平航杯 WP

已于 2024-04-25 20:09:12 修改
阅读量1.4k 收藏 7
点赞数 7
文章标签: 安全
于 2024-04-23 11:03:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77163694/article/details/138107367
版权

取证小白 因为时间冲突 没有来得及参加比赛 现在让小白复盘一下 听说服务器取证挺难的 

 (不多说 我们来用小白思路 复盘一下)

  持续更新中

先看一下案情信息 

一共有三个人 分别是 闻早起 海公牛 玉王直 

简要案情

检材清单

可以看到量还是蛮大的  

开始做题

接下来我们开始做题目吧(为了方便以前面的序号为题号)

2-6

2. 先放入火眼里面跑一下 发现了文件分类里面有一个文件夹中存在vc

所以先盲猜 答案是VeraCrypt

现在 我们知道的太少了 所以先答VC吧

3.仿真一下镜像  要吧相关参数都取消掉 这样能保证正常运行

操作系统是win10 x64

找到对应的密码和pim

5FlowerMa)(ThousandGoldQiu]'/[;.
88
进去之后直接就弹出来了这个
所以答案应该是冰点还原软件
并且在c盘中寻找没有找到bitlocker 所以第二题应该是对的
4.先找一下这个路径  下是不是有内部的微信号
果然找到了 很明显最后下面这个是微信的账号 wxid_bsvr29ygby9712
5.先查找 发现有三个 看文件的位置应该第一个是从网站上面下载下来的
在浏览器中只可以看到内网的网址 我们要接着去找对应的url
先询问一下数据库的地址
ok 接下来就是用sql browser来查一下就行
可以看到对应下载端口11001下的完整路径  http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456
6.使用password kit 直接跑一遍 
e29************ 版本太低了没有找全密码
换个破解密码的软件
一下子就出来了  密码是e290c5be371f4

6-11

7.第一次做u盘取证题目 就是现将u盘挂载然后 用vc解密就可以运行
通过 剪裁的题目中我们可以看出来密码和pim 
分别是: GlGjSSy)(*QyHfBqz()-  15
就可以看出来 一共有 4个文件
8. 打开文档寻找
时间是2001/1/23
9. 在微信文件中找到了一个疑似恶意木马的exe文件 
用powershell 计算一下 exe的sha256  
10. 放入软件里面分析一下就出来了 算一下一共是10个
11.接着分析  
导入的函数计算相加一下 就是264

12-19

暂时未做 后面再补

20-30

20
21
22
进入服务器取证部分 一下是 服务器ip地址划分表
然后挂载 虚拟服务器

31-40

41-50

51-60

61-70

61.和之前一样先挂载上来 然后在图片信息中找到相应的秘密

控制面板中可以找到相关的信息
62.
通过cmd可以直接输出
63.通过查找注册表可以得到 答案
曾经挂载过 EF盘中
64 
根据这个可以知道号为 7601
65
可以知道一共出来14次 然后本日的登录信息也在其中 我们可以直接找出来 有13次 但是有冰点还原所以 无法得知
66
在电脑里找半天没找到 无语了 最后在手机镜像里面找到了
密码是 ChaoPing2AnOpen)(*FengZheng1FanOver=-()
pim 应该是后面的30
和之前一样挂载之后解密
17-3+16+17+11=58 个文件一共
67.
【万宁五子棋】  琉璃秘境.mp4
 
68.
接着挂载
然后搜索一下 就出来了MD5: bce0bee4d9f6ec6172ad51f64223924c

71-80

71.
MD5: bce0bee4d9f6ec6172ad51f64223924c
72.
找到了嗷
18268381608  (这是不是出题人的手机号呀goutou)
73.密码也在上图中有 就不多说了
74.一共5个
75.
软件直接跑出来了
76. 应该是畅动力吧 (应该不可能是密约空间这种运动吧 hhhh)
77. 用其他应用分析找到了存放数据库的目录
然后就找到了最后一次跑步的起始点
30.17108659263663,120.15221402698702,gps,1671410521373,2.0,72.17
78. 很明显应该是微信
79
就是这个 然后改一下大写就行了
80
这里我们把那个文件点导出来记得复制然后把后缀改为 .apk的格式 
这里可以知道包名咯

