【玄机应急】第六章 流量特征分析-蚂蚁爱上树
【玄机应急】第六章 流量特征分析-蚂蚁爱上树
一、附件下载
下载附件,在Wireshark中打开
二、步骤一:管理员Admin账号的密码是什么?
1、发现蚁剑流量特征
先大致浏览一下整体的数据包,这两个端口通讯频繁
找几个流量包来看一看,发现蚁剑流量特征
2、找管理员的密码
找木马product2.php ,做标记
1 | http.request.uri contains "/product2.php" |
之后重新回归http,看木马的响应包
追踪http流,是数据库的配置文件,搜索一下
找个md5解密下
flag不对,并不是真的密码
3、真实的Admin密码
继续查看蚁剑的响应包。在3414这个包中可以看到此时并没有Admin用户。因此推测Admin是黑客权限维持的一个用户
那这有点麻烦了,如果Admin是黑客新增用户做的权限维持的话,是没有返回结果的,我们需要破解蚁剑的流量。蚁剑的流量特征还是很好鉴别的,如果不懂,还请移步到【蓝队应急】WebShell 流量特征 文章查看。
我们找没有回显或回显较少的包,对请求的蚁剑流量做解析。为了让大家动手破解,这里也不写脚本工具,仅用一些在线网站即可。
好在这个加密并不是很难,仅仅URL和base64。我们需要对蚁剑的流量掐头去尾:
- 先URL解码一下
- 再以&为分隔符,去掉所有的&,仅仅留下来中间最大的base64编码
- 再进行base64解码下
再base64解码即可,这里的示例是3531号数据包,大家可以一同尝试解密下
当然,更简单的方法是直接筛选蚁剑的流量包,在下面一栏看请求的数据
一步步解密,最后在15190号包中找到,记得解密时把il 去掉
找到黑客权限维持时创建的Admin 的密码是Password1
三、步骤二:LSASS.exe的程序进程ID是多少?
同样的,这个也需要一步步解密蚁剑的流量,在5922号数据包
四、步骤三:用户WIN101的密码是什么?
1、导出密码文件
在步骤二中,黑客dump下来lsass进程到C:\temp\OnlineShopBackup.zip ,那我们需要拿到这个文件
在6944号数据包中,解密后是查看C:\temp\OnlineShopBackup.zip 的内容,那么它的相应包就是咱们需要的文件了。直接在【文件】中【到处对象】选择http,找到这个号数据包下方的47MB的数据保存
导出了一个product2.php 文件,但这个数据包中还有蚁剑的数据
删除开头的e1c1709 ,修改后缀成dmp
2、加载密码文件
交给mimikatz 去加载
1 | sekurlsa::minidump 1.dmp |