domainhacker
通过对流量包的分析,发现最后一个流量包是对一个rar压缩文件发起请求,返回了一个rar压缩包。
追踪http流,可以看到返回的压缩包数据。
将其文件导出,得到rar文件(左上角,文件,导出对象)
现在我们要找rar的密码。
追踪每个http包,并将其流量复制、url解码之后可以发现一些特征
base64_decode(substr($_POST["q8fb9d4c082c11"],2))
他这里会取传参值的第二位之后来进行base64解码,并执行命令,所以在追踪每个数据包的时候,就找这样的数值进行base64解码就可以知道他执行了什么命令。
在这个数据包中,我们将其传参值解码,得到了命令
-P后面接的就是压缩包的密码,得到密码SecretsPassw0rds
打开压缩包,得到flag,因为文件是mimikatz运行结果(也可以在命令中看到),所以hash值就是ntmlhash
domainhacker2
做法其实和上面的差不多,只不过需要解密ntds.dit文件。
题目给了一个压缩文件,也是加了密的。查看数据包,发现跟上一题的流量特征差不多
也是取传参值的第二位开始,然后base64解码再执行命令
所以一个一个看(不知道还有什么好方法)
在这个数据包里找到了密码
打开压缩包,有ntds.dit文件和SYSTEM文件,刚好可以用impacket进行解密。
ntds.dit为ad的数据库(C:\Windows\NTDS),内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。ntds.dit包括三个主要表:数据表、链接表、sd表。所以只要在域渗透中能够获取到ntds.dit就可以获取到所有域用户的用户名和对应的hash,ntds.dit是加密的,需要获取system来解密。
kali自带这个工具
命令:
impacket-secretsdump -ntds ntds.dit -system SYSTEM -history LOCAK
-ntds后面接ntds.dit文件的位置
-system后面接SYSTEM文件的位置
因为题目中要找上一次密码的hash,所以要加上-history参数。
得到hash
我们要找的hash为07ab403ab740c1540c378b0f5aaa4087