81-90

81 
哈哈哈 用之前的手机号尝试一下注册 然后网站就爆出来了
看下面就是网址咯
82
找一下就来了 ABCD
83
找到时间戳咯 
1710859432815 找个时间戳转换器就行了
84
85
只有7个朋友 又让我找到了
86
这里要记得把content勾选上 然后分析这七段聊天记录 就可以发现一共有4个
87
这里发现有上级对下级的话
应该是刘三姐咯
88
89
90
stray l
关注
中文汉字码表
weixin_38871988的博客
09-08 6万+
[PAD] [unused1] [unused2] [unused3] [unused4] [unused5] [unused6] [unused7] [unused8] [unused9] [unused10] [unused11] [unused12] [unused13] [unused14] [unused15] [unused16] [unused17] [unused18] [unused19] [unused20] [unused21] [unused22] [unused23] [unuse
2024年盘古石服务器取证wp
qq_51233573的博客
05-12 2665
由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下 再通过上传接口将一句话木马上传。根据修改时间判断也是后续上传上去的文件 继续向前回溯 18时51分48秒的时候通过sql注入将tmpugklv.php 写道网站当中。再将sql文件导入数据分析工具当中 查看userlog表 结合受害人的聊天记录可以判断受害人第一次成功登录网站的时间为。根据导出的数据库备份文件可以看出 数据库表的前缀 think_
电子取证平航的复现
2401_82388450的博客
05-06 1354
(3) 玉王直所使用的标签为“飞天五子棋教”的u盘中“(内部)(机密)飞天五子。(5)玉王直所使用的标签为“飞天五子棋教”的u盘中在“(高层)(绝密)飞天五。(7) 玉王直所使用的标签为“IT”的u盘中结尾为.enc的文件md5值为?(8)玉王直所使用的标签为“IT”的u盘中提到的云服务器提供商的联系电话为?(9)玉王直所使用的标签为“IT”的u盘中提到的登录云服务器台登录密码为?(6)玉王直所使用的标签为“IT”的u盘中结尾为.pem的文件md5值为?
2024平航部分复现
2301_80913334的博客
05-09 1232
电脑1、教徒“闻早起”所使用的笔记本电脑使用何种加密程式?答案:VeraCrypt打开火眼证据分析在文件中直接找到了VC由于暂时没有找到别的可疑加密程序所以答案猜测是VC2、教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为?【标准格式:1.2.3.4】答案:8.71.020.5734创建虚拟机打开虚拟机发现需要密码查看闻早起的检材照片发现电脑上贴着疑是密码的字符输入密码后发现还需要pim(一般需要密码和pim)
2025“獬豸”全国电子数据取证竞赛-k8s服务器取证wp
BJYBJ的博客
03-09 2582
2025“獬豸”全国电子数据取证竞赛-k8s服务器取证wp 全网最详细wp——最适合取证宝宝的wp
平航复现
wwwwyyyrre的博客
05-08 1520
esxi镜像挂载是一个新的创新点就根据官方的wp进行挂载就可以了,后面差不多常规的服务器取证操作,然后服务器和计算机,u盘取证都有点联系,还是需要队友配合好一点配置网段我的建议是把本机的配置改一下,不然改了服务器里边的有点太麻烦了先把虚拟机的网卡配置改成vmnet8然后把本机的虚拟网卡改掉 下图是几个虚拟机的ip以及账号密码信息在本机实现ping通即完成网络配置登录之后发现一共有11台虚拟机记得把应用程序超时关掉,不然到时候就15分钟刷新一次,有的时候挂载的镜像会掉开始答题3台,看IP规划表就能看出来ntp
平航电子取证WP
wild_smart_cuber的博客
04-20 2359
再下一步便是把经纬度输进在线网站里面查一下,但是这里基本上准不了,毕竟考虑到很多网站的精度。。。 `
平航(手机取证部分)
2302_79119987的博客
04-29 932
