記一次網上流量分析題
阿新 • • 發佈:2017-10-16
words itl word 很多 release sctf 數據包 base 沒有
這是捕獲的黑客攻擊數據包,LateRain用戶的密碼在此次攻擊中泄露了,你能找到嗎?
FLAG格式:SCTF{LateRain的明文密碼}
LINK: http://pan.baidu.com/s/1jH9bkLw 文件名:sctf-Misc400a.pcap
打開數據包,發現數據量很多。直接statistics -> conversrtions 查看tcp包
發現一個比較大,直接Follow Stream,看到包裏面下載了一個rar的包,將界面顯示選擇為Raw(不經過任何加工),選擇save as保存MISC400.rar
打開文件提示輸入密碼,猜測這個文件密碼應該是在之前就傳輸了,所以直接查看在這之前的tcp連接。
看到這些傳遞的參數,先url decode 在base64 decode得到 查找命令知道,使用了
CMD的加密方法,密碼為JJBoom,輸入後看到文件有個9M大小的1.gif 使用linux的file命令查看文件類型 得知是 MDMP crash report data 之後網上查看別人教程
知道了一個 ,博客地址:http://blog.gentilkiwi.com/mimikatz 下載windows可執行文件後,用管理員的身份運行,依次輸入一下代碼。
log d:\1.txt #這一句很關鍵,將回顯輸出到一個文件中
sekurlsa::minidump 1.gif
sekurlsa::logonpasswords full
密碼看著很像是 <TAB><SPACE>,但是打開輸出結果文件後,發現文件後還有四個空格!!!!!!
啊哈哈哈,這個密碼好坑!TAB SPACE看著都不像密碼,關鍵是在dos下看,還看不出 後面有沒有空格!!!!
記一次網上流量分析題