第一部分:计算机和手机取证
1.请综合分析计算机和手机检材,计算机最近一次登录的账户名是
答案:admin
创建虚拟机时直接给出了用户名
2. 请综合分析计算机和手机检材,计算机最近一次插入的USB存储设备串号是
答案:S3JKNX0JA05097Y
证据分析中直接查看
3. 请综合分析计算机和手机检材,谢弘的房间号是()室
答案:201
打开顺丰1k.zip查看发现其为一个Excel表格,导出后更改后缀名
打开用ctrl+f搜索谢弘发现其的信息
4. 请综合分析计算机和手机检材,曹锦芳的手机号后四位是
答案:0683
打开顺丰2k.zip是压缩包导出后打开ctrl+f搜索发现曹锦芳信息
5. 请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按姓名+电话+地址去重后共有多少条?
答案:4997
导出四份顺丰快递文档将姓名+电话+地址数据放入一个新建表格中,用excel表格菜单【数据】中的【重复项】删除重复项,最终得到去重后的数据
6. 请综合分析计算机和手机检材,统计检材内共有几份购票平台相关的公民信息文档
答案:3
在分析中的微软便签中发现了一串可疑的vc加密容器的密码
回想起在顺丰1K.zip同目录下的可疑容器storage
用前面的密码尝试,挂载成功,里面有一份12306裤子.txt文件,点开查看是一份购票平台相关的公民信息文档
用另一个密码挂载得到12306裤子3.txt
猜测可能有一个12306裤子2.txt被删除2,用R-studio扫描挂载的磁盘得到删除的文件12306裤子2.txt
7. 请综合分析计算机和手机检材,樊海锋登记的邮箱账号是
答案:727875584@pp.com
打开上面购票平台相关的公民信息文档内有用户的邮箱账号,尝试搜索樊海锋找到
8. 请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少条身份证号为上海的公民信息?
答案:109
将数据分别导入excel表格中
再将三份数据合并到一份excel表格中,筛选出身份证开头为310的(上海户口身份证开头为310)
导入到新的表格删除重复项,得到109条
9. 请分析手机检材,2022年11月7日,嫌疑人发送了几条短信?
答案:3
10. 请分析手机检材,其中保存了多少条公民住房信息?
答案:12
第三部分:流量分析
填空题
1. 请分析流量分析.pcapng文件,并回答入侵者的IP地址是?
答案:192.168.85.130
打开wireshark分析,一直是192.168.85.130在请求192.168.85.250
2. 请分析流量分析.pcapng文件,并回答被入侵计算机中的cms软件版本是?(答案格式:1.1.1)
答案:5.2.1
扩展:WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。
wp-即为WordPress,软件的版本ver为5.2.1
3. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL版本号是?(答案格式:1.1.1)
答案:5.5.53
筛选http协议且包含phpmyadmin和version关键词的流量(phpmyadmin中一般有MySQL库)
http && http contains "phpmyadmin" && http contains "version"
追踪流
筛选version
4. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL root账号密码是?
答案:admin@12345
筛选phpmyadmin登录(POST方法提交数据)相关的流量
http contains "phpmyadmin" && http.request.method=="POST"
找到index.php的流量,可以看到正确登入的密码
追踪http流发现是通过302跳转进入后台
5. 请分析流量分析.pcapng文件,并回答入侵者利用数据库管理工具创建了一个文件,该文件名为?
答案:06b8dcf11e2f7adf7ea2999d235b8d84.php
继续查看http流可以发现执行了一个sql语句创建了一个文件
url解码后可以得到文件名
6. 请分析流量分析.pcapng文件,并回答被入侵计算机中PHP环境禁用了几个函数?
答案:10
由上题发现创建的文件是一个general日志文件(每个SQL查询都会写入日志文件)且创建位置在网站根目录下,入侵者接下来肯定是要在SQL语句中执行恶意语句来RCE。所以他需要查看PHP环境的禁用函数来绕过,一般查看禁用函数通过phpinfo信息中的disable_functions
筛选phpinfo的流量
发现执行了SELECT '<?php phpinfo();?>',入侵者接下去就会访问文件让服务器解析<?php phpinfo();?>查看phpinfo信息
筛选disable_functions的流量
追踪http流,筛选出disable_functions的信息
一共有10个禁用函数system,passthru,exec,shell_exec,popen,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl
7. 请分析流量分析.pcapng文件,并回答入侵者提权后,执行的第1条命令是?
答案:dir
Windows中提权成功后的命令行开头应该是C:\Windows\system32>
筛选C:\Windows\system32>的流量
tcp contains "C:\\Windows\\system32>"
#tcp传输控制协议
追踪第一条tcp流
第一条命令是dir
8. 请分析流量分析.pcapng文件,并回答被入侵计算机开机时间是?
答案:2019/6/13 18:50:33
执行完dir命令后有执行了systeminfo命令(查看系统信息),由于编码问题没法看到中文所以将编码改为GBK
9. 请分析流量分析.pcapng文件,并回答被入侵计算机桌面上的文件中flag是?(答案格式:abcdef123456789)
答案:3f76818f507fe7e66422bd0703c64c88
tcp流一个一个查找过去最终在1366找到桌面上有个fl-ag.mg文件
10. 请分析流量分析.pcapng文件,并回答图片文件中的flag是? (答案格式:abcdef123456789)
答案:d31c1d06331a9534bf41ab93afca8d31
可以看到使用bitsadmin命令从远程服务器上下载了一个flag.png到C盘根目录
导出文件
用010打开滑倒最下面发现有一个压缩包,里面有一个this.txt文件,里面的内容是d31c1d06331a9534bf41ab93afca8d31