2024第一届Solar杯应急响应挑战赛WP

日志流量

日志流量-1

直接放到D盾分析

img

img

解码

img

flag{A7b4_X9zK_2v8N_wL5q4}

日志流量-2

哥斯拉流量

img

工具解一下

flag{sA4hP_89dFh_x09tY_lL4SI4}

日志流量-3

tcp流6复制data流

img

解码

img

改pdf

img

flag{dD7g_jk90_jnVm_aPkcs}

内存取证

内存取证-1

vol.py -f 123.raw --profile=Win7SP1x64 netscan

img

flag{192.168.60.220}

内存取证-2

img

flag{155.94.204.67}

内存取证-3

查看文件

vol.py -f 123.raw --profile=Win7SP1x64 filescan | grep txt

img

看到一个pass.txt文本

提取出来

img

flag{GalaxManager_2012}

内存取证-4

用注册表查看账户

img

flag{ASP.NET}

内存取证-5

用netscan查看

img

进程是1908

再用psscan查看进程

img

2024-12-20 16:15:34

不过要加8

flag{2024/12/21 00:15:34}

内存取证-6

用hashdump查看

img

flag{5ffe97489cbec1e08d0c6339ec39416d}

签到

从给出的邮件头信息来看,邮件的发送顺序大致如下:

首先,邮件是从 mail.solar.sec,对应 VM-20-3-centos 这台主机)发出,通过 Postfix 服务发送到 mail.da4s8gag.com

然后, mail.da4s8gag.com将邮件转发到 newxmmxszc6-1.qq.com (通过 NewMX 以及相关的 SMTP 服务,有对应的 id 编号等记录),最终目标是要发送给 hellosolartest@qq.com 收件人。

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

posted @ 2024-12-29 10:01  WTT0011  阅读(190)  评论(1)    收藏  举报