2024第一届Solar杯应急响应挑战赛

日志流量

日志流量-1

直接放到D盾分析

解码

flag{A7b4_X9zK_2v8N_wL5q4}

日志流量-2

哥斯拉流量

工具解一下

flag{sA4hP_89dFh_x09tY_lL4SI4}

日志流量-3

tcp流6复制data流

解码

改pdf

flag{dD7g_jk90_jnVm_aPkcs}

内存取证

内存取证-1

vol.py -f 123.raw --profile=Win7SP1x64 netscan

flag{192.168.60.220}

内存取证-2

flag{155.94.204.67}

内存取证-3

查看文件

vol.py -f 123.raw --profile=Win7SP1x64 filescan | grep txt

看到一个pass.txt文本

提取出来

flag{GalaxManager_2012}

内存取证-4

用注册表查看账户

flag{ASP.NET}

内存取证-5

用netscan查看

进程是1908

再用psscan查看进程

2024-12-20 16:15:34

不过要加8

flag{2024/12/21 00:15:34}

内存取证-6

用hashdump查看

flag{5ffe97489cbec1e08d0c6339ec39416d}

签到

从给出的邮件头信息来看，邮件的发送顺序大致如下：

首先，邮件是从 mail.solar.sec，对应 VM-20-3-centos 这台主机）发出，通过 Postfix 服务发送到 mail.da4s8gag.com

然后， mail.da4s8gag.com将邮件转发到 newxmmxszc6-1.qq.com （通过 NewMX 以及相关的 SMTP 服务，有对应的 id 编号等记录），最终目标是要发送给 hellosolartest@qq.com 收件人。

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}