qq_56025677的博客

打开第一个文件 .png的文件头89504E47 第二个文件打开发现没有明确是什么文件翻到文件结尾部分发现好像是png文件的尾部，所有猜测这两个可能是一张图片的内容 合并后果然得到了flag。可以把进程导出来，注册的服务器一般是需要开启的，开启的关键字是start，直接收缩start就能出来。5、从内存文件中获取黑客进入系统后下载的flag文件，将文件中的值作为Flag值提交。3、当前系统中存在的挖矿进程，请获取指向的矿池地址，以Flag{ip}形式提交。

内存取证工具使用教程

声明：本章节内容为本人学习笔记，如有侵权，联系删除！

【代码】HTML的基础标记和属性。

5.使用Wireshark分析capture.pcapng数据流量包，这些数据中有非常多的ICMP报文，其中有一个设备是路由器，IP地址为192.168.181.25，将路由器上主动发出的ping请求的数量作为Flag值提交；6.使用Wireshark分析capture.pcapng数据包文件，这些数据中有非常多的ICMP报文，这些报文中有大量的非正常ICMP报文，找出类型为重定向的所有报文，将报文重定向的数量作为Flag值提交；icmp.type==8代表ping包，后面筛选源ip，右下角查看个数。

2.获取数据包attack.pcapng，分析黑客通过哪些服务着手攻击，将黑客暴力破解的服务名称及获取到的靶机密码作为flag提交（例：telnet,123456）5.获取数据包attack.pcapng，分析黑客获取了shell之后，倒数第二条命令代表了SSH协议的版本，将SSH协议版本作为flag提交；​​​​​​4.获取数据包attack.pcapng，分析黑客获取shell之后，查看了什么文件，将查看的文件名作为flag提交；用此查询方式就可以出现端口号 按照题目要求排序就可以了！

1.分析靶机root目录下的Bravo-1.pcapng数据包文件，通过分析数据包Bravo-1.pcapng获取web服务器使用的cms和版本号，并将该cms和版本号作为FLAG提交；(例joomla 2.1.1)（例abc,def,zxc）6.继续查看数据包文件Bravo-1.pcapng分析找出恶意用户读取文件中的flag值，并将该文件中的flag值作为FLAG提交；2.继续查看数据包文件Bravo-1.pcapng，分析出mysql服务root用户的密码，并将该密码作为FLAG提交；