BUU MISC刷题记录 [安洵杯 2019]Attack

[安洵杯 2019]Attack

知识点

流量分析
lsass.dmp

做题过程

打开流量包
流量包中有大量http、tcp包和一部分nbns、arp包,先看传输的东西有没有问题
过滤:http

再看一下http响应包

把404去掉
过滤:http.response.code !=404

很明显有一个tcpdump.pcap,在导出http对象里选择导出
搜索有没有包含"flag"的包
过滤:ip.contains "flag"

追踪流

这里还有一个压缩包,也提取出来
压缩包有密码

关于lsass
lsass是windows系统的一个进程,用于本地安全和登陆策略。mimikatz可以从 lsass.exe 里获取windows处于active状态账号明文密码。本题的lsass.dmp就是内存运行的镜像,也可以提取到账户密码
下载:
https://github.com/gentilkiwi/mimikatz/releases/

如何使用:
把lsass.dmp复制到mimikatz的目录,然后运行mimikatz
输入:

//提升权限
privilege::debug
//载入dmp文件
sekurlsa::minidump lsass.dmp
//读取登陆密码
sekurlsa::logonpasswords full

找到administrator的密码

解密压缩包,得到flag

参考

https://www.cnblogs.com/LEOGG321/p/13693561.html
https://shawroot.hatenablog.com/entry/2020/01/07/安洵杯_2019/BUUCTF-Attack
https://www.nigesb.com/introduction-of-mimikatz.html

posted @ 2021-07-09 19:26  云千  阅读(935)  评论(0编辑  收藏  举报