2025高校网络安全管理运维赛--电子取证分析师赛道-决赛WriteUp
2025高校网络安全管理运维赛--电子取证分析师赛道-决赛WriteUp
- 关注鱼影安全
- 签到:
- 谁真正远程执行了命令?
- ezweblog:
- DFIR-rensom:
- 1. 恢复系统数据,给出主机用户的姓名全拼(全小写,例:zhangsan)。
- 2. 给出主机最近一次插过的U盘的厂商,全小写(例:barracuda)。
- 3. 给出电脑的OEM厂商品牌名称,全小写(例:xiaomi)。
- 4. 恢复账单文件,给出主机用户2023年全年的净支出金额,保留两位小数(例:233621.14)。
- 5. 挂载虚拟磁盘,恢复勒索病毒文件,勒索病毒伪造了某单位的证书签名,给出该单位名称全拼(全小写,例:北京心脏跳动有限公司->beijingxinzangtiaodongyouxiangongsi)。
- 6. 找到并修复损坏的图片,得到勒索收款钱包的前三个助记词(全小写,用下划线拼接,例:play_nice_boat)。
- 7. 该勒索病毒使用了静态密钥对文件进行加密,请找到其使用的密钥(例:QxRqyY!S4g^FvL)。
- DFIR-archer:
- 1. 加载镜像文件后,计算检材源盘数据的SM3校验值。(镜像格式E01,全大写)
- 2. 给出用户账户“archer”的创建时间。(格式:2001-12-21 05:23:15 精确到秒)
- 3. 给出VeraCrypt加密卷解密的密码。
- 4.VeraCrypt加密卷中的最新的Excel中有一张热成像图片,计算该图片的SM3校验值(全大写)
- 5.VeraCrypt加密卷中有一个路由器备份镜像,请给出其中的PPPoE账号
- DFIR-prx:
- 1.请给出该计算机的最后一次异常关机的开机时间(格式:2001-12-21 05:23:15 精确到秒)
- 2.该系统中曾经插入过一个USB设备“SMI USB DISK”,请给出他的序列号
- 3.镜像中安装了代理工具 “Flclash”,请给出使用了“globaldns”作为域名服务器的代理配置文件中,使用vmess协议的代理节点对应的UUID (全大写)
- 4.用户在导入代理文件后,删除了复制进计算机的代理配置文件,请给出删除该文件的账户SID
- 5.用户在境外网站下载了一个PDF并进行了打印,请给出打印内容中的软件序列号
- DFIR-RAID:
- 1.给出引导分区的UUID(如:84f012d9-1880-4306-9ce3-00695f81771c)。
- 2.给出系统DLNA服务端的版本号(如:1.14.514)。
- 3.给出名为newnew的LVM卷组的UUID(大小写字母+数字,如:FmGRh3-zhok-iVI8-7qTD-S5BI-MAEN-NYM5Sk)。
- 4.newnew-vol1 使用的文件系统uuid为(全小写)。
- 5.恢复数据盘的磁盘阵列,恢复逻辑卷备份,给出卷内被删除文件的文件名(如:result.txt)。
- 网络流量中的巨兽踪迹god:
- flag1:
- flag2:
- MISC-PCAPdfir-pcap:
- 1.被攻击的服务名称为(全小写,如elasticsearch)。
- 2. 攻击者第二次攻击尝试时使用的密码。
- 3. 攻击过程中写入文件的绝对路径。
关注鱼影安全
前言:支持电子取证分析师-全国行业赛技能辅导
签到:
flag{siMPlE_QR_COdE_anIMaTiON}
谁真正远程执行了命令?
