第七届精武杯部分wp

第一部分:计算机和手机取证

1.请综合分析计算机和手机检材,计算机最近一次登录的账户名是

答案:admin

创建虚拟机时直接给出了用户名

2. 请综合分析计算机和手机检材,计算机最近一次插入的USB存储设备串号是 

答案:S3JKNX0JA05097Y

证据分析中直接查看

3. 请综合分析计算机和手机检材,谢弘的房间号是()室

答案:201

打开顺丰1k.zip查看发现其为一个Excel表格,导出后更改后缀名

打开用ctrl+f搜索谢弘发现其的信息

 4. 请综合分析计算机和手机检材,曹锦芳的手机号后四位是

答案:0683

打开顺丰2k.zip是压缩包导出后打开ctrl+f搜索发现曹锦芳信息

5. 请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按姓名+电话+地址去重后共有多少条?

答案:4997

导出四份顺丰快递文档将姓名+电话+地址数据放入一个新建表格中,用excel表格菜单【数据】中的【重复项】删除重复项,最终得到去重后的数据

6. 请综合分析计算机和手机检材,统计检材内共有几份购票平台相关的公民信息文档

答案:3

在分析中的微软便签中发现了一串可疑的vc加密容器的密码

回想起在顺丰1K.zip同目录下的可疑容器storage

用前面的密码尝试,挂载成功,里面有一份12306裤子.txt文件,点开查看是一份购票平台相关的公民信息文档

用另一个密码挂载得到12306裤子3.txt

猜测可能有一个12306裤子2.txt被删除2,用R-studio扫描挂载的磁盘得到删除的文件12306裤子2.txt

7. 请综合分析计算机和手机检材,樊海锋登记的邮箱账号是

答案:727875584@pp.com

打开上面购票平台相关的公民信息文档内有用户的邮箱账号,尝试搜索樊海锋找到

8. 请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少条身份证号为上海的公民信息?

答案:109

将数据分别导入excel表格中

 再将三份数据合并到一份excel表格中,筛选出身份证开头为310的(上海户口身份证开头为310)

 导入到新的表格删除重复项,得到109条

9. 请分析手机检材,2022年11月7日,嫌疑人发送了几条短信?

答案:3

10. 请分析手机检材,其中保存了多少条公民住房信息?

答案:12

 

第三部分:流量分析

填空题

1. 请分析流量分析.pcapng文件,并回答入侵者的IP地址是?

答案:192.168.85.130

打开wireshark分析,一直是192.168.85.130在请求192.168.85.250

2. 请分析流量分析.pcapng文件,并回答被入侵计算机中的cms软件版本是?(答案格式:1.1.1)

答案:5.2.1

扩展:WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。

wp-即为WordPress,软件的版本ver为5.2.1

3. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL版本号是?(答案格式:1.1.1) 

答案:5.5.53

筛选http协议且包含phpmyadmin和version关键词的流量(phpmyadmin中一般有MySQL库)

http && http contains "phpmyadmin" && http contains "version"

追踪流

筛选version

4. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL root账号密码是?

答案:admin@12345

 筛选phpmyadmin登录(POST方法提交数据)相关的流量

http contains "phpmyadmin" && http.request.method=="POST"

找到index.php的流量,可以看到正确登入的密码

追踪http流发现是通过302跳转进入后台

 5. 请分析流量分析.pcapng文件,并回答入侵者利用数据库管理工具创建了一个文件,该文件名为?

答案:06b8dcf11e2f7adf7ea2999d235b8d84.php

继续查看http流可以发现执行了一个sql语句创建了一个文件

url解码后可以得到文件名

6. 请分析流量分析.pcapng文件,并回答被入侵计算机中PHP环境禁用了几个函数?

 答案:10

由上题发现创建的文件是一个general日志文件(每个SQL查询都会写入日志文件)且创建位置在网站根目录下,入侵者接下来肯定是要在SQL语句中执行恶意语句来RCE。所以他需要查看PHP环境的禁用函数来绕过,一般查看禁用函数通过phpinfo信息中的disable_functions

筛选phpinfo的流量

发现执行了SELECT '<?php phpinfo();?>',入侵者接下去就会访问文件让服务器解析<?php phpinfo();?>查看phpinfo信息

筛选disable_functions的流量

追踪http流,筛选出disable_functions的信息

一共有10个禁用函数system,passthru,exec,shell_exec,popen,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl

7. 请分析流量分析.pcapng文件,并回答入侵者提权后,执行的第1条命令是?

答案:dir

Windows中提权成功后的命令行开头应该是C:\Windows\system32>

筛选C:\Windows\system32>的流量

tcp contains "C:\\Windows\\system32>"

#tcp传输控制协议

追踪第一条tcp流

第一条命令是dir

8. 请分析流量分析.pcapng文件,并回答被入侵计算机开机时间是?

