Aura Blog

外观

2024 精武杯 复现

约 3291 字大约 11 分钟

2025-04-30

请综合分析计算机和手机检材,计算机最近一次登录的账户名是

admin

请综合分析计算机和手机检材,计算机最近一次插入的USB存储设备串号是

S3JKNX0JA05097Y

请综合分析计算机和手机检材,谢弘的房间号是()室

admin 用户的文档里面有这几个文件,都导出看看。

第一个 storage 疑似加密容器。

顺丰 1k 是一个压缩包,看一下其实就是一个 xlsx,改后缀打开,里面可以直接找到谢弘。

201

请综合分析计算机和手机检材,曹锦芳的手机号后四位是

看顺丰 2k,是个带密码的压缩包,真带吗?试了一下,其实是伪加密,解压后可以直接搜到曹锦芳。

0683

请综合分析计算机和手机检材,找到全部4份快递相关的公民信息文档,按姓名+电话+地址去重后共有多少条?

我们刚才只找到了 3 份,那么第四份在哪呢?

在这里。

import pandas as pd

distinct = set()
for idx in range(1,5):
    file = f'顺丰{idx}k.xlsx'
    df = pd.read_excel(file,sheet_name='Sheet1',header=None)
    df.columns = ['ID','姓名','手机号','地址','','','G']
    for index,row in df.iterrows():
        distinct.add((row['姓名'],row['手机号'],row['地址']))
print(len(distinct))
4997

请综合分析计算机和手机检材,统计检材内共有几份购票平台相关的公民信息文档

之前有个 storage,应该是个加密容器,可以在计算机的 Sticky Notes 中找到挂载密钥。

挂载,然后发现一个 txt,里面一堆购票信息。

XWF 看一下,发现还有一个被删除的。

用密钥 123456 挂载,发现还有一个文件。

共计 3 个。

3

请综合分析计算机和手机检材,樊海锋登记的邮箱账号是

之前加密容器里面的 txt 中可以找到。

727875584@pp.com

请综合分析计算机和手机检材,统计购票平台相关的文档,去重后共有多少条身份证号为上海的公民信息?

一共三个文档,上一题找到过了。

distinct = set()

for i in range(1,4):
    with open(f'{i}.txt', 'r', encoding='utf-8') as f:
        for line in f.readlines():
            distinct.add(tuple(line.split('----')))
cnt = 0
for v in distinct:
    if v[3].startswith('310'):
        cnt += 1
print(cnt)
110

请分析手机检材,2022年11月7日,嫌疑人发送了几条短信?


共计 3 条。

3

请分析手机检材,其中保存了多少条公民住房信息?

12

server123 需要 RAID 重组。

FTK Imager 挂载,然后 R-Studio 进行 RAID 重组。

仿真时注意顺序,默认第一个是系统盘,要把 server4.e01 放在第一个,剩下三个作为磁盘阵列,参数刚才 R-Studio 已经跑出来了。

仿真成功。

SSH 可以直接连上。

进一下宝塔。

重置一下密码。

成功进入宝塔面板。

注意

阅读以下部分前,建议先看到服务器取证的 Question 4

发现出问题了,上面那堆内容就是 database.php 的内容,我们需要修复一下。

很简单,base64 解码后粘贴回去即可。

还是不行,看看数据库有没有问题。

这个数据库其实是开在 docker 里面的,需要手动启动一下。

还是访问不了,给网站文件夹赋权。

重构成功!

请对所给服务器检材进行分析,请 写 出 管 理 员 安 装“mdadm-4.1-9.el7_9.x86_64”的时间?

注意这里是 PM,也就是下午一点,用 24 小时制就是 13 时。

2023-02-16 13:13:01

请对所给服务器检材进行分析,请写出宝塔默认建站的目录是什么?(答案格式:/abc/def)

/data

请对所给服务器检材进行分析,请写出ip为192.168.157.1的机器登陆失败的时间是什么时候?

<font style="color:rgba(0, 0, 0, 0.87);">2020-10-09 16:47:29</font>

请对所给服务器检材进行分析,写出网站的数据库root帐号密码?

这个是错的。

去看一下网站根目录,发现是空的。

我们需要将刚才重组好的磁盘挂载到 /data 目录下。

/dev/sdb 就是刚才重组好的那个磁盘。

这里也可以直接手动把数据盘的东西都拖过去。

接下来去看数据库连接密码。

解一下。

hl@7001

请对所给服务器检材进行分析,请分析网站后台管理员帐号的加密方式(答案格式:xx(xx.xxx(xx.xxx(xxx))

md5($salt.trim($pwd))

请对所给服务器检材进行分析,网站首页友情链接中的“弘连网络“的更新时间是什么时候?

不好进后台,去连数据库看吧。

时间戳转换一下。

2023-02-16 15:02:29

请对所给服务器检材进行分析,网站后台管理页面入口文件名是什么?

