webshell流量题

使用http.request.method==POST过滤器查看webshell流量找到带有flag的压缩包，但是需要密码

在010下发现字符串，推测需要administrator的密码

在http导出对象中发现了lsass.dmp

lsass.exe 是微软 Windows 的系统进程，也是一个安全机制，用于本地安全和登陆策略。通常我们在登录系统时输入用户名和密码之后，密码会存储在 lsass 内存中，而 mimikatz 正是通过对 lsass 逆算获取到明文密码。
mimikatz常用命令

提权

privilege::security     //调整为安全权限 
privilege::restore      //恢复原来权限 
privilege::sysenv       //调整为系统环境权限 
privilege::driver       //调整为装载驱动权限

获取密码

sekurlsa::msv      //读取用户对应密码的各种加密协议的密文(NTML、SHA1等)，低版本windows可以读取为明文
sekurlsa::wdigest     //wdigest凭证，运用程序漏洞可逆的手法去读取密码明文
sekurlsa::tspkg       //tspkg凭证

sekurlsa::logonpasswords    //读取用户各种凭证和信息。

sekurlsa::tickets                 //列出kerberos中的票据
sekurlsa::tickets /export         //导出票据

#下面两条命令结合使用，可以将转储的lsass进程为lsass.dmp文件，离线读取内存信息
sekurlsa::minidump <filename>或lsass.dump      //加载对应文件(lsass.dump)
sekurlsa::logonPasswords full        //读取文件信息

获取明文密码

解密并拉到最底下得到flag