标签：分析 文件 计算机 介质 流量 检材 pcapng 精武

介质

1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是

admin

2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是

S3JKNX0JA05097Y

 

3. 请综合分析计算机和手机检材，谢弘的房间号是（）室

201

在文档中存在一个加密容器storage和三个压缩文件，全部导出

利用弘连的特征分析功能，发现顺丰1k其实是一个execl表格，修改文件的后缀名即可

 

 利用linux内核命令file也可查看出文件类型，发现是一个excel文件

修改文件后缀，打开文件，搜索谢弘，发现人物信息

4. 请综合分析计算机和手机检材，曹锦芳的手机号后四位是

0683

依次打开剩余的三个文件，发现第二个文件加密，3和4都可以正常打开

考虑压缩包的伪加密，利用010修改字段值，把504B0102后面的字段09 00修改为00 00即可

成功打开，拿到所有的快递文件信息

在第二个xlsx中找到曹锦芳的信息

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按姓名+电话+地址去重后共有多少条？

4997

这几题不太会，学习一下数据处理的方法方式

首先需要将excel表格中的数据导入数据库中，本地开启一个数据库服务，新建一个数据库和一个表格

将四个文件中的数据导入

需要给新建的表格增加字段名与xlsx文件中的相互对应

导入之后，使用select的distinct去重，结果是4997

6. 请综合分析计算机和手机检材，统计检材内共有几份购票平台相关的公民信息文档

3

之前发现一个truecrypt加密的文件，先挂载起来

密码在便签里，但有两个密码，这里比赛的时候看了一眼就过去了，没多想，事实证明后面的题目跟这里有很大的关系

 挂载之后发现是12306购票平台的脱库文件

这里着实没有想到，要用数据恢复工具恢复删除的文件

先扫描加密容器挂载的分区，发现12306裤子2.txt

使用第二个密码123456加载容器，发现12306裤子3.txt

一个加密的容器文件可以存在两种密码，一个是外部密码，一个是内部密码，分别对应常规的和隐藏的容器，需要分别验证。

7. 请综合分析计算机和手机检材，樊海锋登记的邮箱账号是

[email protected]

一号裤子里

8. 请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少条身份证号为上海的公民信息？

109

利用cat命令合并三个txt文件，也可以使用py脚本以及在线工具

对res文件进行进一步处理，首先编辑字段名，相邻字段名之间使用空格

再将原本文件中的----替换为空格，使用notepad++的替换功能。

导入数据库

注意字段分隔符的选定要与源文件相符

9. 请分析手机检材，2022年11月7日，嫌疑人发送了几条短信？

3

10. 请分析手机检材，其中保存了多少条公民住房信息？

12

在手机的图片里，注意去重

流量

流量真得好好学学，比武的时候完全没有思路，同校的师兄半个小时就秒了，呜呜!

1. 请分析流量分析.pcapng文件，并回答入侵者的IP地址是？

192.168.85.130

过滤http请求，发现都是85.130的ip在请求

2. 请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？(答案格式：1.1.1)

5.2.1

wp开头的目录，确定是wordpress框架，版本就是ver参数的5.2.1

3. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是？(答案格式：1.1.1)

5.5.53

先过滤MySQL服务

 

 追踪流，发现外部ip不允许外连，可以确定黑客通过phpmyadmin页面进入，前面也确实发现不少url中包含phpmyadmin字符

 

 

过滤，追踪流，并且搜索version，找到答案

4. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

admin@12345

过滤，发现黑客在对phpmyadmin首页进行爆破

查找最后几条post请求

5. 请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

06b8dcf11e2f7adf7ea2999d235b8d84.php

黑客既然已经爆破出了数据库root用户的密码，肯定会以MySQL服务为突破口进行1getshell以至于拿到更高的权限

追踪http流，发现痕迹

在phpmyadmin的import页面进行了数据库的配置更改。

将数据库的日志文件general_log_file的目录更改到了网站的根目录

写入该文件的php语句都会被系统解析

这是常用的渗透getshell的手法

6. 请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

10

上题看到设置了general_log的文件地址到网站根目录，接下来肯定是要在SQL语句中执行恶意语句来RCE

查看禁用的函数一般可以通过phpinfo信息中的disable_functions

筛选出包含phpinfo的流量

导出日志文件，它记录了mysql的日志，可以在里面搜索到禁用函数的信息

在这个文件中还发现了MySQL服务的版本，与之前的保持一致

PHP禁用函数一般存放在phpinfo.php的disable_function中

一共有10个

7. 请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

dir

前面的题目看着还熟悉，这题是完全没有思路，看看大佬的解题思路

需要寻找提权的标志，Windows系统提权后会出现C:\Windows\system32>，直接搜索，注意转义的设置

这里没有用到http服务，一般提权在tcp流量中

8. 请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

2019/6/13 18:50:33

更改编码方式，显示中文

9. 请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

3f76818f507fe7e66422bd0703c64c88

10. 请分析流量分析.pcapng文件，并回答图片文件中的flag是？(答案格式：abcdef123456789)

d31c1d06331a9534bf41ab93afca8d31

最后一题像misc

请求了png图片，将返回的图片保存下来

将原始数据保存下来，删除8950之前的数据

成功打开

但是要找flag

继续分析，发现图片的后面是一个zip压缩包

但是发现压缩包损坏，winrar无法修复

但是观察010editor，发现txt文件中的内容已经显示

总结

此次比武总的来说应该是比较简单的了，但自己还是有很多不足，介质部分对大批量的数据不会处理

之前确实遇到SQL查询的题目没怎么关注

流量部分虽说需要渗透web的一定基础，自己也在渗透的起步阶段，但流量取证掌握一定的方法方式，并且具有渗透人的思维

很多题目还是比较简单的

比较只要利用神器wireshark就可以解决百分之九十的问题了！

参考文章

https://mp.weixin.qq.com/s/VrgSww3PqZ1y56LmVkgpkg（湘警大佬wp）

https://www.wbolt.com/how-to-check-and-remove-wordpress-version.html（wordpress版本查看）

https://www.cnblogs.com/security4399/p/3174640.html（phpmyadmin的import页面getshell）

 

标签：分析,文件,计算机,介质,流量,检材,pcapng,精武
From： https://www.cnblogs.com/zyToJH/p/18160443