码迷,mamicode.com
首页 > 其他好文 > 详细

记一次网上流量分析题

时间:2017-10-16 18:01:59      阅读:369      评论:0      收藏:0      [点我收藏+]

标签:ctf   code   window   center   http   win   int   png   minidump   

这是捕获的黑客攻击数据包,LateRain用户的密码在此次攻击中泄露了,你能找到吗?
FLAG格式:SCTF{LateRain的明文密码}

LINK: http://pan.baidu.com/s/1jH9bkLw     文件名:sctf-Misc400a.pcap

打开数据包,发现数据量很多。直接statistics -> conversrtions 查看tcp包

技术分享

 

发现一个比较大,直接Follow Stream,看到包里面下载了一个rar的包,将界面显示选择为Raw(不经过任何加工),选择save as保存MISC400.rar

 

技术分享

打开文件提示输入密码,猜测这个文件密码应该是在之前就传输了,所以直接查看在这之前的tcp连接。

技术分享

看到这些传递的参数,先url decode  在base64 decode得到技术分享  查找命令知道,使用了

CMD的加密方法,密码为JJBoom,输入后看到文件有个9M大小的1.gif   使用linux的file命令查看文件类型 得知是  MDMP crash report data 之后网上查看别人教程

知道了一个 ,博客地址http://blog.gentilkiwi.com/mimikatz       下载windows可执行文件后,用管理员的身份运行,依次输入一下代码。

log d:\1.txt      #这一句很关键,将回显输出到一个文件中  
sekurlsa::minidump 1.gif
sekurlsa::logonpasswords full

技术分享

密码看着很像是  <TAB><SPACE>,但是打开输出结果文件后,发现文件后还有四个空格!!!!!!

技术分享

啊哈哈哈,这个密码好坑!TAB SPACE看着都不像密码,关键是在dos下看,还看不出 后面有没有空格!!!!

 

记一次网上流量分析题

标签:ctf   code   window   center   http   win   int   png   minidump   

原文地址:http://www.cnblogs.com/write-hua/p/7677689.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!