安洵杯2019-attack:
打开好多包,先筛一波http,
发现前面大部分都是404状态码,中间一些部分才有200。另外还可以看到请求成功的url都是upload文件夹下,感觉不简单,非常可能是有攻击。然后看了前两个200的http包,发现确实是上传了木马:
然后往下看,发现7440这个包中下载了一个压缩包(PK文件头很明显是个zip文件),里面很显然是有flag.txt的,那我们直接导出:
命名为flag.zip后保存,尝试解压,发现他需要密码,还给了句贱贱的提示。。。。尝试了暴力破解,也没出来......那看来应该是和系统用户administrator相关了
还是得在流量里找线索了(但是我不会找😅),看了大佬的wp后,才知道关键点在 lsass.dmp 文件。
dmp文件是windows系统中的错误转储文件,当Windows发生错误蓝屏的时候,系统将当前RAM内存【含虚拟内存】中的数据直接写到文件中去,方便定位故障原因。如果里面有用户的账号密码或者有正在编辑或浏览的文档信息,就有可能造成敏感信息的泄露。其主要和 微软Windows操作系统中使用的Memory Dump/Minidump(DMP)文件格式和文件类型有关。
可以看到在响应状态为200的流量中,之前都是upload/config.php的路径,但最后一个是请求了一个lsass.dmp的文件,所以就是系统的错误转储文件,里面就有可能会有用户的账号密码。那么这里我们可以使用mimikatz这个工具来打开此文件。
mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限,注入进程,读取进程内存,当然他最大的亮点是可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码。这个工具从github上就可以下载得到(但是好像需要自己编译成.exe文件,可以网上找一下教程吧)。
先把lsass.dmp文件从wireshark导出,然后以管理员身份打开mimikatz.exe(打开之前需要先在防火墙中允许mimikatz通过,否则无法运行程序):
//提升权限
privilege::debug
//载入dmp文件
sekurlsa::minidump lsass.dmp
//读取登陆密码
sekurlsa::logonpasswords full
最终可以看到administrator用户的密码是W3lc0meToD0g3,然后去尝试解压压缩包,发现成功解压,打开flag.txt文件得到flag。
2180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
