当前位置：首页 > wzjs >正文

建站做网站谷歌商店下载官方

wzjs 2025/8/5 5:22:09

建站做网站,谷歌商店下载官方,微信支付开发文档,网站首页原型图一，ios取证 (流量分析) [陇剑杯 2021]ios（问1） 题目描述一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答： 黑客所控制的C&C服务器IP是_______…

一，ios取证 (流量分析)

[陇剑杯 2021]ios（问1）

题目描述
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客所控制的C&C服务器IP是_____________。

按规矩，打开以后先看协议分级，都是tcp

过滤tcp的流量，看看流，可以直接搜索含有github字符的流量，在tcp的第15个流中，看到了黑客控制了一台服务器

[陇剑杯 2021]ios（问2）

题目描述
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客利用的Github开源项目的名字是______。

在第15个流的前面可以看到有一个在github中下载东西的命令，这个项目就是stowaway，其实你也可以自己访问看看

[陇剑杯 2021]ios（问3）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
通讯加密密钥的明文是____________。

还是第15条流，在第一题查看服务器ip的地方可以看见，命令的后面有一个-s，这个后面就是秘钥

[陇剑杯 2021]ios（问4）

题目描述
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客通过SQL盲注拿到了一个敏感数据，内容是____________。

这个题和TLS解密有关，需要用到解压出的keglog.txt文件

TLS（Transport Layer Security，传输层安全协议）

TLS 是一种用于网络通信的加密协议，主要用于保护数据在客户端（如浏览器）和服务器（如 Web 服务器）之间的安全传输。它是 SSL（Secure Sockets Layer，安全套接字层） 的后继版本，广泛用于 HTTPS、邮件、VoIP 等场景。

点击编辑，首选项

找到protocols(网络协议)里面的TLS，将pre-master-secret log finame(预备主密码日志文件名)添加分离压缩包得到的keylog.txt文件

然后过滤http2的流量，并过滤sql盲注的关键字select，查看流量，可以看见sql注入得到的密码的部分

将过滤后的流量作为.cvs文件导出，得到

将执行sql的url提取出来

import csv
import urllib.parse
import os# 获取脚本所在目录
script_dir = os.path.dirname(os.path.abspath(__file__))# 构造 CSV 文件路径（与脚本同目录）
csv_file_path = os.path.join(script_dir, '111.csv')# 构造输出文件路径（当前目录）
output_file_path = os.path.join(script_dir, '2.txt')# 打开 CSV 文件
with open(csv_file_path, newline='', encoding='utf-8') as csvfile:reader = csv.reader(csvfile)# 打开 2.txt 文件用于写入with open(output_file_path, 'w', encoding='utf-8') as txtfile:for row in reader:# 查找包含 SQL 盲注的语句for item in row:if 'select_hex' in item:# URL 解码decoded_sql = urllib.parse.unquote(item)# 写入到 2.txt 文件txtfile.write(decoded_sql + '\n')

得到

再次提取里面成功得到密码的url的16进制

最后就是将16进制转为字符，最后的zzz不算

[陇剑杯 2021]ios（问5）

题目描述

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客端口扫描的扫描器的扫描范围是____________。（格式使用“开始端口-结束端口”，例如1-65535）。

使用分析里面的专家信息，查看connection reset(链接被重置)

看Seq=1 Ack=1 Win=0 Len=0的信息的端口，从10-499

最后

[陇剑杯 2021]ios（问6）

题目描述

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
被害者手机上被拿走了的私钥文件内容是____________。

这题有问题

[陇剑杯 2021]ios（问7）

题目描述
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客访问/攻击了内网的几个服务器，IP地址为____________。（多个IP之间按从小到大排序，使用#来分隔，例如127.0.0.1#192.168.0.1)。

说到服务器，前面的题就有一个服务器，但是那个肯定不是

内网IP地址通常位于以下私有IP地址段：

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

日志文件里面有一个

然后看第四问，sql盲注时的两个ip也能看出是内网攻击。

因此就是{172.28.0.2#192.168.1.12}

[陇剑杯 2021]ios（问8）

题目描述
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：
黑客写入了一个webshell，其密码为____________。

在日志文件里面可以看见，很明显，在日志文件中攻击者先在upload.php传了一个ma.php，然后通过get传参执行命令，其中get的参数就是webshell的密码

二，windows内存取证

[陇剑杯 2021]机密内存（问1）

题目描述

一日网管中心的安全审计设备推送了一则高危入侵警报，经过了解发现有一台机密容器因违规操作遭遇入侵与破坏，容器宿主机内只留下了一段机密容器的内存与部分经过篡改的神秘文件，请你帮助还原容器的入侵过程。（大文件的解压密码为cf15e15d7054da59fb20e99d943294a7）
取证人员首先对容器的基本信息进行核实，经过确定该容器的基本信息为________。（答案为32位小写md5(容器操作系统系统的版本号+容器主机名+系统用户名），例如：操作系统的版本号为10.0.22449，容器主机名为DESKTOP-0521,系统登录用户名为admin，则该题答案为32位小写md5(10.0.22449DESKTOP-0521admin) 的值ae278d9bc4aa5ee84a4aed858d17d52a)。

[陇剑杯 2021]机密内存（问2）

黑客入侵容器后曾通过木马控制端使用Messagebox发送过一段信息，该信息的内容是____________。（答案为Messagebox信息框内内容）。

[陇剑杯 2021]机密内存（问3）

经过入侵分析发现该容器受到入侵的原因为容器使用人的违规进行游戏的行为，该使用人进行游戏程序的信息是__________。（答案为“32位小写md5(游戏程序注册邮箱+游戏程序登录用户名+游戏程序登录密码)，例如：注册邮箱为adol@163.com,登录用户名为user,密码为user1234，则该题答案为” adol@163.comuseruser1234”的小写md5值5f4505b7734467bfed3b16d5d6e75c16)。

[陇剑杯 2021]机密内存（问4）

经过入侵分析发现该容器曾被黑客植入木马控制的信息是_________。（答案为“32位小写md5(木马程序进程名+木马回连ip地址+木马回连ip端口）”，例如：木马程序进程名为svhost.exe，木马回连ip为1.1.1.1，木马回连端口为1234，则该题答案为“svhost.exe1.1.1.11234”的32位小写md5值f02da74a0d78a13e7944277c3531bbea)。

[陇剑杯 2021]机密内存（问5）

经过入侵分析，发现黑客曾经运行过痕迹清除工具，该工具运行的基本信息是________。（答案为“32为小写md5”(痕迹清除工具执行程序名+最后一次运行时间)，例如：黑客运行工具执行程序名为run.exe，运行时间为2021-07-10 10:10:13，则本题的答案为小写的32位md5(run.exe2021-07-10 10:10:13) 值为82d7aa7a3f1467b973505702beb35769，注意：本题中运行时间的格式为yy-mm-dd hh:mm:ss，时间时区为UTC+8）。

三，wifi

[陇剑杯 2021]wifi

题目描述

网管小王最近喜欢上了ctf网络安全竞赛，他使用“哥斯拉”木马来玩玩upload-labs，并且保存了内存镜像、wifi流量和服务器流量，让您来分析后作答：
小王往upload-labs上传木马后进行了cat /flag，flag内容为_____________。（压缩包里有解压密码的提示，需要额外添加花括号）。