23盘古石决赛
一,流量分析
1. 计算流量包文件的SHA256值是?[答案:字母小写][★☆☆☆☆]
答案:2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9
解压出来流量包计算
2. 流量包长度在“640 - 1279”之间的的数据包总共有多少?[答案:100][★☆☆☆☆]
答案:179
统计-长度分组
3. 黑客使用的计算机操作系统是?[答案:windows7 x32][★★☆☆☆]
答案:win10x64
解压流量包的时候看到有一个key.log,结合流量用的是http,需要用到TLS解密,在编辑-首选项-Protocols里面有
解开以后打开一条http的流量,看user-agent,看到里面有
4. 黑客上传文件到哪个网盘?[答案:xx网盘][★★☆☆☆]
答案:百度网盘
看统计里面的http下的请求
这里有请求百度网盘的记录
或者在导出里面看http的记录 ,也可以看到是百度网盘
5. 黑客上传网盘的中间件是?[答案:xxxx][★★☆☆☆]
答案:nginx
接上题,看到百度网盘请求的第一个分组是699,去追踪一下
注意:客户端到服务器红色,反之蓝色
6. 黑客首次登陆网盘时间是?[答案:2000 - 01 - 01 01:00:33][★★☆☆☆]
答案:2023 -05 -11 12:03:55
Thu, 11 May 2023 04:03:55 GMT
来源同上
7. 黑客上传到网盘的txt文件的md5值是?[答案:字母小写][★★★☆☆]
答案: 6a5aff7bec78dd1e4fc23e571b664b50
过滤器http contains “txt”
得到几条流量,在其中一条流量里面可以发现txt文件的内容
8. 黑客上传到网盘的txt文件第8行的内容是?[答案:XXX][★★★★☆]
答案:$$
传输文件过程中,webkit头与文件内容会空一行,所有从空一行后开始数,答案为$$
9. 被入侵主机的计算机名是?[答案:XXXXXXXXXXX][★★★☆☆]
答案:WIN-BFA1TO8PTNP
统计ipv4,按数量排序,第一个是本机的,第二个,第三个是百度的,那么第四个就有可能是了,找一下
这里有FTP的记录
过滤一下看看,找到了
10. 被入侵电脑的数据回传端口是?[答案:11][★★★☆☆]
答案:8000
过滤以后就可以看到后面的被入侵电脑回联了8000的端口
11. 流量包中ftp服务器的用户密码是?[答案:abcd][★★☆☆☆]
答案:ftp
在后面的记录中可以看到用户名为www,密码为ftp的登录成功
12. 流量包中ftp服务器中的木马文件的md5值是?[答案:字母小写][★★☆☆☆]
答案:2a49a00a1f0b898074be95a5bbc436e3
按传输来看,大概率是setup.exe,追踪tcp流看到后面有木马文件的数据,将原始数据作为exe导出,计算MD5
13. 木马文件伪造的软件版本是?[答案:0. 0. 0. 0][★★☆☆☆]
答案:7.5.0.1039
14.黑客上传到网盘的压缩包解压密码是?[答案:XXXXXXXXXXX]
答案:
15.黑客上传到网盘的压缩包内文件的内容是?[答案:xxxxxxx]
答案:
16.分析技术人员电脑内的手机流量包,给出技术人员的虚拟身份账号是?[答案格式:13039456655]
17.分析技术人员电脑内的手机流量包,给出技术人员的虚拟身份密码是?[答案格式:b3039456655]
18.分析技术人员电脑内的手机流量包,分析技术人员的看过几段短视频?[答案格式:3]
19.分析技术人员电脑内的手机流量包,分析技术人员最后打开的软件的程序名称是?[答案格式:微信]
20.分析技术人员电脑内的手机流量包,分析安全防护的服务器地址是?[答案格式:127.0.0.1]
二,移动智能终端取证
1. 分析卡农手机,给出手机的SDK版本?[答案格式:28][★☆☆☆☆]
答案:30
2. 分析卡农手机,给出手机最近开机的时间?[答案格式:2023 - 05 - 18 - 19:09:59][★★☆☆☆]
答案:2023/05/15 10:09:29 +08:00
| 1 | 开关机日志 | False | Plugins.Models.Sys.PoweringEvent | 开机 | 2023/05/15 10:09:29 +08:00 |
3. 分析卡农手机,给出高德地图关联的手机号是?[答案格式:13011221234][★★☆☆☆]
答案:18317041122
4. 分析卡农手机,给出卡农内部聊天工具的昵称是?[答案格式:李多余][★★☆☆☆]
答案:
5. 分析卡农手机,给出卡农的真实名字可能是?[答案格式:李多余][★★☆☆☆]
答案:徐鹏坤
三,计算机取证