去看日志。

4008003721.php

请对所给服务器检材进行分析,网站数据库备份文件的sha256的值是多少?

在 /data/backup 里面。

9dede75e455a7c4c5cc4b61e41570adf82af25251c5fd8456a637add864b0af0

请对所给服务器检材进行分析,网站数据库备份文件的解压密码是多少?

爆不出来,但是在 root 目录里面找到一个字典。

22Ga#ce3ZBHV&Fr59fE#

请对所给服务器检材进行分析,商城中“弘连火眼手机分析专用机MT510”商品的原价是多少?

把刚才那个压缩包里面的 sql 文件丢给 navicat 执行一下。

然后回到网站搜索。

注意答案是原价。

1398000.00

请分析流量分析.pcapng文件,并回答入侵者的IP地址是?

只有这一个 ip 和网站交互。

192.168.85.130

请分析流量分析.pcapng文件,并回答被入侵计算机中的cms软件版本是?

用的是 WordPress,看看版本。

5.2.1

请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL版本号是?

5.5.53

请分析流量分析.pcapng文件,并回答被入侵计算机中的MySQL root账号密码是?

去看最后一个登录的流,这个就是登录成功的。

admin@12345

请分析流量分析.pcapng文件,并回答入侵者利用数据库管理工具创建了一个文件,该文件名为?

发现创建了一个 06b8dcf11e2f7adf7ea2999d235b8d84.php 文件。

06b8dcf11e2f7adf7ea2999d235b8d84.php

请分析流量分析.pcapng文件,并回答被入侵计算机中PHP环境禁用了几个函数?

去看刚才创建的这个文件。

10

请分析流量分析.pcapng文件,并回答入侵者提权后,执行的第1条命令是?

dir

请分析流量分析.pcapng文件,并回答被入侵计算机开机时间是?

2019-06-13 18:50:33

请分析流量分析.pcapng文件,并回答被入侵计算机桌面上的文件中flag是?(答案格式:abcdef123456789)

3f76818f507fe7e66422bd0703c64c88

有一个 flag.png,直接提取出来。

不对劲,010 看一下,发现最后跟了一个 zip。

d31c1d06331a9534bf41ab93afca8d31

请分析1.备忘录.apk反编译出的文件中,正确答案在哪个文件里?

activity_main.xml

请分析1.备忘录.apk并找到程序中的主activity是?(答案格式:com.tencent.mm.activity)

com.hl.memorandum.MainActivity

请分析1.备忘录.apk并找到程序中的flag值(答案格式:HL{66666666-1-1-1-1})

第一问找到了,就是那串 base64 编码的字符串。

HL{d0b2058a-ac29-11ed-807f-acde48001122}

请分析2.easyapk.apk中SharedPreferences配置文件的名称(包括后缀)是什么?

搜一下。

这个可能是配置文件的名称。

去搜一下。

找到了。

myprefs.xml

请分析2.easyapk.apk并找到程序中的flag值(答案格式:HL{66666666-1-1-1-1})

flag 就是这 5 个字符串拼起来然后 sha.encrypt。

去找一下这 5 个字符串是什么。

from hashlib import md5
str1 = b"/data/user/0/com.hl.easyapk/cache"
str2 = b"/storage/emulated/0/Android/data/com.hl.easyapk/cache"
str3 = b"/data/user/0/com.hl.easyapk/files"
str4 = b"/storage/emulated/0/Android/data/com.hl.easyapk/files"
str5 = b"[0F:E5:59:23:3E:4F:AB:63:4C:C0:28:45:21:CC:10:B9]"
flag=""
flag+="HL{"
flag+= md5(((md5(str1).hexdigest()+md5(str2).hexdigest()+md5(str3).hexdigest()+md5(str4).hexdigest()+str5.decode())).encode()).hexdigest()
flag+="}"
print(flag[0:11]+"-"+flag[11:15]+"-"+flag[15:19]+"-"+flag[19:23]+"-"+flag[23:])
# HL{55c99ed4-d894-ae59-3a3b-6fe3eed793e7}
HL{55c99ed4-d894-ae59-3a3b-6fe3eed793e7}

请分析3.verify.apk,该程序中所使用的AES加密KEY值为

需要先解密一下 key 是什么。

其实就是用 RC4 加密(xxx 那个方法里面就是 RC4)生成了一个 AES 密钥,然后用这个密钥和 IV 加密生成了加密过的 key。

先把 AES 的密钥解出来。

thisisyouraeskey

请分析3.verify.apk并找到程序中的flag值(答案格式:HL{66666666-1-1-1-1})

用刚才 AES 的密钥和 IV,去解密出来那个加密后的 key。

可以在资源里面发现一个 7z 压缩包。

用解出来的 key 去解开压缩包,里面就是 flag。

HL{301b6b90-ac37-11ed-bad4-5811224dd424}