玄机第六章 流量特征分析-蚂蚁爱上树

最新推荐文章于 2025-07-20 22:05:02 发布
原创 最新推荐文章于 2025-07-20 22:05:02 发布 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全威胁分析

第六章 流量特征分析-蚂蚁爱上树

简介

@老狼
应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题
1. 管理员Admin账号的密码是什么?
2. LSASS.exe的程序进程ID是多少?
3. 用户WIN101的密码是什么?
1. 管理员Admin账号的密码是什么?

筛选POST请求,http.request.method==“POST”

点击Info,会根据字母顺序和流量包的相似性进行排序

大致看一下,可以发现/onlineshop/product2.php上传了蚁剑木马

image-20250302110502481

由于蚁剑webshell会有几个随机参数,参数值的前两个字符也是随机的,第三个字符开始以后的字符串是由base64编码而来的

所以接下来对每个这个路由的随机参数的第三个字符及以后的值进行base64解码后再查看是否有关于admin密码的命令

image-20250302111055501

net user admin Password1 /add 这条命令是在添加(add)一个名为admin,密码为Password1的用户

所以flag为

flag{Password1}
2. LSASS.exe的程序进程ID是多少?

这里先了解一下LSASS.exe是什么?

rundll32.exe 是一个 Windows 系统进程,允许用户调用 Windows DLL 文件中的函数。这通常用于执行系统功能或脚本任务。rundll32.exe 被用来调用 comsvcs.dll 中的 MiniDump 函数,生成一个包含系统账户和密码信息的 lsass.dmp 文件。

LSASS.exe 是 Windows 操作系统中负责管理本地安全策略、用户认证和访问控制的关键系统进程。由于其在系统安全中的重要性,LSASS.exe 常常成为攻击者的目标。通过适当的监控、访问控制和安全工具,管理员可以有效地检测和防止对 LSASS 进程的恶意攻击。

看到进程ID可以想起上一题逐个对随机参数值解码时得到的一个结果

image-20250302114032463

cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]

rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip

这段命令的作用就是利用系统自带的rundll32.exe来调用comsvcs.dll中的MiniDump函数将进程为852的内存转储文件存到C:\Temp\OnlineShopBackup.zip中

所以这里转储的进程就是852

flag{852}
3. 用户WIN101的密码是什么?

上题的内存转储文件中包含着很多敏感信息,比如凭据或者其他机器数据

rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip

这个命令会生成包含lsass进程的内存转储文件,通常命名为lsass.dmp

这里的思路是将文件提取出来,放进010中稍微修改一下头部成dmp文件,然后用工具mimikatz提取里面的敏感信息,mimikatz的作用就是从内存中提取明文密码、哈希、PIN 码和 Kerberos 票证

小型转储文件头部(Minidump);

00000000: 4D 44 4D 50 93 A7 00 00 00 00 00 00 00 00 00 00 MDMP…
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …
00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …

很显然是上一题的OnlineShopBackup.zip文件,关键是提取这个内存转储文件呢?

找了一圈没看到下载zip的数据包,想了想/product2.php是上传webshell的路径,下载zip文件也是通过/product2.php来下载的,所以猜测是product2.php文件

导出http对象,筛选后发现有很多个product2.php,至于是哪个呢?

image-20250302140458249

image-20250302140609380

这里需要了解一下dmp文件的特点

dmp文件特点;

转储文件(dump file)的大小可以变化很大,取决于生成的转储文件类型以及系统的配置。转储文件主要有两种类型:小型转储文件(minidump)和完整内存转储文件(full dump)。这两种文件在大小和包含的信息上有很大的不同。

小型转储文件(Minidump)

大小:通常比较小,几百KB到几MB。
特点:
包含进程崩溃时的基本信息,如线程、调用堆栈、部分内存数据和加载的模块。
适用于快速调试和分析崩溃原因。
生成速度快,占用存储空间小。