1. 黑客计算机系统安装时间是?[答案格式:2000/ 01/ 01 01:00:01][★☆☆☆☆☆]
答案:2023/05/10 13:31:47
2. 黑客计算机磁盘0的总磁道数?[答案格式:数字中无标点][★★☆☆☆☆]
答案:3328770
3. 黑客计算机的产品密钥是?[答案格式:字母大写][★★☆☆☆]
答案:VK7JG-NPHTM-C97JM-9MPGT-3V66T
4. 黑客计算机共有几次卷影拷贝服务关闭事件?[答案格式:1][★★☆☆☆]
答案:2
在日志文件中过滤关键字vss的事件id,8193
常见的卷影拷贝服务关闭事件
事件ID 8224:卷影拷贝服务在完成其任务后,因没有更多的操作而进入空闲状态并自动关闭
事件ID 8193:表示卷影复制服务无法启动某个组件,通常是因为系统正在关机。
事件ID 12291:表示卷影复制服务在创建或使用COM+ Writers发布者接口时遇到意外错误。
事件ID 8230:表示卷影复制服务无法解析某个账户,通常与SharePoint服务相关。
火眼分析只有一个
去事件查看器里面有2个
5. 黑客计算机的vc容器解密密码是?[答案格式:字母小写][★★★★☆]
答案:byebyedisco
在文件里面搜索vc得到一个vc密码文件
总共有这几个文件
用个小工具
右键分解模数,把N的值复制进输入,本地DB查询分解p、q,把分解的值复制进第一个框中,逗号是英文
然后右键计算私钥
导入密文m
右键计算明文,明文转字符,得到密码
6. 黑客计算机加密容器中共有几个docx文件?[答案格式:x][★★☆☆☆]
答案:3
E盘是加密容器,veracrypt选择设备输入密码即可
7. 黑客计算机加密容器中记录的bt币地址有几个?[答案格式:x][★★★☆☆]
答案:4
直接在表格里面没有东西,应该是数据缺失了,用vc挂起来进行数据恢复,然后看到一个tmp文件,修改后缀为zip,进去里面就可以看到bt地址.txt,里面有4个地址
8. 黑客计算机加密容器中记录的受害人共有多少人?[答案格式:xx][★★☆☆☆]
答案:29
9. 黑客计算机中win7虚拟机中www用户的登陆密码是?[答案格式:xxxxxxxx][★★☆☆☆]
答案:
10. 黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是?[答案格式:xx][★★★☆☆]
答案:
四,服务器取证
1. 分析技术人员电脑,请给出电脑系统安装时间(UTC - 0)?[答案格式:20000 - 01 - 01 00:00:00][★★☆☆☆]
2. 分析技术人员电脑,请给出电脑内用户John的SID?[答案格式:x - x - x - x - x - x - x - x][★★★☆☆]
3. 据技术人员交代,其电脑连接过nas服务器,请给出该nas服务器的iqn名称?[答案格式:iqn.xxx][★★★☆☆]
4. 分析技术人员电脑,请给出该技术人员使用的隐写工具名称?[答案格式:xx][★★☆☆☆]
5. 接上题,请给出使用该隐写工具隐写文件所使用的密码?[答案格式:xx][★★★☆☆]
6. 据技术人员交代,其电脑内存过一个名为“财务流水.rar”的文件,请给出该文件的SHA - 1?[答案格式:字母小写][★★★★☆]
7. 分析技术人员的模拟手机,给出安全防护的验证码是?[答案格式:11226655][★★★★★]
8. 分析技术人员的模拟手机,给出安全防护的推送服务的调证值是?[答案格式:11226655][★★★★★]
9. 分析技术人员的模拟手机,给出老板的联系方式是?[答案格式:11226655][★★☆☆☆]
10. 分析技术人员的模拟手机,给出办公场所是?[答案格式:北京市朝阳区中山路25555号][★★★☆☆]
五,物联取证
1. 分析技术人员的模拟手机,给出技术人员聊天工具的用户ID是?[答案格式:QN11AATT][★★★☆☆]
2. 分析黑客电脑,控制端程序传输协议是什么协议?[答案格式:http][★★☆☆☆]
3. 分析黑客电脑,控制端程序接收数据缓冲区大小是多少?[答案格式:100][★★☆☆☆]
4. 分析黑客电脑,控制端程序接收并判断几种指令?[答案格式:1][★★★☆☆]
5. 分析黑客电脑,控制端程序连接结束指令是什么?[答案格式:xxx][★★★☆☆]
6. 分析黑客电脑,控制端程序配置文件解密函数是什么?[答案格式:x_ x][★★★☆☆]
7. 分析黑客的木马程序,该程序控制端ip是?[答案格式:127. 0. 0. 1][★★★☆☆]
8. 分析黑客的木马程序,程序在地址0x00410CA4处调用了Sleep函数,请问该函数会暂停几秒?[答案格式:3][★★★☆☆]
9. 分析黑客的木马程序,该程序“png”型资源下有两张图片,程序图标对应图片的MD5值是?[答案格式:字母小写][★★★☆☆]
