LOADING

加载过慢请开启缓存 浏览器默认开启

玄机——第六章 流量特征分析-蚂蚁爱上树

2024/7/25

玄机平台刷题

前言

首先这个题目根据题目描述可以知道就是蚁剑流量分析

简介

@老狼
应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题

  1. 管理员Admin账号的密码是什么?
  2. LSASS.exe的程序进程ID是多少?
  3. 用户WIN101的密码是什么?

参考文章

https://blog.csdn.net/administratorlws/article/details/139946448

解题

FLAG1

打开wireshark,因为我们知道是蚁剑流量那我们着重分析一下http协议,首先我们开始筛选流量
FLAG1Base64

然后我们去逐个分析文件,发现里面有很多php文件。可以从这里入手
FLAG12Base64

然后我们在product2.php文件里面发现了异常有base64加密,那我们从这里下手
FLAG13Base64

显示分组字节
FLAG14Base64

试了一下从2开始base64解码

FLAG15Base64

发现了有这些信息然后根据我们做题的直觉我们应该从大的流量包开始审起
本来是想找一下第一问的flag但是第二问关键部分找到了先记录在这里,之后再解释

FLAG16Base64

然后在NO.15190流量中我们找到了关键的user admin,最后就找到密码了

FLAG17Base64

flag: flag{Password1}

FLAG2

如果好好看了那么在FLAG1中我就找到了了FLAG2出现的位置,不过在此之前先了解一些知识点

“LSASS.exe”

LSASS.exe

lsass.exe,lsass.exe是 Windows 操作系统中负责管理本地安全策略、用户认证和访问控制的关键系统进程。

rundll32.exe

rundll32.exe是windows上的一个系统进程,允许用户调用windows dll上的函数,通过命令行执行脚本。rundll32.exe会被用来调用comsvcs.exe的MiniDump函数,生成一个包含系统账户和密码的lsass.dmp文件。

comsvcs.dll

windows系统中的一个dll文件,包含com+(组件服务)相关功能

com+(组件服务)

COM+ 是从 Microsoft 组件对象模型 (COM) 和 Microsoft Transaction Server (MTS) 演变过来的。 COM+ 在那些使用 COM、MTS 和其他基于 COM 的技术编写的应用程序的基础上构建,并对其进行了扩展。 COM+ 处理许多在以前必须由你自己编程的资源管理任务,例如线程分配和安全性。 COM+ 还通过提供线程池、对象池和实时对象激活来使应用程序更具可伸缩性。 COM+ 还通过提供事务支持来帮助保护数据的完整性,即使事务跨越网络上的多个数据库。

MiniDump函数

MiniDump函数用于创建内存转储文件(memory dump),这些文件会包含一些快照,可能会包含一些敏感信息和信息认证

关于调用rundll32.exe攻击流程

第一步

攻击者常常会用rundll32.exe中的comscvs.dll的MiniDump函数进行攻击,命令如下
rundll32.exe comscvs.dll MinDump <文件路径>full
PID就是目标进程的ID,譬如这个题目里面的lsass.exe的ID

第二步

生成lsass.dmp文件,这个命令通常会生成一个包含转储LSASS进程内存内容的转储文件。LSASS 进程管理着系统的用户凭证,因此这个转储文件可能包含敏感信息,如密码哈希。

第三步

这里面需要使用一个工具minikatz读取凭证。这个工具可以从内存转储文件中提取到密码哈希和其他敏感信息

然后在找FLAG1中我提到过一个东西那是不是就和这个一样呢

然后我们就知道了flag2
LSASS.exe的ID是852
flag{852}

FLAG3

我们的目标是找到用户WIN101的密码,那我们前面提到了在lsass.dmp中会有关于用户密码等敏感信息,然后我们就去找文件,这个文件显而易见,在前面的讲解的时候发现就是OnlineShopBackup.zip

dmp16进制文件头

然后就去看了一下dmp文件的16进制文件头
44 4D 44 50

FLAG31Base64

恢复流程

然后找到了
之后就需要我们前面提到的minikatz去读取内存转储文件

命令

sekurlsa::minikatz 文件(注意文件路径不要有中文)
sekurlsa::logonpasswords

FLAG32Base64:

然后发现了win101
看到了NTML

NTML

windows用户进行身份验证的hash值

然后可能这里面有些大家不知道的东西

DPAPI

DPAPI是Windows系统级对数据进行加解密的一种接口

文章:

https://blog.csdn.net/xiaoqing_2014/article/details/79546957

Primary

表示主要的认证信息
然后我们拿到md5那就去网站解密下
https://www.somd5.com/

FLAG33Base64

FLAG3得到

flag{admin#123}

总结

其实早就想做了,但是一直没做接下来尽快完成,通过这个题我学到很多了,希望能继续进步吧