时间:2025-08-06 09:40
人气:
作者:admin
题目
1. 管理员Admin账号的密码是什么?
2. LSASS.exe的程序进程ID是多少?
3. 用户WIN101的密码是什么?
题目告诉我们管理员账户,我首先在wireshark里面搜索与Admin相关的关键字在4079这里追踪http流
发现了蚁剑相关的流量特征,并且确定了黑客的内网ip地址和上传的shell,但是这里没有我相要的密码
我们对黑客的上传的shell进行关键搜索,按照长度大小排序在长度为4146这里对这里进行base64解码得到黑客的操作信息
http.request.method =="POST" && http contains "product2.php"
条命令在 Windows 系统上执行了一系列操作,包括导航到特定目录并添加一个名为 admin 的用户,同时设置密码
flag{Password1}
在前面分析流量的时候在长度为4172这里得到了这么一行代码
·~\·m|···ol·cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
LSASS.exe(Local Security Authority Subsystem Service,本地安全认证子系统服务)是Windows操作系统的核心系统进程,负责管理本地安全策略、用户登录认证、访问控制等关键安全功能。其重要性在于直接涉及系统安全机制,但也常被恶意软件伪装利用
“rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full”:
flag{852}
这里我看了大佬的文章,因为上题C:\Temp\OnlineShopBackup.zip这里看到了zip就在流量包里面找zip结果没找到
后面文章说已经在product2.php里面了,所以我们在这里找那个是有dmp文件的product2.php文件了
我们在文件->导出->http ->搜product2.php文件然后找dmp文件
dmp文件大小特点:文件的大小,主要取决于你想保存多少信息,最小几百 KB,最大可达整个物理内存的大小(数 GB)。
| 类型 | 大小特点 | 内容概述 |
|---|---|---|
| 小型转储(Minidump) | 较小,通常为几百 KB 到几十 MB | 包含线程、模块、异常、堆栈等简要信息 |
| 完整用户转储(Full User Dump) | 较大,可能为 数百 MB 到数 GB | 包含整个进程的所有虚拟内存内容 |
| 内核转储(Kernel Dump) | 较大,通常为 200MB 到 1GB | 包含内核空间和驱动等 |
| 完整系统转储(Complete Dump) | 非常大,可达 系统内存大小(RAM)的一倍 | 包括全部内存数据,最详尽 |
最后在这个为47mb这里找到了文件,将它保存下来用010打开
010打开发现明显的头部特征,删除并且Ctrl+s进行保存(后缀格式为dmp)
改完之后为这样
使用工具“mimikatz”分析dmp文件中MD5密码的值,分析的dmp文件放在同一目录下
使用命令开始分析
sekurlsa::minidump product2.dmp
sekurlsa::logonpasswords
Primary: [00000003]
NTLM: 282d975e35846022476068ab5a3d72df
最后拿去网站解密https://www.somd5.com/
flag{admin#123}
关注微信