能力验证及大练兵活动第一期

计算机

请根据计算机检材，回答以下问题： (10道题，共19.0分)

1. 计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1.0分)

答案：700755

2. 请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1.0分)

192.168.50.227

3. 计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1.0分)

这个是没加密的

G盘是加密的

答案：M

4. 接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1.0分)

Get-ChildItem -File | Select-Object Name, LastWriteTime

用命令找到M中最后修改时间的文件

Get-FileHash "INSTALLER" -Algorithm MD5

用命令直接查看md5值

答案：19D07B1F2EB7BD8F0C8E967B228F57D2

5. 请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6.0分)

把这个.npbk文件导入夜神模拟器，这里我在虚拟机里面一打开就会关机，不知道什么原因，后面是在本机搞的

6. 请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1.0分)

找到后计算md5就可以了

答案： 4122DEA71C6C5E60CABD02E0C52E3AB6

7. 计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://...） (1.0分)

在浏览器历史记录中找到

答案：

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130

8. 计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1.0分)

回收站中就可以找到

答案：2024-11-09 21:59:48

9. Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3.0分)

邮件中可以直接搜索可以在附件中找到

导出后在属性中可以看到经纬度，转换一下

10. 计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？ （答案格式：纯数字） (3.0分)

最后一次成功登录时间，接着看这个时间之前登录失败的次数就可以了

答案：6

手机

请根据手机检材，回答以下问题（备份密码6666）： (8道题，共19.0分)

11. 分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1.0分)

答案：FK3XDN2UKPJ5

12. 分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1.0分)

ios是钥匙串，安卓可以在备忘录或者软件中看看有没有

答案：1234qwer

13. [多选题] 分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2.0分)

A: 南宁市青秀区

B: 南宁市江南区

C: 济南市历城区

D: 上海市松江区

E: 上海市宝山区

可以查看高德地图的导航路线，然后查找地点在哪里

答案：ABCE

14. 分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1.0分)

这个看着就像几张的

找到包名

答案：com.maicai.freejizhang

15. 分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5.0分)

查看这个app的数据库

找到礼金红包的uuid以及支付宝对应的id，要注意这里单位应该是分，所以答案应该是17万

答案：170000

16. 分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3.0分)

一般这种都会在备忘录之类的里面，在锤子便签的数据库中找到

答案：201808188

17. 分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1.0分)

在高德地图的家庭地址中可以找到

答案：浦东新区张杨北路2899弄

18. 分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5.0分)

聊天记录里面有，应该是隐写

有点难找，直接点会跳转去数据库，要先选中这个消息然后预览源文件，接着再次点击图片就会出现了

可以看到文件头说明是个png，结尾是 AE 42 60 82

后面还有东西，需要分离

补充：

那么直接改后缀doc，xls之类的就可以了，最后是xls，然后就会发现有加密

那么聊天记录肯定会有密码，不然没办法交易，在下面找到了

打开文档后可看见金额

答案：344

服务器

请根据服务器检材，回答以下问题: (6道题，共19.0分)

ssh直接连就可以了，16022端口

19. 重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3.0分)

docker ps -a

答案：16379

20. 请找出加密mysql数据库连接密码所用的加密密钥（盐值）？（答案格式：注意大小写） (3.0分)

docker exec -it 79d2dfa52a5e /bin/bash      //进入容器id为79d2dfa52a5e的容器history看历史命令

ps：就是照着来的，自己做肯定不知道啊，要翻很久

21. 请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6.0分)

java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="064l9Wwf9KjXlSz0phcwvg+R5xwzCNl7" password="F*DZ-kZMs5qt"

不知道jasypt，没了解过，是看了师兄发的wp才解出来的

答案：kidsk&klf^rv

补充：

Jasypt是一个 Java 库，旨在为开发者提供简单易用的加密功能

Jasypt 主要提供了以下功能：

• 属性加密： 可以透明地加密和解密应用程序的配置属性（例如，数据库密码、API 密钥等），而无需修改应用程序代码。
• 文本加密： 提供了简单的 API 来加密和解密文本数据。
• 对象加密： 支持加密和解密 Java 对象。
• 命令行接口 (CLI)： 提供了一组命令行工具，用于执行加密和解密操作，而无需编写额外的 Java 代码。

