日志流量

日志流量-1

直接放到D盾分析

解碼

flag{A7b4_X9zK_2v8N_wL5q4}

日志流量-2

哥斯拉流量

工具解一下

flag{sA4hP_89dFh_x09tY_lL4SI4}

日志流量-3

tcp流6復制data流

解碼

改pdf

flag{dD7g_jk90_jnVm_aPkcs}

內存取證

內存取證-1

vol.py -f 123.raw --profile=Win7SP1x64 netscan

flag{192.168.60.220}

內存取證-2

flag{155.94.204.67}

內存取證-3

查看文件

vol.py -f 123.raw --profile=Win7SP1x64 filescan | grep txt

看到一個pass.txt文本

提取出來

flag{GalaxManager_2012}

內存取證-4

用注冊表查看賬戶

flag{ASP.NET}

內存取證-5

用netscan查看

進程是1908

再用psscan查看進程

2024-12-20 16:15:34

不過要加8

flag{2024/12/21 00:15:34}

內存取證-6

用hashdump查看

flag{5ffe97489cbec1e08d0c6339ec39416d}

簽到

從給出的郵件頭信息來看，郵件的發送順序大致如下：

首先，郵件是從 mail.solar.sec，對應 VM-20-3-centos 這臺主機）發出，通過 Postfix 服務發送到 mail.da4s8gag.com

然后， mail.da4s8gag.com將郵件轉發到 newxmmxszc6-1.qq.com （通過 NewMX 以及相關的 SMTP 服務，有對應的 id 編號等記錄），最終目標是要發送給 hellosolartest@qq.com 收件人。

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}