2024精武杯复现：计算机和手机取证，流量分析

第一部分：计算机和手机取证

1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是

用火眼分析后在登录信息查找最后登录的人，用户名是admin

 2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是

在usb最近使用情况可以看到最近一次的使用，设备串号就是序列号，是S3JKNX0JA05097Y

 3. 请综合分析计算机和手机检材，谢弘的房间号是（）室

找谢宏的信息，可以在文件里面找找，最终找到顺丰1k.zip文件，预览可以看到里面是一些人员的信息，可以导出后xlsx文件查看

 可以看到谢弘的地址信息

 所以房间号是201室

4. 请综合分析计算机和手机检材，曹锦芳的手机号后四位是

在1k.zip里面没有她的信息，看一下2k.zip里面有没有,但是涉及到伪加密，只有用7z才能够打开，其他都需要密码。

所以手机号后四位是0683

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按姓名+电话+地址去重后共有多少条？

把四个压缩包都打开，把重复信息删掉只剩一条，最后有4997条

 6. 请综合分析计算机和手机检材，统计检材内共有几份购票平台相关的公民信息文档

在刚刚的zip文件相同的目录还有一个vc容器，挂载看看，密码在便签里

 5thGoldenEyesCup是挂载密码。

 用rstudio数据恢复软件运行一下，看看有没有被删掉的文件

 有2.txt,和一个可挂载 的文件，密码是123456，挂载后又3.txt

 所以有3份相关信息。

7. 请综合分析计算机和手机检材，樊海锋登记的邮箱账号是

通过在1.txt查找可以看到樊海锋的信息

邮箱账号是：727875584@pp.com

8. 请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少条身份证号为上海的公民信息？

把三个txt文件的内容全部放在一起

将所有----都替换成空格

在把修改后的txt文件导入数据库，用SQL语句查询身份证号为上海的公民信息有多少条

 

所以有109条

9. 请分析手机检材，2022年11月7日，嫌疑人发送了几条短信？

 三条

10. 请分析手机检材，其中保存了多少条公民住房信息？

在图片里面，有12条信息

检材1完毕

第三部分：流量分析

1. 请分析流量分析.pcapng文件，并回答入侵者的IP地址是

从1开始的tcp追踪流可以看到对192.168.85.250进行了get请求，所以192.168.85.250就是被攻击方，入侵者的ip地址就是：192.168.85.130

2. 请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？(答案格式：1.1.1)

在刚刚的tcp追踪流中搜索ver就可以看到版本号，版本号为：5.2.1

ver是version，版本号的缩写

3. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是？(答案格式：1.1.1)

筛选http协议且包含phpmyadmin和version关键词的流量

http && http contains "phpmyadmin" && http contains "version"

 追踪HTTP流，搜索ver

MySQL版本号是：5.5.53

4. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

筛选关键字是phpadmin，且post传参的HTTP

http contains "phpmyadmin" && http.request.method=="POST"

可以看到在对用户名和密码进行爆破

爆破成功后的登录成功后是index.php网页，可以去打开自己的phpmyadmin看

可以看到密码是admin@12345

5. 请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

继续查看后面的HTTP数据流

可以看到SQL语句：

?sql_query=SET+GLOBAL+general_log_file%3D%27C%3A%5C%5CphpStudy%5C%5CPHPTutorial%5C%5Cwww%5C%5C06b8dcf11e2f7adf7ea2999d235b8d84.php%27

所以文件就是：06b8dcf11e2f7adf7ea2999d235b8d84.php

6. 请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

查看禁用的函数一般可以通过phpinfo信息中的disable_functions

筛选出含disable_functions的流量

http contains "disable_functions"

追踪HTTP数据流，搜索disable_functions

system, passthru, exec, shell_exec, popen, escapeshellarg, escapeshellcmd, proc_close, proc_open, 

共有10个函数

7. 请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

Windows中提权成功后的命令行开头应该是C:\Windows\system32>

所以搜索C:\Windows\system32>

tcp contains "C:\\Windows\\system32>"

对第一条进行TCP追踪

可以看到命令是dir

8. 请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

 开机时间是：2019/6/13, 18:50:33

9. 请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

在追踪流1366可以看到对flag文件进行了操作

flag：3f76818f507fe7e66422bd0703c64c88

10. 请分析流量分析.pcapng文件，并回答图片文件中的flag是？(答案格式：abcdef123456789)

 在流1371可以看见png文件，里面的txt内容就是答案：

d31c1d06331a9534bf41ab93afca8d31