欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 健康 > 养生 > 精武杯的部分复现

精武杯的部分复现

2024/11/30 14:41:15 来源:https://blog.csdn.net/2401_82388450/article/details/141232722  浏览:    关键词:精武杯的部分复现

标红的为答案

计算机手机部分

1、请综合分析计算机和⼿机检材,计算机最近⼀次登录的账户名是?admin

2.请综合分析计算机和⼿机检材,计算机最近⼀次插⼊的USB存储设备串号是?S3JKNX0JA05097Y

3.请综合分析计算机和⼿机检材,谢弘的房间号是(201)室

其中顺丰 1.zip 打开后像是⽂档⽂件,于是将其后缀名改成 xlsx,在⾥⾯ 找到了谢弘的信息

4.请综合分析计算机和⼿机检材,曹锦芳的⼿机号后四位是?0683

在1k.zip里面没有她的信息,看一下2k.zip里面有没有,但是涉及到伪加密,考虑压缩包的伪加密,可以利用010修改字段值,把504B0102后面的字段09 00修改为00 00即可,这里使用7z打开

5. 请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按 姓名+电话+地址去重后共有多少条?4997

找到所有的快递文档

把四个压缩包都打开,把重复信息删掉只剩一条 

6.请综合分析计算机和⼿机检材,统计检材内共有⼏份购票平台相关的公民信息文档?3

在刚刚的zip文件相同的目录还有一个vc容器,挂载看看,密码在便签里,5thGoldenEyesCup是挂载密码

注意:一个加密的容器文件可以存在两种密码,一个是外部密码,一个是内部密码,分别对应常规的和隐藏的容器,需要分别验证。

资料:保姆级教程:R-Studio数据恢复软件的使用-CSDN博客

7.请综合分析计算机和手机检材,樊海锋登记的邮箱账号是?727875584@pp.com

一号裤子里

8.请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少 条身份证号为上海的公民信息? 

把三个txt文件的内容全部放在一起,将所有----都替换成空格,然后导入数据库

9.请分析⼿机检材,2022年11⽉7⽇,嫌疑⼈发送了⼏条短信?3

10.请分析手机检材,其中保存了多少条公民住房信息?12

流量部分

1、请分析流量分析.pcapng 文件,并回答入侵者的 IP 地址是?(答案格式: xxx.xxx.xx.xxx)

在统计会话中,攻击者的ip为192.168.85.130 

 2、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 cms 软件版本是? (答案格式:1.1.1)    5.2.1

直接过滤 HTTP 协议,发现两种 URL,一种是 PhpMyAdmin 的,一种是 WordPress 的。

可以看到访问量wp-开头的目录,可以确定cms为WordPress,版本号即为访问css文件时get传入的ver参数

3、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 MySQL 版本号是?

先过滤MySQL服务

 追踪流,发现外部ip不允许外连,可以确定黑客通过phpmyadmin页面进入,前面也确实发现不少url中包含phpmyadmin字符,过滤,追踪流,并且搜索version,找到答案

4、请分析流量分析.pcapng 文件,并回答被入侵计算机中的 MySQL root 账号 密码是?(答案格式:xxxxxxxxxx) admin@12345

MySQL 不允许外连,那么获取密码可能是通过 PhpMyAdmin 了,因为 PhpMyAdmin 的账户密码就是 MySQL 的账户密码。那么去看看 PhpMyAdmin 相 关的包,输入过滤条件: http.request.method=="POST"&&http contains "phpmyadmin"

5、请分析流量分析.pcapng 文件,并回答入侵者利用数据库管理工具创建了一 个文件,该文件名为?(答案格式:xxxxxxx.php) 06b8dcf11e2f7adf7ea2999d235b8d84.php

追踪http流,发现痕迹,在phpmyadmin的import页面进行了数据库的配置更改。将数据库的日志文件general_log_file的目录更改到了网站的根目录,写入该文件的php语句都会被系统解析,这是常用的渗透getshell的手法

入侵者用SET GLOBAL命令设置了一般查询日志的日志问文件,通过查找资料可知,日志路径设置好后,并不会立刻新建相应的文件,而是在下次产生日志的时候自动创建。

6、请分析流量分析.pcapng 文件,并回答被入侵计算机中 PHP 环境禁用了几个函数?10

直接过滤:disable_function 

追踪HTTP流

7、请分析流量分析.pcapng 文件,并回答入侵者提权后,执行的第 1 条命令是?dir

根据题目可知,在找被要求的命令的时候,入侵者已经拿到了权限,也就是说入侵者提权后,肯定是管理员权限,所以肯定在C:\Windows\System32>,使用tcp contains "system32"进行过滤

其中淡绿色部分是HTTP 的包,phpinfo 中包含的 system32。下面的 TCP 包 分为两个流。因为要找第一条执行的命令,按照顺序追踪第一条流:

8、请分析流量分析.pcapng 文件,并回答被入侵计算机开机时间是?(答案格 式20xx/x/xx xx:xx:xx)   2019/6/13, 18:50:33

这个在刚刚找到的包里面发现,第二个命令就是systeminfo

找到开机时间

systeminfo,这个命令是Windows中用于显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡和补丁信息等。  

9、请分析流量分析.pcapng 文件,并回答被入侵计算机桌面上的文件中 flag 是?(答案格式:abcdef123456789)     3f76818f507fe7e66422bd0703c64c88

选择继续查找我们刚刚筛选出来的tcp流

10、 请分析流量分析.pcapng文件,并回答图片文件中的flag是? (答案 格式:abcdef123456789)

d31c1d06331a9534bf41ab93afca8d31

过滤http,发现流量包的最后发现了这样几个HTTP请求:

追踪流,发现flag

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com