BUU MISC刷題記錄 [安洵杯 2019]Attack
阿新 • • 發佈:2021-07-09
[安洵杯 2019]Attack
知識點
流量分析
lsass.dmp
做題過程
開啟流量包
流量包中有大量http、tcp包和一部分nbns、arp包,先看傳輸的東西有沒有問題
過濾:http
再看一下http響應包
把404去掉
過濾:http.response.code !=404
很明顯有一個tcpdump.pcap,在匯出http物件裡選擇匯出
搜尋有沒有包含"flag"的包
過濾:ip.contains "flag"
追蹤流
這裡還有一個壓縮包,也提取出來
壓縮包有密碼
關於lsass
lsass是windows系統的一個程序,用於本地安全和登陸策略。mimikatz可以從 lsass.exe 裡獲取windows處於active狀態賬號明文密碼。本題的lsass.dmp就是記憶體執行的映象,也可以提取到賬戶密碼
下載:
https://github.com/gentilkiwi/mimikatz/releases/
如何使用:
把lsass.dmp複製到mimikatz的目錄,然後執行mimikatz
輸入:
//提升許可權
privilege::debug
//載入dmp檔案
sekurlsa::minidump lsass.dmp
//讀取登陸密碼
sekurlsa::logonpasswords full
找到administrator的密碼
解密壓縮包,得到flag
參考
https://www.cnblogs.com/LEOGG321/p/13693561.html
https://shawroot.hatenablog.com/entry/2020/01/07/安洵杯_2019/BUUCTF-Attack
https://www.nigesb.com/introduction-of-mimikatz.html