ezweblog:
DFIR-rensom:
答案格式:flag{你的回答}
请分析【检材1】,并对以下问题作答。
警方破获了一起勒索病毒案件,获取病毒开发者的电脑后,对开发者的电脑进行取证。本题涉及到文件恢复、系统数据恢复、勒索病毒、Windows 11系统新特性等实用场景,希望考察选手在灵活运用取证工具的同时,也能利用自己扎实的取证技术基本功。试题中的仿真勒索病毒文件在正常情况下不会造成数据丢失,但仍建议采用虚拟机进行调试。
1. 恢复系统数据,给出主机用户的姓名全拼(全小写,例:zhangsan)。
FLAG:maaiyu
2. 给出主机最近一次插过的U盘的厂商,全小写(例:barracuda)。
FLAG:jetflash
3. 给出电脑的OEM厂商品牌名称,全小写(例:xiaomi)。
通过火眼仿真
FLAG:h3c
4. 恢复账单文件,给出主机用户2023年全年的净支出金额,保留两位小数(例:233621.14)。
根据题目找账单,文件系统–搜索得到账单 导出账单 筛选 2023 的“expense”就是支出
筛选“马爱雨”支出:5888818.47 收入:2519945.28
FLAG:3368873.19
5. 挂载虚拟磁盘,恢复勒索病毒文件,勒索病毒伪造了某单位的证书签名,给出该单位名称全拼(全小写,例:北京心脏跳动有限公司->beijingxinzangtiaodongyouxiangongsi)。
题目描述提示了恢复,说明有密钥 先找密钥
79C4D93D-5A3E-417F-B46C-6A111AE5D3CD
321838-229009-234102-143132-487047-447128-709555-188837 #密钥
恢复成功!!! 仿真 然后 装 vmtools 然后 放入 证书 即可查看。
FLAG:shanghaiyidegelamikejiyouxiangongsi
6. 找到并修复损坏的图片,得到勒索收款钱包的前三个助记词(全小写,用下划线拼接,例:play_nice_boat)。
找到 Camera 下 有个绿色的 只能肉眼看了
FLAG:boss_enrich_economy
7. 该勒索病毒使用了静态密钥对文件进行加密,请找到其使用的密钥(例:QxRqyY!S4g^FvL)。
逆向不太会 要动态调试
DFIR-archer:
答案格式:flag{你的回答}
警方在截获这份检材时,从嫌疑人的手机上同时获取了以下的信息:##4636##,
请分析【检材2】,并对以下问题作答。
1. 加载镜像文件后,计算检材源盘数据的SM3校验值。(镜像格式E01,全大写)
ps:注意这里要求是源盘 不然结果不一样 这个是对的
FLAG:42DDE4A368FD17641E8B56017081A5B00CAB11B89FD88495E3FE2D684A9F3DC9
2. 给出用户账户“archer”的创建时间。(格式:2001-12-21 05:23:15 精确到秒)
分析-账户操作记录-过滤操作信息栏-搜创建 发现第三个就是创建的用户 下面有时间
FLAG:2022-02-05 00:25:26
3. 给出VeraCrypt加密卷解密的密码。
火眼仿真启动,桌面有 keepass 文件 *#*#4636## 根据题目给的提示
解密这个 keepss 文件 找到 了 ironbox.safe 名称是:mainpwd 查看密码 尝试挂载解密
密码:PqR$34%sTuVwX 解压成功!!
FLAG:PqR$34%sTuVwX
4.VeraCrypt加密卷中的最新的Excel中有一张热成像图片,计算该图片的SM3校验值(全大写)
解压压缩包 安装 vmtools 把压缩包复制出本机
在童缘商品 xls 中找到了 两个图片 查看图片是题目要找的热成像
FLAG:ce4a2f20ebc2bcdce729885ae12fb3de0a7231e6c0a8dc1cc050605f9f8f1663
5.VeraCrypt加密卷中有一个路由器备份镜像,请给出其中的PPPoE账号
打开 mtd 发现 路由器配置在 mtd1
FLAG:hereyouare
DFIR-prx:
答案格式:flag{你的回答}
请分析【检材3】,并对以下问题作答。
1.请给出该计算机的最后一次异常关机的开机时间(格式:2001-12-21 05:23:15 精确到秒)
火眼导入-基本信息 -开关机时间 发现最后一次异常关机时间
FLAG:19:24:37
2.该系统中曾经插入过一个USB设备“SMI USB DISK”,请给出他的序列号
火眼导入-基本信息 -USB 设备信息
FLAG:AA00000000000489
3.镜像中安装了代理工具 “Flclash”,请给出使用了“globaldns”作为域名服务器的代理配置文件中,使用vmess协议的代理节点对应的UUID (全大写)
全局搜索globaldns,在搜索的文件中找到 yaml 文件 在第二页找到 uuid
FLAG:AB9E6E97-A28E- 4262-8584-48D7F850D531
4.用户在导入代理文件后,删除了复制进计算机的代理配置文件,请给出删除该文件的账户SID
在回收站记录中看到这个记录 发现删除了一个用户为:caster
