拿去网站解密https://www.somd5.com/
flag{admin#123}
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]