阿摩線上測驗
38.滲透測試的外包商在進行檢測時,發
現網站根目錄下存在不少的 PHP 檔案,例如有 1111.PHP, Shell.php,
probe.php 還發現了一些副檔名為.dump 的檔案,其中有一個檔案
開啟後如附圖一所示。請問此檔案為下列何項?
(A) 這是偵錯的 log 檔案
(B) 這是登入成功、失敗的安全性事件
(C) 這是 CRACKMAPEXEC 分析密碼的結果檔
(D) 這是 mimikatz 另存出來的結果檔
答案:登入後查看
統計: A(44), B(35), C(245), D(73), E(0) #3294518
統計: A(44), B(35), C(245), D(73), E(0) #3294518
詳解 (共 2 筆)
x z Sung
#6610762
1
0
hiiii
#6236350
(A) 這是偵錯的 log 檔案
log 檔案通常用於記錄系統或應用程式的運行狀態、錯誤訊息等。從題目描述的 .dump 檔案來看,其內容顯示的應該是帳戶和密碼的相關資訊,而非單純的運行或錯誤記錄。因此,這個選項不正確。
(B) 這是登入成功、失敗的安全性事件
安全性事件通常記錄登入嘗試的成功或失敗紀錄,包括用戶名、來源 IP、嘗試時間等。但附圖中的內容顯示多組帳戶名稱和密碼,並不像常見的登入紀錄文件,因此這個選項不符合情境描述。
(C) 這是 CRACKMAPEXEC 分析密碼的結果檔
CRACKMAPEXEC 是一種滲透測試工具,經常被用來檢查和驗證帳戶憑證,特別是在 Windows 網域環境下進行認證測試。該工具會生成類似的結果檔案,包含帳戶名稱、密碼雜湊值等資訊。題目中的 .dump 檔案內容與 CRACKMAPEXEC 的輸出結果非常相似,因此這是正確的答案。
(D) 這是 mimikatz 另存出來的結果檔
Mimikatz 通常用於提取 Windows 系統中的密碼和憑證資料,但其格式與 CRACKMAPEXEC 略有不同,通常包含較為深入的系統憑證細節。而根據題目情境和檔案的顯示內容,較符合 CRACKMAPEXEC 的結果格式,因此這個選項不正確。
1. 伺服器基本資訊
SMB 192.168.0.76 445 DC [*] Windows Server 2012 R2 Standard 9600 x64 (name:DC) (domain:test.lab)
伺服器資訊:這是一台運行 Windows Server 2012 的伺服器,名稱為 DC,位於 test.lab 網域。
伺服器資訊:這是一台運行 Windows Server 2012 的伺服器,名稱為 DC,位於 test.lab 網域。
2. 使用者帳戶與密碼
test.lab\testadmin:Password123 (Pwn3d!)
帳戶名稱和密碼:顯示 testadmin 帳戶的密碼為 Password123,表示該帳戶容易被攻擊者破解。
test.lab\testadmin:Password123 (Pwn3d!)
帳戶名稱和密碼:顯示 testadmin 帳戶的密碼為 Password123,表示該帳戶容易被攻擊者破解。
3. NTLM 雜湊值
TEST\DC$:aad3b435b51404eeaad3b435b51404ee:6e93dbc1944a24129c85324692f4687b
密碼雜湊值:這是該帳戶的雜湊值(加密後的密碼),可以被攻擊者用來繞過密碼限制進行模擬登入。
TEST\DC$:aad3b435b51404eeaad3b435b51404ee:6e93dbc1944a24129c85324692f4687b
密碼雜湊值:這是該帳戶的雜湊值(加密後的密碼),可以被攻擊者用來繞過密碼限制進行模擬登入。
4. 憑證檔案儲存
Dumped 7 LSA secrets to /home/t/.cme/logs/DC_192.168.0.76_2021-07-22_122314.secrets
憑證儲存:已將伺服器的敏感憑證存到指定路徑中,可供後續分析。
Dumped 7 LSA secrets to /home/t/.cme/logs/DC_192.168.0.76_2021-07-22_122314.secrets
憑證儲存:已將伺服器的敏感憑證存到指定路徑中,可供後續分析。
1
0