(*本文使用工具,均为windows系统,这些工具kali系统自带,有的人不喜欢用kali系统,主页有windows下载资源)
题目链接:
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]Attack
将流量包下载下来之后,发现文件大小异常,猜测文件中包含其他文件。
解题方法:
使用分离工具foremost-master,将Attack.pcap流量包进行分离
首先将Attack.pcap复制进\foremost-master\binary,与foremost.exe在同一文件夹下
打开cmd命令行,进入foremost.exe存放路径,将Attack.pcap流量包进行分离
发现提示一个flag.txt
分离出来的文件存放在\foremost-master\binary\output中,进入查看,发现有个zip文件
压缩包中有flag.txt但是需要密码
发现一句话“这可是administrator的秘密,怎么能随便给人看呢?”,administrator是windows操作系统管理员用户,猜测和用户密码有关。
重新分析流量包,搜索查看常用协议,发现在http协议中存在lsass.dmp
(*dmp文件是windows系统中的错误转储文件,当Windows发生错误蓝屏的时候,系统将当前内存【含虚拟内存】中的数据直接写到文件中去,方便定位故障原因。)
(*里面包含主机用户密码信息)
将lsass.dmp提取出来,选择文件-导出对象-HTTP,搜索.dmp文件-save保存提出
使用mimikatz分析.dmp文件,使用管理员权限打开命令提示符,cd 进去存放mimikatz.exe文件夹中,使用mimikatz.exe。
(*lsass.dmp文件需要和mimikatz.exe在一个文件夹下 )
//提升权限
privilege::debug
//载入dmp文件
sekurlsa::minidump lsass.dmp
//读取登陆密码
sekurlsa::logonpasswords full
获得Administrator密码:W3lc0meToD0g3
解压压缩包查看flag.txt最后一行获得flag:
D0g3{3466b11de8894198af3636c5bd1efce2}