标红的为答案
计算机手机部分
1、请综合分析计算机和⼿机检材,计算机最近⼀次登录的账户名是?admin
2.请综合分析计算机和⼿机检材,计算机最近⼀次插⼊的USB存储设备串号是?S3JKNX0JA05097Y
3.请综合分析计算机和⼿机检材,谢弘的房间号是(201)室
其中顺丰 1.zip 打开后像是⽂档⽂件,于是将其后缀名改成 xlsx,在⾥⾯ 找到了谢弘的信息
4.请综合分析计算机和⼿机检材,曹锦芳的⼿机号后四位是?0683
在1k.zip里面没有她的信息,看一下2k.zip里面有没有,但是涉及到伪加密,考虑压缩包的伪加密,可以利用010修改字段值,把504B0102后面的字段09 00修改为00 00即可,这里使用7z打开
5. 请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按 姓名+电话+地址去重后共有多少条?4997
找到所有的快递文档
把四个压缩包都打开,把重复信息删掉只剩一条
6.请综合分析计算机和⼿机检材,统计检材内共有⼏份购票平台相关的公民信息文档?3
在刚刚的zip文件相同的目录还有一个vc容器,挂载看看,密码在便签里,5thGoldenEyesCup是挂载密码
注意:一个加密的容器文件可以存在两种密码,一个是外部密码,一个是内部密码,分别对应常规的和隐藏的容器,需要分别验证。
资料:保姆级教程:R-Studio数据恢复软件的使用-CSDN博客
7.请综合分析计算机和手机检材,樊海锋登记的邮箱账号是?727875584@pp.com
一号裤子里
8.请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少 条身份证号为上海的公民信息?
把三个txt文件的内容全部放在一起,将所有----都替换成空格,然后导入数据库
9.请分析⼿机检材,2022年11⽉7⽇,嫌疑⼈发送了⼏条短信?3
10.请分析手机检材,其中保存了多少条公民住房信息?12
流量部分
1、请分析流量分析.pcapng 文件,并回答入侵者的 IP 地址是?(答案格式: xxx.xxx.xx.xxx)
在统计会话中,攻击者的ip为192.168.85.130
2、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 cms 软件版本是? (答案格式:1.1.1) 5.2.1
直接过滤 HTTP 协议,发现两种 URL,一种是 PhpMyAdmin 的,一种是 WordPress 的。
可以看到访问量wp-开头的目录,可以确定cms为WordPress,版本号即为访问css文件时get传入的ver参数
3、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 MySQL 版本号是?
先过滤MySQL服务
追踪流,发现外部ip不允许外连,可以确定黑客通过phpmyadmin页面进入,前面也确实发现不少url中包含phpmyadmin字符,过滤,追踪流,并且搜索version,找到答案
4、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 MySQL root 账号 密码是?(答案格式:xxxxxxxxxx) admin@12345
MySQL 不允许外连,那么获取密码可能是通过 PhpMyAdmin 了,因为 PhpMyAdmin 的账户密码就是 MySQL 的账户密码。那么去看看 PhpMyAdmin 相 关的包,输入过滤条件: http.request.method=="POST"&&http contains "phpmyadmin"
5、请分析流量分析.pcapng 文件,并回答入侵者利用数据库管理工具创建了一 个文件,该文件名为?(答案格式:xxxxxxx.php) 06b8dcf11e2f7adf7ea2999d235b8d84.php
追踪http流,发现痕迹,在phpmyadmin的import页面进行了数据库的配置更改。将数据库的日志文件general_log_file的目录更改到了网站的根目录,写入该文件的php语句都会被系统解析,这是常用的渗透getshell的手法
入侵者用SET GLOBAL命令设置了一般查询日志的日志问文件,通过查找资料可知,日志路径设置好后,并不会立刻新建相应的文件,而是在下次产生日志的时候自动创建。
6、请分析流量分析.pcapng 文件,并回答被入侵计算机中 PHP 环境禁用了几个函数?10
直接过滤:disable_function
追踪HTTP流
7、请分析流量分析.pcapng 文件,并回答入侵者提权后,执行的第 1 条命令是?dir
根据题目可知,在找被要求的命令的时候,入侵者已经拿到了权限,也就是说入侵者提权后,肯定是管理员权限,所以肯定在C:\Windows\System32>,使用tcp contains "system32"进行过滤
其中淡绿色部分是HTTP 的包,phpinfo 中包含的 system32。下面的 TCP 包 分为两个流。因为要找第一条执行的命令,按照顺序追踪第一条流:
8、请分析流量分析.pcapng 文件,并回答被入侵计算机开机时间是?(答案格 式20xx/x/xx xx:xx:xx) 2019/6/13, 18:50:33
这个在刚刚找到的包里面发现,第二个命令就是systeminfo
找到开机时间
systeminfo,这个命令是Windows中用于显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡和补丁信息等。
9、请分析流量分析.pcapng 文件,并回答被入侵计算机桌面上的文件中 flag 是?(答案格式:abcdef123456789) 3f76818f507fe7e66422bd0703c64c88
选择继续查找我们刚刚筛选出来的tcp流
10、 请分析流量分析.pcapng文件,并回答图片文件中的flag是? (答案 格式:abcdef123456789)
d31c1d06331a9534bf41ab93afca8d31
过滤http,发现流量包的最后发现了这样几个HTTP请求:
追踪流,发现flag