用户列表发现这个用户 发现有 SID 信息
FLAG:S-1-5-21-2839104552-2639793746-125108461-1001
5.用户在境外网站下载了一个PDF并进行了打印,请给出打印内容中的软件序列号
直接搜.pdf 找到感谢你购买的这个 查看发现序列号 有点送分题了
FLAG:A3F8-JK22-MSQT-R4T6
DFIR-RAID:
答案格式:flag{你的回答}
请分析【检材4】,并对以下问题作答。
数码博主牛同学家里的设备坏了,需要你提取并恢复数据。本题涉及到对fnOS、MD-RAID、LVM和btrfs的数据恢复和固定。
1.给出引导分区的UUID(如:84f012d9-1880-4306-9ce3-00695f81771c)。
R-st 导入第一个镜像,或者使用火眼仿真 三个一起挂载 然后添加 即可。
blkid ##命令,列出所有分区的 UUID、文件系统类型
lsblk -f ##参数可以树状图
这里图一 可以看到 boot 的 uuid 是 09 开头 结合上面 R-st 分析的 这个是答案。
FLAG:09f8b70e-8787-4df8-9b61-f60c9d8764dd
2.给出系统DLNA服务端的版本号(如:1.14.514)。
火眼-分析-Linux 日志 搜关键字“dlna” 然后需要了解这个服务
systemctl list-unit-files | grep dlna #查找位置find / -name *dlna* #搜索全部路径,然后去路径查看版本即可cd /trim/var/mindlna /usr/trim/bin/minidlnad -V #执行命令 查看版本
FLAG:1.3.3
3.给出名为newnew的LVM卷组的UUID(大小写字母+数字,如:FmGRh3-zhok-iVI8-7qTD-S5BI-MAEN-NYM5Sk)。
仿真使用命令 vgdisplay newnew 或者使用 vgs -o vg_uuid
FLAG:B85Yqn-ZGfs-GCVj-wN0U-4EBW-9Pxz-snxGtv
4.newnew-vol1 使用的文件系统uuid为(全小写)。
仿真使用命令 blkid | grep newnew-vol1
FLAG:5ab9456c-cce7-4bcd-8e8c-f81823fd059d
5.恢复数据盘的磁盘阵列,恢复逻辑卷备份,给出卷内被删除文件的文件名(如:result.txt)。
lvscan #查看挂载的盘,发现有两个 新建两个进行挂载mkdir new
mkdir backcd /new
mount /dev/newnew/vol1
cd /back
mount /dev/newnew/back202510 diff -r back new #对比两个文件 -r 递归 -I 排除二进制
发现第二个是被删除的文件
FLAG:ZookeeperDynamicConfigurationTest.java
网络流量中的巨兽踪迹god:
题目描述:
警报!小P同学学校的网络监控系统发现服务器存在异常外联流量,疑似遭受了隐蔽的APT攻击!安全团队迅速响应,通过流量镜像捕获到了一个关键的pcap 数据包。初步分析显示,攻击者可能使用了一种代号为“G”的知名工具来窃取数据并维持持久控制,流量按照每 16字节一组进行异或混淆,其流量特征犹如巨兽般隐秘而危险。
现在,学校的网络安全防线面临严峻考验。急需你这样专业的网络取证分析员加入调查团队。你的任务就是深入分析这个 pcap文件,从复杂的流量中揪出隐藏的两个关键 Flag,帮助我们彻底揭露这次攻击的真相!
flag1:
根据题目题目提示,加简单分析下 导出 http 数据量发现 god.php 追踪数据量看到 pass
可以发现前 16 位和后 16 位是 md5 的混淆 需要去除 尝试解密的话需要找到 key
11cd6a875898416+6c37ac826a2a04bc #md5解密密钥:
3c6e0b8a9c15224a
有网可以使用:https://www.somd5.com/ 得到密钥:3c6e0b8a9c15224a
可以使用 Net-A 梭哈 也可以手动解密!
flag{Godzilla-is-a-mOnsTer}
flag2:
然后可以发现有压缩包,以及压缩包的格式密码 $USER:$PWD
根据前面的cd命令可以得到路径是/srv,用户的话哥斯拉rce成功
一般就www-data或者root也有可能 这里就是www-data,得到密码www-data:/srv
flag{gODZIlLa-ZiPs-acrOss-THE-SkY}
MISC-PCAPdfir-pcap:
答案格式:flag{你的回答}
1.被攻击的服务名称为(全小写,如elasticsearch)。
在第 6 条发现了 服务名 Redis
FLAG:redis
2. 攻击者第二次攻击尝试时使用的密码。
继续分析第 7 条 发现使用密码痕迹 使用的密码是 aaaaaa
FLAG:1234567qwerc
3. 攻击过程中写入文件的绝对路径。
继续分析搜.php 得到 路径和文件名
FLAG:/usr/share/caddy/testinfo.php