精武杯-流量手机介质

介质

1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是

admin

2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是

S3JKNX0JA05097Y

3. 请综合分析计算机和手机检材，谢弘的房间号是()室

201

在文档中存在一个加密容器storage和三个压缩文件，全部导出

利用弘连的特征分析功能，发现顺丰1k其实是一个execl表格，修改文件的后缀名即可

 利用linux内核命令file也可查看出文件类型，发现是一个excel文件

修改文件后缀，打开文件，搜索谢弘，发现人物信息

4. 请综合分析计算机和手机检材，曹锦芳的手机号后四位是

0683

依次打开剩余的三个文件，发现第二个文件加密，3和4都可以正常打开

考虑压缩包的伪加密，利用010修改字段值，把504B0102后面的字段09 00修改为00 00即可

成功打开，拿到所有的快递文件信息

在第二个xlsx中找到曹锦芳的信息

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按姓名+电话+地址去重后共有多少条？

4997

这几题不太会，学习一下数据处理的方法方式

首先需要将excel表格中的数据导入数据库中，本地开启一个数据库服务，新建一个数据库和一个表格

将四个文件中的数据导入

需要给新建的表格增加字段名与xlsx文件中的相互对应

导入之后，使用select的distinct去重，结果是4997

6. 请综合分析计算机和手机检材，统计检材内共有几份购票平台相关的公民信息文档

3

之前发现一个truecrypt加密的文件，先挂载起来

密码在便签里，但有两个密码，这里比赛的时候看了一眼就过去了，没多想，事实证明后面的题目跟这里有很大的关系

 挂载之后发现是12306购票平台的脱库文件

这里着实没有想到，要用数据恢复工具恢复删除的文件

先扫描加密容器挂载的分区，发现12306裤子2.txt

使用第二个密码123456加载容器，发现12306裤子3.txt

一个加密的容器文件可以存在两种密码，一个是外部密码，一个是内部密码，分别对应常规的和隐藏的容器，需要分别验证。

7. 请综合分析计算机和手机检材，樊海锋登记的邮箱账号是

727875584@pp.com

一号裤子里

8. 请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少条身份证号为上海的公民信息？

109

利用cat命令合并三个txt文件，也可以使用py脚本以及在线工具

对res文件进行进一步处理，首先编辑字段名，相邻字段名之间使用空格

再将原本文件中的----替换为空格，使用notepad++的替换功能。

导入数据库

注意字段分隔符的选定要与源文件相符

9. 请分析手机检材，2022年11月7日，嫌疑人发送了几条短信？

3

10. 请分析手机检材，其中保存了多少条公民住房信息？

12

在手机的图片里，注意去重

流量

流量真得好好学学，比武的时候完全没有思路，同校的师兄半个小时就秒了，呜呜!

1. 请分析流量分析.pcapng文件，并回答入侵者的IP地址是？

192.168.85.130

过滤http请求，发现都是85.130的ip在请求

2. 请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？(答案格式：1.1.1)

5.2.1

wp开头的目录，确定是wordpress框架，版本就是ver参数的5.2.1

3. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是？(答案格式：1.1.1)

5.5.53

先过滤MySQL服务

 追踪流，发现外部ip不允许外连，可以确定黑客通过phpmyadmin页面进入，前面也确实发现不少url中包含phpmyadmin字符

过滤，追踪流，并且搜索version，找到答案

4. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

admin@12345

过滤，发现黑客在对phpmyadmin首页进行爆破

查找最后几条post请求

5. 请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

06b8dcf11e2f7adf7ea2999d235b8d84.php

黑客既然已经爆破出了数据库root用户的密码，肯定会以MySQL服务为突破口进行1getshell以至于拿到更高的权限

追踪http流，发现痕迹

在phpmyadmin的import页面进行了数据库的配置更改。

将数据库的日志文件general_log_file的目录更改到了网站的根目录

写入该文件的php语句都会被系统解析

这是常用的渗透getshell的手法

6. 请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

10

上题看到设置了general_log的文件地址到网站根目录，接下来肯定是要在SQL语句中执行恶意语句来RCE

查看禁用的函数一般可以通过phpinfo信息中的disable_functions

筛选出包含phpinfo的流量

导出日志文件，它记录了mysql的日志，可以在里面搜索到禁用函数的信息

在这个文件中还发现了MySQL服务的版本，与之前的保持一致

PHP禁用函数一般存放在phpinfo.php的disable_function中

一共有10个

7. 请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

dir

前面的题目看着还熟悉，这题是完全没有思路，看看大佬的解题思路

需要寻找提权的标志，Windows系统提权后会出现C:\Windows\system32>，直接搜索，注意转义的设置

这里没有用到http服务，一般提权在tcp流量中

8. 请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

2019/6/13 18:50:33

更改编码方式，显示中文

9. 请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

3f76818f507fe7e66422bd0703c64c88

10. 请分析流量分析.pcapng文件，并回答图片文件中的flag是？(答案格式：abcdef123456789)

d31c1d06331a9534bf41ab93afca8d31

最后一题像misc

请求了png图片，将返回的图片保存下来

将原始数据保存下来，删除8950之前的数据

成功打开

但是要找flag

继续分析，发现图片的后面是一个zip压缩包

但是发现压缩包损坏，winrar无法修复

但是观察010editor，发现txt文件中的内容已经显示

总结

此次比武总的来说应该是比较简单的了，但自己还是有很多不足，介质部分对大批量的数据不会处理

之前确实遇到SQL查询的题目没怎么关注

流量部分虽说需要渗透web的一定基础，自己也在渗透的起步阶段，但流量取证掌握一定的方法方式，并且具有渗透人的思维

很多题目还是比较简单的

比较只要利用神器wireshark就可以解决百分之九十的问题了！

参考文章

https://mp.weixin.qq.com/s/VrgSww3PqZ1y56LmVkgpkg(湘警大佬wp)

https://www.wbolt.com/how-to-check-and-remove-wordpress-version.html(wordpress版本查看)

https://www.cnblogs.com/security4399/p/3174640.html(phpmyadmin的import页面getshell)