答案:2019/6/13 18:50:33

执行完dir命令后有执行了systeminfo命令(查看系统信息),由于编码问题没法看到中文所以将编码改为GBK

9. 请分析流量分析.pcapng文件,并回答被入侵计算机桌面上的文件中flag是?(答案格式:abcdef123456789)

答案:3f76818f507fe7e66422bd0703c64c88

tcp流一个一个查找过去最终在1366找到桌面上有个fl-ag.mg文件

10. 请分析流量分析.pcapng文件,并回答图片文件中的flag是? (答案格式:abcdef123456789)

答案:d31c1d06331a9534bf41ab93afca8d31

可以看到使用bitsadmin命令从远程服务器上下载了一个flag.png到C盘根目录

导出文件

用010打开滑倒最下面发现有一个压缩包,里面有一个this.txt文件,里面的内容是d31c1d06331a9534bf41ab93afca8d31

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/324841.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

6.python网络编程

文章目录 1.生产者消费者-生成器版2.生产者消费者--异步版本3.客户端/服务端-多线程版4.IO多路复用TCPServer模型4.1Select4.2Epoll 5.异步IO多路复用TCPServer模型 1.生产者消费者-生成器版 import time# 消费者 def consumer():cnt yieldwhile True:if cnt < 0:# 暂停、…

创新指南 | 生成式AI如何引领企业创新未来?

2023年麦肯锡全球数字战略调查了1000多名受访者&#xff0c;发现&#xff1a;建立创新文化的组织与它们应用包括生成式AI在内的最新数字技术提高产出的能力之间有着惊人的强关联。 本文探讨了顶尖创新企业采取的五项行动&#xff0c;使它们与同行之间拉开距离&#xff0c;并在使…

【Linux系统】进程

本篇博客整理了进程的多方面知识&#xff0c; 旨在从进程的概念、管理、属性、创建等方面让读者更加全面系统地理解进程和操作系统的管理设计。 目录 一、进程是什么 二、操作系统如何管理进程 1.描述进程 PCB 2.组织进程 3.再谈进程和进程管理 三、Linux下的进程管理 1…

Docker Compose:简化多容器应用部署

序言 在当今的软件开发中&#xff0c;容器化技术的使用已经很普遍了。而 Docker 作为其中最流行的容器化平台之一&#xff0c;为开发者提供了方便、快捷、一致的开发和部署环境。但是&#xff0c;当我们的应用开始变得更加复杂&#xff0c;涉及到多个容器时&#xff0c;手动管…

在 Kubernetes 上运行 Apache Spark 进行大规模数据处理的实践

在刚刚结束的 Kubernetes Community Day 上海站&#xff0c;亚马逊云科技在云原生分论坛分享的“在 Kunernets 上运行 Apache Spark 进行大规模数据处理实践”引起了现场参与者的关注。开发者告诉我们&#xff0c;为了充分利用 Kubernetes 的高可用设计、弹性&#xff0c;在越来…

AI + Web3 如何打造全新创作者经济模型?

可编程 IP 的兴起&#xff0c;借助人工智能极大提高创作效率和效能&#xff0c;让 Web3 用户体会到了自主创作和产品制作的乐趣。然而&#xff0c;你知道 AI 时代来临的背景下&#xff0c;创作者经济模型又该如何在 Web3 技术的加持下走向更成熟的运作轨道吗&#xff1f;第 43 …

再谈毕业论文设计投机取巧之IVR自动语音服务系统设计(信息与通信工程A+其实不难)

目录 举个IVR例子格局打开&#xff0c;万物皆能IVR IVR系统其实可盐可甜。还能可圈可点。 戎马一生&#xff0c;归来依然IVR。 举个IVR例子 以下是IVR系统的一个例子。 当您拨打电话进入IVR系统。 首先检验是否为工作时间。 如是&#xff0c;您将被送入ivr-lang阶段&#xff0…

QT day5 作业

服务器头文件 #ifndef WIDGET_H #define WIDGET_H#include <QWidget> #include <QTcpServer> //服务器类 #include <QTcpSocket> //客户端类 #include <QList> //链表类 #include <QMessageBox> //消息对话框类 #include <QDebu…

【C语言】精品练习题

目录 题目一&#xff1a; 题目二&#xff1a; 题目三&#xff1a; 题目四&#xff1a; 题目五&#xff1a; 题目六&#xff1a; 题目七&#xff1a; 题目八&#xff1a; 题目九&#xff1a; 题目十&#xff1a; 题目十一&#xff1a; 题目十二&#xff1a; 题目十…

