日志流量
日志流量-1
直接放到D盾分析
解码
flag{A7b4_X9zK_2v8N_wL5q4}
日志流量-2
哥斯拉流量
工具解一下
flag{sA4hP_89dFh_x09tY_lL4SI4}
日志流量-3
tcp流6复制data流
解码
改pdf
flag{dD7g_jk90_jnVm_aPkcs}
内存取证
内存取证-1
vol.py -f 123.raw --profile=Win7SP1x64 netscan
flag{192.168.60.220}
内存取证-2
flag{155.94.204.67}
内存取证-3
查看文件
vol.py -f 123.raw --profile=Win7SP1x64 filescan | grep txt
看到一个pass.txt文本
提取出来
flag{GalaxManager_2012}
内存取证-4
用注册表查看账户
flag{ASP.NET}
内存取证-5
用netscan查看
进程是1908
再用psscan查看进程
2024-12-20 16:15:34
不过要加8
flag{2024/12/21 00:15:34}
内存取证-6
用hashdump查看
flag{5ffe97489cbec1e08d0c6339ec39416d}
签到
从给出的邮件头信息来看,邮件的发送顺序大致如下:
首先,邮件是从 mail.solar.sec,对应 VM-20-3-centos 这台主机)发出,通过 Postfix 服务发送到 mail.da4s8gag.com
然后, mail.da4s8gag.com将邮件转发到 newxmmxszc6-1.qq.com (通过 NewMX 以及相关的 SMTP 服务,有对应的 id 编号等记录),最终目标是要发送给 hellosolartest@qq.com 收件人。
flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}
标签:取证,2024,flag,内存,Solar,WP,mail,com From: https://www.cnblogs.com/WTT001/p/18638495