题目3

在一次日志分析过程中 ，发现攻击者使用webshell下载了一个远程控制程序，请分析出webshell中的密码。

拿到的日志文件有90M，内容比较多。但是由于本人对于使用webshell下载程序这种事不是很了解，所以无奈只好使用手动搜索的方法。

将题目给的log文件用010打开，这是因为010在搜索字符串的时候们能提供搜索结果预览。在搜索了password、download、shell、pwd等字符串未果后，无奈放弃。因为这些字符命中的数据都有3万条左右，多的甚至可以达到40万，人工审查比较容易出现失误。

比赛结束后咨询其他选手了解到可以通过搜wget解决。

010中的搜索结果

最后将.exe前面的base64字符拿去 解密即可得到flag。

搜索wget只有一条记录

题目6

对某一次流量数据进行分析，得到其中的密码。

给了一个177K的pcap文件。拿到先去跑了一边binwalk，发现里面有几张png，但是都比较小，大概只有60x60的样子。所以当时还是先去提取这两张png了。但是遗憾的是，经过8次提取、修复（检查了文件头、尾），得到的文件都是损坏的，一时陷入僵局。

最后索性直接用010打开pcap，搜索flag的格式XXXX{}，结果就找到了，，，，

搜关键字

但是只有一半的flag，于是搜索}，于是得到另一半flag。

甚至这个还是完整的

未完待续。