大文件传输的好帮手Libarchive:功能强大的开源归档文件处理库

在数字化时代&#xff0c;文件的存储和传输对于企业的日常运作至关重要。但是&#xff0c;服务器中的压缩文件往往无法直接查看或预览&#xff0c;这给用户带来了不便。为了解决这一问题&#xff0c;在线解压功能的开发变得尤为重要。接下来&#xff0c;小编将介绍一个能够实现…

RabbitMQ(安装配置以及与SpringBoot整合)

文章目录 1.基本介绍2.Linux下安装配置RabbitMQ1.安装erlang环境1.将文件上传到/opt目录下2.进入/opt目录下&#xff0c;然后安装 2.安装RabbitMQ1.进入/opt目录&#xff0c;安装所需依赖2.安装MQ 3.基本配置1.启动MQ2.查看MQ状态3.安装web管理插件4.安装web管理插件超时的解决…

使用xtuner微调InternLM-Chat-7B

1. 安装xtuner #激活环境 source activate test_llm # 安装xtuner pip install xtuner#还有一些依赖项需要安装 future>0.6.0 cython lxml>3.1.0 cssselect mmengine 2. 创建一个ft-oasst1 数据集的工作路径&#xff0c;进入 mkdir ft-oasst1 cd ft-oasst1 3.XTune…

MySQL系列之索引

&#x1f339;作者主页&#xff1a;青花锁 &#x1f339;简介&#xff1a;Java领域优质创作者&#x1f3c6;、Java微服务架构公号作者&#x1f604; &#x1f339;简历模板、学习资料、面试题库、技术互助 &#x1f339;文末获取联系方式 &#x1f4dd; 往期热门专栏回顾 专栏…

【Linux】环境变量是什么?如何配置?详解

&#x1f490; &#x1f338; &#x1f337; &#x1f340; &#x1f339; &#x1f33b; &#x1f33a; &#x1f341; &#x1f343; &#x1f342; &#x1f33f; &#x1f344;&#x1f35d; &#x1f35b; &#x1f364; &#x1f4c3;个人主页 &#xff1a;阿然成长日记 …

C++11:并发新纪元 —— 深入理解异步编程的力量(1)

hello &#xff01;大家好呀&#xff01; 欢迎大家来到我的Linux高性能服务器编程系列之《C11&#xff1a;并发新纪元 —— 深入理解异步编程的力量》&#xff0c;在这篇文章中&#xff0c;你将会学习到C新特性以及异步编程的好处&#xff0c;以及其如何带来的高性能的魅力&…

【算法】动态规划之背包DP问题(2024.5.11)

前言&#xff1a; 本系列是学习了董晓老师所讲的知识点做的笔记 董晓算法的个人空间-董晓算法个人主页-哔哩哔哩视频 (bilibili.com) 动态规划系列 【算法】动态规划之线性DP问题-CSDN博客 01背包 步骤&#xff1a; 分析容量j与w[i]的关系&#xff0c;然后分析是否要放…

OGG几何内核开发-BRepAlgoAPI_Fuse与BRep_Builder.MakeCompound比较

最近在与同事讨论BRepAlgoAPI_Fuse与BRep_Builder.MakeCompound有什么区别。 一、从直觉上来说&#xff0c;BRepAlgoAPI_Fuse会对两个实体相交处理&#xff0c;相交的部分会重新的生成相关的曲面。而BRep_Builder.MakeCompound仅仅是把两个实体组合成一个新的实体&#xff0c;…

JUC下的BlockingQueue详解

BlockingQueue是Java并发包(java.util.concurrent)中提供的一个接口&#xff0c;它扩展了Queue接口&#xff0c;增加了阻塞功能。这意味着当队列满时尝试入队操作&#xff0c;或者队列空时尝试出队操作&#xff0c;线程会进入等待状态&#xff0c;直到队列状态允许操作继续。这…

https://是怎么实现的?

默认的网站建设好后都是http访问模式&#xff0c;这种模式对于纯内容类型的网站来说&#xff0c;没有什么问题&#xff0c;但如果受到中间网络劫持会让网站轻易的跳转钓鱼网站&#xff0c;为避免这种情况下发生&#xff0c;所以传统的网站改为https协议&#xff0c;这种协议自己…

信息检索(35):LEXMAE: LEXICON-BOTTLENECKED PRETRAINING FOR LARGE-SCALE RETRIEVAL

LEXMAE: LEXICON-BOTTLENECKED PRETRAINING FOR LARGE-SCALE RETRIEVAL 标题摘要1 引言2 相关工作3 LEXMAE&#xff1a;词典瓶颈屏蔽自动编码器3.1 语言建模编码器3.2 词典瓶颈模块3.3 弱化掩蔽式解码器3.4 词汇加权检索器的预训练目标和微调 4 实验4.1 主要评估4.2 效率分析与…