今天突不能上传图片了
下载题目,得到一个Attack.pcap文件,使用wireshark打开,过滤条件选择http, 回车
按下CTL+F快捷键,搜索条件以此选择分组字节流,字符串,关键词设为flag,回车
使用wireshark搜索关键词查找线索
在右下方窗口发现flag.txt,flag前后都有pk,怀疑是zip文件
上图选中824流文件--导出分组字节流存为1.zip
下图bandizip打开压缩包,发现有密码,备注信息“这可是administrator的秘密,怎么能随便给人看呢?“
密码可能和系统密码有关
再次以关键词:.dmp搜索,在右下方窗口发现sass.dmp,返回的是tcp833流超大,足足34MB,是系统转储文件lsass.dmp,导出对象——http 只导出lsass.dmp
需要使用Mimikatz软件查看
https://github.com/gentilkiwi/mimikatz
上面是源码下载地址。点击右侧点击Releases
About
A little tool to play with Windows security
玩转 Windows 安全性的小工具
Resources
Stars
Watchers
Forks
Releases
跳转
https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20220919
下载mimikatz_trunk压缩包,解压到指定路径,把lsass.dmp也拷贝过来,一定要拷贝在对应的
mimikatz.exe所在路径下
上图
在mimikatz.exe右键选择以管理员身份运行,依次输入下面命令
privilege::debug |
token::elevate |
sekurlsa::minidump lsass.dmp |
sekurlsa::logonpasswords full |
命令解释:
privilege::debug 请求调试特权 |
token::elevate 提升权限(这条命令会让我们冒充系统最高权限用户SYSTEM) |
sekurlsa::minidump lsass.dmp 加载内存转储文件以获取目标用户的密码凭证 |
sekurlsa::logonpasswords full 查看所有可用的凭证 |
得到密码W3lc0meToD0g3,去解压之前导出的1.zip压缩包,得到
D0g3{3466b11de8894198af3636c5bd1efce2}
flag{3466b11de8894198af3636c5bd1efce2}