博客内容涉及了一次针对域控制器的密码喷洒攻击的调查,通过RDP日志和截图文件进行分析。使用特定工具解析bmc文件,揭示了攻击者在系统中的活动,包括命令执行、用户身份验证尝试等,最终通过截图拼接找到了关键信息‘flag’。
还是先下载一下文件,然后看看题目,题目的描述是在说:我们发现了针对域控制器的密码喷洒攻击的证据,并确定了一个可疑的 RDP 会话。我们将为您提供我们的 RDP 日志和其他文件。你能看出他们在做什么吗?
ok,看完了,应该能知道这是给了RDP的流量,然后问能不能知道他们干了啥,我们将下载下来的文件打开看看。发现包含两个文件,其中一个bmc文件,还有一个是bin文件。
使用搜索引擎能知道,bmc文件可以理解为RDP操作的截图,具体解析可以看这个链接
使用这个工具可以提取这个截图。
https://git哈布.com/ANSSI-FR/bmc-tools
#记得替换中文
在kali中使用如下命令获取这个工具
git clone https://git哈布.com/ANSSI-FR/bmc-tools.git
然后
cd bmc-tools
接着使用如下这条命令,解析这个bmc文件
python3 bmc-tools.py -s /home/kali/Desktop/N/Cache0000.bin -d store
解释一下其中的-s以及-d的含义,其实在readme文件中也能看到。
-s的含义是指定要解析的文件
-d是指定解析的文件存放的位置,注意一定要是一个文件夹。比如我的就是store文件夹。
解析成功后,进入store文件夹看看。很明显,这是桌面一块一块的截图。可以被拼接成整个桌面的显示。
我们继续往下翻,发现存在cmd中的命令执行,隐约有什么whoami,user之类的。
一直往后翻,发现了flag的标记,我们能看到类似{}的东西出现。
三张图一拼,就是正确答案。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