所以按照文件大小进行排序,从最大的开始逐个测试,试了之后发现就是47MB的那个

把它导出放到010中,由于dmp的文件头是MDMP,所以需要把前面的这串删掉保存

image-20250302141711097

这时候需要用到mimikatz了,将该文件拖到工具目录下

使用命令提取

sekurlsa::minidump 1.dmp
sekurlsa::logonpasswords

image-20250302142123203

NTLM : 282d975e35846022476068ab5a3d72df 这是进行身份认证时的哈希值

用md5在线解密,https://www.somd5.com/

image-20250302142454777

玄机——第六章 流量特征分析-waf 上的截获的黑客攻击流量 wp
焦虑的焦虑
06-22 3660
第六章 流量特征分析-waf 上的截获的黑客攻击流量
第六章 流量特征分析-小王公司收到的钓鱼邮件
weixin_67832625的博客
10-08 1122
服务器场景操作系统 None服务器账号密码 None None任务环境说明注:样本勿在本地运行!!!样本勿在本地运行!!!样本勿在本地运行!!!应急响应工程师小王在 WAF 上发现了一段恶意流量分析流量且提交对应 FLAG。
玄机-流量特征分析-waf 上的截获的黑客攻击流量
m0_73481504的博客
10-28 484
简介:应急响应工程师小徐在 waf下载一段黑客的攻击流量分析黑客的攻击流量并且找到对应的关键信息提供给应急小组协助修复漏洞。
玄机第六章 流量特征分析-蚂蚁爱上
weixin_46148739的博客
08-28 1274
这个 DLL 文件中的 MiniDump 函数可以用来创建内存转储文件(memory dump),这些文件包含了系统内存的快照,可能包括敏感信息,如用户凭证。dmp文件的特征之一就是文件较大,直接选47MB的查看,打开文件后也能看到dmp文件特征,对比常规dmp文件发现文件头多了e1c1709这几个字符,删除后文件恢复正常。Ctrl+F 查找admin关键词,查找到第一个数据包看到执行dir命令的返回结果,大概为黑客命令执行返回的结果,查看一下追踪流。
玄机——第六章 流量特征分析-蚂蚁爱上 wp
焦虑的焦虑
06-25 3247
第六章 流量特征分析-蚂蚁爱上
玄机-应急平台】第六章 流量特征分析-蚂蚁爱上
Aluxian_的博客
06-07 2734
一个不错的应急平台可以练习,做点练习做记录。[X] BiliBili:落寞的鱼丶[X] 公众号:鱼影安全[X] CSDN:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛欢迎师傅们交流学习~应急响应小组成员老狼在 waf下载一段流量分析黑客攻击手法并且解答下面题。
玄机-第六章 流量特征分析-蚂蚁爱上的测试报告
ccc_9wy的博客
03-26 1133
玄机靶场;第六章 流量特征分析-蚂蚁爱上;Windows应急响应;dmp文件;mimikatz;LSASS.exe;蚁剑流量;webshell;base64解码。
玄机第六章 流量特征分析-蚁剑流量分析
2301_79716382的博客
02-27 482
参考文档:https://zhuanlan.zhihu.com/p/666225827简介筛选http,右键其中的一个POST的求包,选择追踪流,点击http流很明显的看到蚁剑流量包的特征,有这两个特殊字段将这段求体复制进行url解码,然后再php格式化一下得到。
玄机——第六章 流量特征分析-蚂蚁爱上
2402_87221233的博客
07-20 792
本文分析了黑客通过WebShell(蚁剑)攻击的过程。攻击者上传了product2.php后门文件,利用POST求执行恶意命令。分析发现黑客通过net user admin Password1 /add命令添加管理员账号,密码为Password1;使用rundll32.exe转储LSASS进程内存,进程ID为852;并通过导出.dmp文件获取WIN101用户凭证。整个攻击过程涉及WebShell注入、权限提升和内存凭证窃取。
玄机平台流量特征分析蚂蚁爱上
2301_76227305的博客
06-24 591
这次的流量分析步骤1.2和步骤1.3都有点涉及到知识盲区了,我的理解是rundll32.exe生成了一个.dmp文件存储账号密码。然后需要导出http流量找到.dmp文件,再用mimikatz读取。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机-流量特征分析-蚁剑流量分析
苏生要努力
05-27 1847
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
玄机-第六章 流量特征分析-小王公司收到的钓鱼邮件
weixin_62457642的博客
09-29 589
玄机靶场详解
玄机第六章 流量特征分析-蚁剑流量分析
cjchsh的博客
02-21 783
玄机第六章 流量特征分析-蚁剑流量分析
玄机平台流量特征分析-常见攻击事
2301_76227305的博客
06-18 727
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1768
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
autoscaling-jvm-1.5.13.jar
09-13
autoscaling-jvm-1.5.13.jar
tempest-testing-2024.04.02.213403-4170185.jar
09-13
tempest-testing-2024.04.02.213403-4170185.jar
地搜立刻同意我雄 静电纺丝
最新发布
09-13
给对它的快递费监考老师
exhaustive-annotation-js-0.2.0-javadoc.jar
09-13
exhaustive-annotation-js-0.2.0-javadoc.jar
玄机 3.0-jsp流量分析
06-28
分析玄机 3.0版本中与JSP相关的流量时,可以通过以下几个方面进行操作。以下方法和步骤结合了分布式系统、数据存储优化以及测试工具的实践经验[^1]。 ### 数据采集 首先,需要对JSP页面的访流量进行采集。可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值