10. 分析黑客的木马程序,哪个函数直接调用了HOST型资源?[答案格式:sub_ 1234][★★★☆☆]
六,二进制文件分析
1. 分析黑客的木马程序,该程序会绕过哪个杀毒软件?[答案格式:腾讯][★★★★★]
2. 分析扫地机器人数据,robot 1.bin采用的压缩算法是?[答案格式:xxxx][★★☆☆☆☆]
3. 扫地机器人使用的软件版本是?[答案格式:0. 0. 0][★★☆☆☆☆]
4. 扫地机器人id是?[答案格式:21243245838790][★★☆☆☆]
5. 扫地机器人云证书的前6位是?[答案格式:sdfead][★★☆☆☆]
6. 扫地机器人连接过的wifi的ssid是(channl 1)?[答案格式:xx_ xx_ xx][★★☆☆☆]
7. 扫地机器人连接过的wifi的密码是(channl 1)?[答案格式:xxxx][★★☆☆☆]
8. 扫地机器人的时区是?[答案格式:xx/ xx][★★☆☆☆]
9. 扫地机器人的名称是?[答案格式:xxxxx][★★☆☆☆]
10. 无人机飞行纬度前两位是?[答案格式:xx][★☆☆☆☆]
七,数据分析
-
无人机的快门速度是?[答案格式:x/ xxx][★☆☆☆☆]
-
分析智能门锁数据包,请给出用户“wonderful”首次开门时间?[答案格式:2000 - 01 - 01 00:00 - 00:00][★★☆☆☆]
-
分析智能门锁数据包,请给出智能门锁MAC地址?[答案格式:字母大写][★★☆☆☆]
-
请分析服务器,给出NAS服务器系统账号密码?[答案格式:xx@xx][★★★☆☆☆]
-
请分析服务器,给出NAS服务器的版本信息?[答案格式:xx - xx - xx][★★☆☆☆☆]
-
请分析服务器,给出NAS服务器内用户SMB的邮箱?[答案格式:xx@xx][★★☆☆☆☆]
-
请分析服务器,给出NAS服务器系统告警服务使用的邮箱?[答案格式:xx@xx][★★☆☆☆☆]
-
请分析服务器,给出NAS服务器内存储池名?[答案格式:xxx][★★☆☆☆]
-
请分析服务器,给出NAS服务器内有几个数据集和几个Zvol?[答案格式:0, 0][★★★☆☆]
-
请分析服务器,给出该NAS服务器存储监听IP和端口?[答案格式:192. 168. 1. 1: 8080][★★★☆☆]
八,APK分析
-
请分析服务器,给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID?[答案格式:xx][★★★☆☆]
-
请分析服务器,给出web服务器连接NAS服务器所使用的iqn?[答案格式:iqn.xxx][★★★☆☆]
-
请分析服务器,给出web服务器连接NAS服务器所使用的账号和密码?[答案格式:root/ 123][★★★★★]
-
请分析服务器,给出redis所使用的配置文件?[答案格式:/home/1.conf][★☆☆☆☆]
-
请分析服务器,给出跑分网站后台根目录?[答案格式:/xx/xx][★★☆☆☆]
-
请分析服务器,嫌疑人所使用的跑分系统可能来自哪,请给出网站?[答案格式:www.baidu.com][★★☆☆☆]
-
请分析服务器,给出数据库root账号密码?[答案格式:password][★★★★★]
-
请分析服务器,给出数据库备份文件存放路径?[答案格式:/xx/xxx][★★★★★]
-
请分析服务器,给出数据库备份文件解压密码?[答案格式:password][★★★★★]
-
请分析服务器,给出数据库备份文件间隔多少天会删除?[答案格式:1][★★★★★]
九,其他分析
-
请分析服务器,给出数据库每天几点会执行备份操作?[答案格式:00:00][★★★☆☆]
-
请分析服务器,给出跑分网站后台用户余额总计?[答案格式:1000][★★☆☆☆]
-
请分析服务器,给出跑分平台后天未处理的用户申请有多少个?[答案格式:1000][★★☆☆☆]
-
请分析服务器,给出会员聂鸿熙推荐人的姓名?[答案格式:张三][★★☆☆☆]
-
请分析服务器,给出跑分平台内用户银行卡所属银行共有几家?[答案格式:10][★★★★★]
-
接上题,请给出这些银行中用户数最多的银行名称?[答案格式:xx银行][★★★★★]
-
请分析服务器,给出用户“祝虹雨”通过审核的充值总额?[答案格式:10][★★★★★]
-
请分析服务器,给出该跑分团队可能的办公大楼有几个?[答案格式:1][★★☆☆☆]
-
请分析服务器,给出用户John共提了几次会议预约申请,通过了几个?[答案格式:1,1][★★☆☆☆]
-
接上题,用户John哪个时间段的会议预约申请次数最多[答案格式:2000 - 01 - 01 00:00 - 00:00][★★☆☆☆]