第七届精武杯部分wp

第一部分:计算机和手机取证

1.请综合分析计算机和手机检材,计算机最近一次登录的账户名是

答案:admin

创建虚拟机时直接给出了用户名

2. 请综合分析计算机和手机检材,计算机最近一次插入的USB存储设备串号是 

答案:S3JKNX0JA05097Y

证据分析中直接查看

3. 请综合分析计算机和手机检材,谢弘的房间号是()室

答案:201

打开顺丰1k.zip查看发现其为一个Excel表格,导出后更改后缀名

打开用ctrl+f搜索谢弘发现其的信息

 4. 请综合分析计算机和手机检材,曹锦芳的手机号后四位是

答案:0683

打开顺丰2k.zip是压缩包导出后打开ctrl+f搜索发现曹锦芳信息

5. 请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按姓名+电话+地址去重后共有多少条?

答案:4997

导出四份顺丰快递文档将姓名+电话+地址数据放入一个新建表格中,用excel表格菜单【数据】中的【重复项】删除重复项,最终得到去重后的数据

6. 请综合分析计算机和手机检材,统计检材内共有几份购票平台相关的公民信息文档

答案:3

在分析中的微软便签中发现了一串可疑的vc加密容器的密码

回想起在顺丰1K.zip同目录下的可疑容器storage

用前面的密码尝试,挂载成功,里面有一份12306裤子.txt文件,点开查看是一份购票平台相关的公民信息文档

用另一个密码挂载得到12306裤子3.txt

猜测可能有一个12306裤子2.txt被删除2,用R-studio扫描挂载的磁盘得到删除的文件12306裤子2.txt

7. 请综合分析计算机和手机检材,樊海锋登记的邮箱账号是

答案:727875584@pp.com

打开上面购票平台相关的公民信息文档内有用户的邮箱账号,尝试搜索樊海锋找到

8. 请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少条身份证号为上海的公民信息?

答案:109

将数据分别导入excel表格中

 再将三份数据合并到一份excel表格中,筛选出身份证开头为310的(上海户口身份证开头为310)

 导入到新的表格删除重复项,得到109条

9. 请分析手机检材,2022年11月7日,嫌疑人发送了几条短信?

答案:3

10. 请分析手机检材,其中保存了多少条公民住房信息?

答案:12

 

第三部分:流量分析

填空题

1. 请分析流量分析.pcapng文件,并回答入侵者的IP地址是?

答案:192.168.85.130

打开wireshark分析,一直是192.168.85.130在请求192.168.85.250

2. 请分析流量分析.pcapng文件,并回答被入侵计算机中的cms软件版本是?(答案格式:1.1.1)

答案:5.2.1

扩展:WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。

wp-即为WordPress,软件的版本ver为5.2.1

3. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL版本号是?(答案格式:1.1.1) 

答案:5.5.53

筛选http协议且包含phpmyadmin和version关键词的流量(phpmyadmin中一般有MySQL库)

http && http contains "phpmyadmin" && http contains "version"

追踪流

筛选version

4. 请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL root账号密码是?

答案:admin@12345

 筛选phpmyadmin登录(POST方法提交数据)相关的流量

http contains "phpmyadmin" && http.request.method=="POST"

找到index.php的流量,可以看到正确登入的密码

追踪http流发现是通过302跳转进入后台

 5. 请分析流量分析.pcapng文件,并回答入侵者利用数据库管理工具创建了一个文件,该文件名为?

答案:06b8dcf11e2f7adf7ea2999d235b8d84.php

继续查看http流可以发现执行了一个sql语句创建了一个文件

url解码后可以得到文件名

6. 请分析流量分析.pcapng文件,并回答被入侵计算机中PHP环境禁用了几个函数?

 答案:10

由上题发现创建的文件是一个general日志文件(每个SQL查询都会写入日志文件)且创建位置在网站根目录下,入侵者接下来肯定是要在SQL语句中执行恶意语句来RCE。所以他需要查看PHP环境的禁用函数来绕过,一般查看禁用函数通过phpinfo信息中的disable_functions

筛选phpinfo的流量

发现执行了SELECT '<?php phpinfo();?>',入侵者接下去就会访问文件让服务器解析<?php phpinfo();?>查看phpinfo信息

筛选disable_functions的流量

追踪http流,筛选出disable_functions的信息

一共有10个禁用函数system,passthru,exec,shell_exec,popen,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl

7. 请分析流量分析.pcapng文件,并回答入侵者提权后,执行的第1条命令是?

