下载附件后是一个流量包
打开后先通过协议分级分析里面包含了哪些协议
发现tcp中的http协议占多数
过滤http协议
搜索flag字符串
发现这个流量中包含了一个flag.txt文件
追踪流发现里面包含了admin的账号密码
用foremost分离提取压缩包
把发现的密码写上去
发现行不通
接着在uploads路径下观察攻击者的操作
发现攻击者寻找了lsass.dmp文件,并且返回成功
LSASS 进程读取:Windows 的本地安全授权子系统服务(LSASS)负责存储用户登录凭证(如明文密码、NTLM 哈希等)。
利用wireshark的导出对象功能提取这个文件
使用mimikatz获得该文件中administrator的密码
mimikatz只能在wimdows下使用
将lsass.dmp文件放到mimikatz.exe下目录
privilege::debug
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
写入密码找到flag
flag{3466b11de8894198af3636c5bd1efce2}
参考
BUUCTF [安洵杯 2019]Attack 1
