记一次网上流量分析题

Posted 2020-10-11 广汽白云山

这是捕获的黑客攻击数据包，LateRain用户的密码在此次攻击中泄露了，你能找到吗？
FLAG格式：SCTF{LateRain的明文密码}

LINK: http://pan.baidu.com/s/1jH9bkLw     文件名：sctf-Misc400a.pcap

打开数据包，发现数据量很多。直接statistics -> conversrtions 查看tcp包

 

发现一个比较大，直接Follow Stream，看到包里面下载了一个rar的包，将界面显示选择为Raw（不经过任何加工），选择save as保存MISC400.rar

 

打开文件提示输入密码，猜测这个文件密码应该是在之前就传输了，所以直接查看在这之前的tcp连接。

看到这些传递的参数，先url decode  在base64 decode得到  查找命令知道，使用了

CMD的加密方法，密码为JJBoom，输入后看到文件有个9M大小的1.gif   使用linux的file命令查看文件类型 得知是  MDMP crash report data 之后网上查看别人教程

知道了一个 ，博客地址：http://blog.gentilkiwi.com/mimikatz       下载windows可执行文件后，用管理员的身份运行，依次输入一下代码。

log d:\\1.txt      #这一句很关键，将回显输出到一个文件中  
sekurlsa::minidump 1.gif
sekurlsa::logonpasswords full

密码看着很像是  <TAB><SPACE>，但是打开输出结果文件后，发现文件后还有四个空格！！！！！！

啊哈哈哈，这个密码好坑！TAB SPACE看着都不像密码，关键是在dos下看，还看不出 后面有没有空格！！！！