答案:dir

Windows中提权成功后的命令行开头应该是C:\Windows\system32>

筛选C:\Windows\system32>的流量

tcp contains "C:\\Windows\\system32>"

#tcp传输控制协议

追踪第一条tcp流

第一条命令是dir

8. 请分析流量分析.pcapng文件,并回答被入侵计算机开机时间是?

答案:2019/6/13 18:50:33

执行完dir命令后有执行了systeminfo命令(查看系统信息),由于编码问题没法看到中文所以将编码改为GBK

9. 请分析流量分析.pcapng文件,并回答被入侵计算机桌面上的文件中flag是?(答案格式:abcdef123456789)

答案:3f76818f507fe7e66422bd0703c64c88

tcp流一个一个查找过去最终在1366找到桌面上有个fl-ag.mg文件

10. 请分析流量分析.pcapng文件,并回答图片文件中的flag是? (答案格式:abcdef123456789)

答案:d31c1d06331a9534bf41ab93afca8d31

可以看到使用bitsadmin命令从远程服务器上下载了一个flag.png到C盘根目录

导出文件

用010打开滑倒最下面发现有一个压缩包,里面有一个this.txt文件,里面的内容是d31c1d06331a9534bf41ab93afca8d31

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/835662.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

抖音快速涨粉秘籍解密!从巨量千川投流真实粉丝,快速增粉1000~10万!

随着抖音的风靡&#xff0c;对于众多用户来说&#xff0c;快速涨粉已经成为了追求的目标。在这篇文章中&#xff0c;我们将揭秘全网都在搜索的抖音快速涨1000粉的方法&#xff0c;帮助你打造一个高人气的抖音账号&#xff01;从巨量千川投流到官方真实流量&#xff0c;再到真实…

外卖系统微信小程序支付

微信小程序支付时序图 其中第9.步骤就是微信小程序前端调用wx.requestPayment

QT7_视频知识点笔记_3_自定义控件,事件处理器⭐,定时器,QPainter,绘图设备,不规则窗口

第三天&#xff1a; 自定义控件&#xff0c;事件处理器⭐&#xff0c;定时器&#xff0c;QPainter,绘图设备&#xff0c;不规则窗口实现 1.自定义控件&#xff1a; 创建新的QT控件类&#xff0c;然后再需要使用的地方--》提升为 来使用如何使用基础控件的信号和槽函数&…

1.前端环境搭建

1.安装nodejs 因为我们开发Vue项目需要使用npm命令来创建和启动&#xff0c;安装node.js是为了获得这个命令&#xff0c;目前和使用node.js无关 下载地址&#xff1a;http://nodejs.cn/download/ 下载完之后安装&#xff0c;通过cmd查看是否安装成功 node --version2.创建项目…

探讨 vs2019 c++ 里函数指针与函数类型在使用上的语法区别

&#xff08;1&#xff09;咱们可以用 decltype &#xff08;&#xff09; 来判断函数的类型。但以这个类型定义有用的可指向已存在函数的变量&#xff0c;却行不通。测试如下&#xff1a; 如果把上面的注释去掉会报错&#xff1a; 所以函数类型只有语法意义。但在使用上没有函…

【C语言】/*操作符(下)*/

目录 一、操作符的分类 二、二进制和进制转换 2.1 进制 2.2 进制之间的转换 三、原码、反码、补码 四、单目操作符 五、逗号表达式 六、下标引用操作符[] 七、函数调用操作符() 八、结构体成员访问操作符 8.1 直接访问操作符(.) 8.2 间接访问操作符(->) 九、操作符…

修改el-checkbox样式

一定要在最外层&#xff1b; //未选中框/deep/ .el-checkbox__inner{border-color: #0862a3;}//选中框/deep/ .el-checkbox__input.is-checked .el-checkbox__inner{background-color: #0862a3;border-color: #0862a3;}//未选中框时右侧文字/deep/ .el-checkbox__label{}//选中…

git 推送github 选https遇到登录 openSSH问题

使用https需要使用github令牌token作为密码&#xff0c; 使用SSH不需要登录。 还有一个问题&#xff1a; 创建github仓库后没有quick setup页面解决办法 千万不要点击任何多的操作&#xff01;&#xff01;&#xff01;输入仓库名&#xff0c;直接create&#xff01;&#x…

return语句

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 return语句 一、return语句后面跟表达式二、return无返回三、return返回的值和函数返回类型不一致四、return语句执行后,后方仍然存在代码五、存在分支语句&#xff0c;需考虑…