从其他wp得知,content-type为105就是发送文件,在数据库中找到了4个文件。打开软件包数据库,在local_friend中找到了7条数据,因此有7个好友。用Navicat Premium 16工具打开数据,找到相关的内容。根据题目选项进行尝试,双击发现进入修改页面,意外发现服务器域名。同时找到了内部通信软件的安装包和MD5值,题目所需的MD5。用火眼分析后,在数据库中找到畅动力的文件包并导出数据。为大写,需要转码,同时将apk导入雷电app,得到包名。浏览内部信息时找到了在微信中的聊天记录。
平航esxi服务器vmware模拟,用ftk加载
snb909的博客
05-04 248
用ftk加载
2023平航——介质取证部分复现
m0_73756016的博客
04-25 1277
玉王直所使用的windows电脑中,使用的系统版本Build号为?【标准格式:1234】玉王直所使用的windows电脑中,系统安装时间为?【标准格式:2025年1月1日】_______________进去个鬼——————————————玉王直所使用的windows电脑中,曾经挂过U盘的盘符为?玉王直所使用的windows电脑中,玉王直实际登录次数为?——————————卡了20多分钟进去了————————这里比赛的时候居然写成6.27了。我这里用ftk是没挂起来的、比赛的时候以为要一个一个的打。
Passware Kit和AOPR哪个更厉害?
weixin_33716941的博客
05-17 655
2019独角兽企业重金招聘Python工程师标准>>> ...
2025平航WP(除流量分析)
最新发布
qq_51471650的博客
04-22 1186
2025年4月,杭州滨江警方接到辖区内市民刘晓倩(简称:倩倩)报案称:其个人电子设备疑似遭人监控。经初步调查,警方发现倩倩的手机存在可疑后台活动,手机可能存在被木马控制情况;对倩倩计算机进行流量监控,捕获可疑流量包。遂启动电子数据取证程序。 警方通过对倩倩手机和恶意流量包的分析,锁定一名化名“起早王”的本地男子。经搜查其住所,警方查扣一台个人电脑和服务器。技术分析显示,该服务器中存有与倩倩设备内同源的特制远控木马,可实时窃取手机摄像头、手机通信记录等相关敏感文件。进一步对服务器溯源,发现“起早王”曾渗
2023某省电子取证比武题目复盘WP,最全最详细
ren_fkai的博客
03-03 2355
2023某省电子取证比武题目复盘WP,最全最详细
【精选】墨者学院—数据分析取证 (全通关WP+超详细解析)
人若无名,便可专心练剑
01-02 1543
保护数据,捍卫安全,展现技能,赢得荣耀!全国职业技能大赛-信息安全与评估大赛,挑战你的技术,揭示黑客的秘密!加入我们,成为信息安全的守护者!
Passware Kit 中文版资源下载
gitblog_09701的博客
10-19 1404
Passware Kit 中文版资源下载 【下载地址】PasswareKit中文版资源下载 本仓库提供了一个名为“Passware Kit 中文版”的资源文件下载。该软件是一款功能强大的密码恢复工具,专门用于解密各种加密文件,包括Excel文档中的密码保护、宏密码等 ...
2024第二届龙信WP思路——服务器取证
wyp106343873的博客
10-22 1932
如果在启动容器时通过 -e​ 传递了其他自定义的环境变量,它们也会出现在 env​ 的输出中。例如,AWS 相关的环境变量、API 密钥等。​​。
2022第六届蓝帽半决赛服务器取证部分wp
dazaogege的博客
10-11 1807
2022第六届蓝帽半决赛服务器取证部分wp
Passware Kit Forensic使用笔记
知远同学的博客
05-10 8335
重点说明的地方是,在模式里面,可以写上自己知道的部分,不知道的部分用?或者*代替,就可以了。根据规则可以获取到密码的大部分,只是中间四位数字需要破解。问题:如何使用passware kit 破解?末尾两位:片区简写“
Linux服务器取证研究,linux系统取证
weixin_29748637的博客
05-06 1031
1、查看系统信息[root@server02~]#uname-a#查看内核Linuxserver023.10.0-957.el7.x86_64#1SMPThuNov823:39:32UTC2018x86_64x86_64x86_64GNU/Linux[root@server02~]#cat/etc/redhat-release#查看操作...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值