这里用到的这个命令是使用 Java 运行时环境java来执行 Jasypt 库中提供的命令行工具

-cp jasypt-1.9.3.jar: 这个选项指定了classpath（一组目录，包含.class等）。Classpath告诉 JVM 在哪里可以找到需要的 Java 类文件。在这里，它告诉 JVM 在 jasypt-1.9.3.jar 这个 JAR 文件中查找 Jasypt 的类。-cp 是 -classpath 的缩写

org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI: 这是要执行的 Java 类的完全限定名。它指向 Jasypt 库中用于解密字符串的命令行工具类

22. 已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/...） (3.0分)

火眼分析的数据库中可找到

答案：/zwz/role/getAllByPage

23. 请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1.0分)

在后台中找，bcrypt，生成一个替换

答案：禁用

24. 请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3.0分)

SELECT
    SUBSTRING( address, 1, 2 ) AS `省份`,
    SUM( income ) AS `收入`,
    COUNT( income ) AS `人数`,
    SUM( income )/ COUNT( income ) AS `平均收入` 
FROM
    a_member_st 
GROUP BY
    `省份` 
ORDER BY
    `平均收入` DESC

答案：内蒙古自治区

逆向

请根据APK检材，回答以下问题： (6道题，共14.0分)

25. 分析APK检材，请问程序申请了几项系统权限？（答案格式：6) (2.0分)

26. 分析APK检材，请写出程序的入口邀请码；（答案格式：与实际大小写保持一致） (6.0分)

27. 分析APK检材，该程序进行恶意行为时保存的文件使用的加密算法及加密模式是？（答案格式：大写，如XXX-XXX） (1.0分)

28. 分析APK检材，该程序进行恶意行为时保存的文件使用的加密密钥是？（答案格式：与实际大小写保持一致） (3.0分)

29. 分析APK检材，该程序上传文件的服务器通信URL是多少？（答案格式：https://xxxx/xx/xx） (1.0分)

30. [单选题] 分析APK检材，以下哪个是该程序存在的恶意行为？ (1.0分)

A: 偷偷调用前置摄像头拍照并上传图片至服务器

B: 偷偷调用后置摄像头拍照并上传图片至服务器

C: 后台偷偷录音并上传音频至服务器

D: 偷偷获取通讯录信息并上传服务器

E: 偷偷获取短信信息并上传服务器

流量分析

请根据网络流量包检材，回答以下问题： (6道题，共19.0分)

31. 分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1.0分)

筛选http，发现流量包记录从一开始就在目录遍历攻击，点击以后查看可以发现时间

答案：2024-10-24 17:26:12

32. [单选题] 分析网络流量包，可以发现哪种攻击行为？ (1.0分)

A: 网络钓鱼

B: SQL注入

C: 拒绝服务攻击

D: 恶意软件传播

E: 中间人攻击"

很明显的sql

答案：B

33. 分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3.0分)

上面是通过注入获得数据库名字，下面肯定就是通过数据库名字进行进一步的注入了，所以直接翻到下面，就可以看见数据库的名字

答案：secret

34. 分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6.0分)

在通过时间来进行猜字符，如果字符是>79的就会延迟3秒返回数据，如果不满足>79，则不会延迟，就会有返回包

字符对应ascii码>79

字符对应ascii码<=103

字符对应ascii码<=91

字符对应ascii码<=85

字符对应ascii码>82

字符对应ascii码<=84

字符对应ascii码>83

所以第一个是84，也就是T

答案：Th!s_1s_5ecret!

35. 分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3.0分)

追踪流，我不是很看得懂，别的wp说是看accept

答案：冰蝎

36. 分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5.0分)

对最后的流量包解密

答案：type login.php

数据分析

请根据数据分析检材，回答以下问题： (4道题，共10.0分)

打开navicat连接服务器新建数据库，右键geren数据库 → 运行 SQL 文件 → 选择 .sql 文件 → 点击“开始”然后就会生成表了

37. 分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1.0分)

select count(1) from `member` where userName like "%强%"

答案：2945

38. 属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1.0分)

select count(1) from `member` where parentId = '89378'

答案：11

39. 请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3.0分)

SELECT userId,SUM(newBlance-oldBlance) as `佣金` FROM salary GROUP BY userId ORDER BY `佣金` DESC

答案：87314

40. 计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5.0分)

SELECT
    userId, SUM(withdrawAmount)
FROM
    withdraw 
WHERE
    FROM_UNIXTIME( creationTime / 1000, '%Y-%m-%d' )>= '2023-05-01' 
    AND FROM_UNIXTIME( creationTime / 1000, '%Y-%m-%d' )<= '2024-05-30' 
GROUP BY
    userId 
HAVING
    SUM( withdrawAmount ) > 1000

答案：11756