去哪里找高清视频素材?推荐几个短视频素材免费网站

在数字时代&#xff0c;视频内容的质量直接影响观众的吸引力和留存率。尤其是高清、4K视频素材和可商用素材&#xff0c;它们在提升视觉质量和叙事深度方面起到了至关重要的作用。以下是一些国内外的顶级视频素材网站&#xff0c;它们提供的资源将为您的创作提供极大的支持和灵…

LeetCode/NowCoder-链表经典算法OJ练习1

目录 说在前面 题目一&#xff1a;移除链表元素 题目二&#xff1a;反转链表 题目三&#xff1a;合并两个有序链表 题目四&#xff1a;链表的中间节点 SUMUP结尾 说在前面 dear朋友们大家好&#xff01;&#x1f496;&#x1f496;&#x1f496;数据结构的学习离不开刷题…

机器人系统仿真

0、何为仿真 通过计算机对实体机器人系统进行模拟的技术。 1、为何仿真 低成本&#xff1a; 机器人实体一般价格昂贵&#xff0c;为降低机器人学习、调试的成本&#xff1b;高效&#xff1a; 搭建的环境更为多样且灵活&#xff0c;可以提高测试效率以及测试覆盖率&#xff1b…

三大消息传递机制区别与联系

目录 总结放开头 1、定义区别&#xff1a; EventBus Broadcast Receiver Notification 2、使用区别: EventBus Broadcast Receiver Notification 3、补充通知渠道&#xff1a; 通知渠道重要程度 总结放开头 BroadCast Receiver:属于安卓全局监听机制&#xff0c;接收…

【算法】最短路问题 bfs 到 dijkstra

1976、到达目的地的方案数 你在一个城市里&#xff0c;城市由 n 个路口组成&#xff0c;路口编号为 0 到 n - 1 &#xff0c;某些路口之间有 双向 道路。输入保证你可以从任意路口出发到达其他任意路口&#xff0c;且任意两个路口之间最多有一条路。 给你一个整数 n 和二维整…

五一 大项目--docker-compose编排lnmp完成wordpress

Docker 中的 Nginx 服务为什么要启用 HTTPS 一安装容器 1 安装docker-20.10.17 2 安装所需的依赖 sudo yum install -y yum-utils device-mapper-persistent-data lvm23 添加Docker官方仓库 sudo yum-config-manager --add-repo https://download.docker.com/linux/centos…

Linux-线程概念

1. 线程概念 线程&#xff1a;轻量级进程&#xff0c;在进程内部执行&#xff0c;是OS调度的基本单位&#xff1b;进程内部线程共用同一个地址空间&#xff0c;同一个页表&#xff0c;以及内存中的代码和数据&#xff0c;这些资源对于线程来说都是共享的资源 进程&#xff1a;…

RabbitMQ (windows) 安装

大家好我是苏麟 , 今天安装一下 RabbitMQ . 官网 : RabbitMQ: One broker to queue them all | RabbitMQ 1.点击 Getting Started 2. 点击 Docs 3.点击 Install And Upgrade 4.点击 installation via Chocolatory 5. 直接下载安装包 RabbitMQ 下好了先放在一遍 RabbitMQ 需要 E…

【C++】-------反向迭代器的模拟实现(补充)

目录 前言 一、反向迭代器接口&#xff08;用户层&#xff09; 二、模拟实现 三、以vector模拟实现为例 四、总结 前言 在vector和list的接口中我们实际上有说明过反向迭代器的用法&#xff0c;这里就有个问题&#xff0c;并不是只有这两个容器存在反向迭代器的。那么对于他…

点云DBSCAN聚类,同时获取最多点数量的类,同时删除其他的类并显示

代码的主要目的是处理一个点云文件(从某个巷道或类似环境中获取的),并尝试识别并可视化其中的主要结构(比如墙壁),同时去除可能的噪声和异常点。它首先读取一个点云文件,进行降采样和异常点移除,然后使用DBSCAN聚类算法对剩余的点云进行聚类,最后选择并可视化包含最多…

应用案例 | 商业电气承包商借助Softing NetXpert XG2节省网络验证时间

一家提供全方位服务的电气承包商通过使用Softing NetXpert XG2顺利完成了此次工作任务——简化了故障排查的同时&#xff0c;还在很大程度上减少了不必要的售后回访。 对已经安装好的光纤或铜缆以太网网络进行认证测试可能会面临不同的挑战&#xff0c;这具体取决于网络的规模、…