题目3
在一次日志分析过程中 ,发现攻击者使用webshell下载了一个远程控制程序,请分析出webshell中的密码。
拿到的日志文件有90M,内容比较多。但是由于本人对于使用webshell下载程序这种事不是很了解,所以无奈只好使用手动搜索的方法。
将题目给的log文件用010打开,这是因为010在搜索字符串的时候们能提供搜索结果预览。在搜索了password、download、shell、pwd等字符串未果后,无奈放弃。因为这些字符命中的数据都有3万条左右,多的甚至可以达到40万,人工审查比较容易出现失误。
比赛结束后咨询其他选手了解到可以通过搜wget解决。
010中的搜索结果
最后将.exe前面的base64字符拿去 解密即可得到flag。
搜索wget只有一条记录
题目6
对某一次流量数据进行分析,得到其中的密码。
给了一个177K的pcap文件。拿到先去跑了一边binwalk,发现里面有几张png,但是都比较小,大概只有60x60的样子。所以当时还是先去提取这两张png了。但是遗憾的是,经过8次提取、修复(检查了文件头、尾),得到的文件都是损坏的,一时陷入僵局。
最后索性直接用010打开pcap,搜索flag的格式XXXX{},结果就找到了,,,,
搜关键字
但是只有一半的flag,于是搜索},于是得到另一半flag。
甚至这个还是完整的
未完待续。
