BUU MISC刷题记录 [安洵杯 2019]Attack

[安洵杯 2019]Attack

知识点

流量分析
lsass.dmp

做题过程

打开流量包
流量包中有大量http、tcp包和一部分nbns、arp包，先看传输的东西有没有问题
过滤：http

再看一下http响应包

把404去掉
过滤：http.response.code !=404

很明显有一个tcpdump.pcap，在导出http对象里选择导出
搜索有没有包含"flag"的包
过滤：ip.contains "flag"

追踪流

这里还有一个压缩包，也提取出来
压缩包有密码

关于lsass
lsass是windows系统的一个进程，用于本地安全和登陆策略。mimikatz可以从 lsass.exe 里获取windows处于active状态账号明文密码。本题的lsass.dmp就是内存运行的镜像，也可以提取到账户密码
下载：
https://github.com/gentilkiwi/mimikatz/releases/

如何使用：
把lsass.dmp复制到mimikatz的目录，然后运行mimikatz
输入：

//提升权限
privilege::debug
//载入dmp文件
sekurlsa::minidump lsass.dmp
//读取登陆密码
sekurlsa::logonpasswords full

找到administrator的密码

解密压缩包，得到flag

参考

https://www.cnblogs.com/LEOGG321/p/13693561.html
https://shawroot.hatenablog.com/entry/2020/01/07/安洵杯_2019/BUUCTF-Attack
https://www.nigesb.com/introduction-of-mimikatz.html