2023TJ智网杯电子数据取证比武个人赛WP
标题
第一部分 介质分析
1.请计算检材2023TJbw-PC.E01对应的原始磁盘的SHA256值(不区分大小写)
FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D
AIM以只读的方式挂载E01镜像,物理磁盘驱动号是5(PhysicalDriver5)
X-ways打开磁盘,以物理方式打开驱动号是5的磁盘,计算sha256哈希值
2.检材2023TJbw-PC.E01的计算机中,最常登录的账户是
L
通过X-ways在\Windows\System32\winevt\Logs\路径下导出安全日志Security.evtx
下载安装Log Parser,
Log Parser下载地址:<https://www.microsoft.com/en-us/download/details.aspx?id=24659>
在LogParser2.2.10根目录执行cmd命令,打开终端
Microsoft Windows [版本 10.0.22621.3007]
(c) Microsoft Corporation。保留所有权利。
D:\\ProgramFiles\\内存日志注册表\\LogParser2.2.10\>LogParser.exe -i:EVT -o:DATAGRID "SELECT \* FROM C:\\Users\\renfe\\Desktop\\fupan\\Security.evtx where EventID=4624"
执行以上命令,按回车
全部选中后,点击复制
新建Excel表格,复制到sheet1
单独选中strings列,复制到sheet2第二列
按|符号进行分列
将用户名列复制到sheet3
进行去重后,剩下9个账号,
复制到sheet4,使用countifs进行技术,注意:计数时需要连接到sheet2
计数完毕后,进行排序,
其实,除了L用户,其他的都是系统账户
1、SYSTEM:SYSTEM 用户是Windows操作系统中的一个特殊用户账户。它具有最高级别的权限,并且可以执行许多系统级别的任务。当某些服务、进程或任务需要以管理员权限运行时,它们通常会使用 SYSTEM 用户身份来执行。例如,系统服务、驱动程序、计划任务等都可以在 SYSTEM 用户下运行。
2、DWM-1:DWM-1 是与桌面窗口管理器 (Desktop Window Manager) 相关的用户账户。桌面窗口管理器是Windows操作系统中负责渲染和管理桌面视觉效果的组件。DWM-1 用户通常与桌面窗口管理器的工作相关联,但具体任务可能因不同的操作系统版本和配置而有所差异。
3、UMFD-0 和 UMFD-1:UMFD-0 和 UMFD-1 是与用户模式驱动程序框架(User-Mode Driver Framework)相关的账户。这些账户用于支持用户模式驱动程序的加载和执行。
4、NETWORK SERVICE:NETWORK SERVICE 是一个内置账户,用于在网络服务上运行。它是一个低权限账户,通常用于运行服务,以提供网络访问和连接功能。
5、LOCAL SERVICE:LOCAL SERVICE 是一个内置账户,用于在本地服务上运行。它也是一个低权限账户,通常用于运行本地服务,以提供一些本地系统级别的功能。
6、MSSQLSERVER:MSSQLSERVER 是 Microsoft SQL Server 数据库引擎的默认服务账户。它是一个特定于 SQL Server 的账户,用于在数据库引擎中执行各种任务和操作。
7、SQLTELEMETRY:SQLTELEMETRY 是与 SQL Server 相关的遥测服务账户。它用于收集和发送 SQL Server 的遥测数据,帮助改进产品性能和用户体验。
以上账户信息作为了解,本题正确答案是L
3.请根据笔录交代,分析计算机检材,桌面图片中包含的违法网站的域名为?(答案格式:www.baidu.com)
www.HLHL.com
仿真之后
在桌面的文件夹内
4.请计算嫌疑人计算机中名为“测试模拟器.ldbk”的文件的SHA256值
328BD77EC112AB22AD1233852FD6C1DD4E049FA8D14BC4B358F5DC42BA146BCC
C盘根目录下有个测试环境虚拟磁盘,右键选择打开
转换成磁盘之后,打开其中的手机app测试文件夹
导出测试模拟器.ldbk文件,计算哈希值
C:\\Users\\renfe\>certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\测试模拟器.ldbk sha256
SHA256 的 C:\\Users\\renfe\\Desktop\\fupan\\测试模拟器.ldbk 哈希:
053950850ec6200c1a06a84b6374bd62242064780f7f680ca23932ee53dc0110
CertUtil: -hashfile 命令成功完成。
注意一定要导出后计算哈希值,直接打开计算不准确
5.请根据笔录交代,分析计算机检材,钱包对应的密钥计算过程中,调用了以下哪种算法?(多选)
A. AES B.DES C.BASE58 D.BASE64 E.HKDF
在虚拟磁盘的\手机app测试\server\目录下有个KeyPoolGenerator文件夹,疑似题干提到的密钥计算过程
导出后用idea查看
由此可见是Base58
因为是多选,在选个base64吧
6.检材2023TJbw-PC.E01的计算机中,数据库连接工具所连接的数据库的用户名为?
sa
7.请分析2023TJbw-PC.E01检材,并回答,嫌疑人计算机中使用了哪种远程工具?
A.ToDesk B.Xshell C.向日葵 D.网探 E.RayLink
8.请分析2023TJbw-PC.E01检材,嫌疑人于2023年8月22日进行远程控制时,被控端的公网IP为
116.192.174.254
首先通过SYSTEM注册表查看本机原始的IP地址,在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces下为172.19.0.128
运行桌面上的向日葵软件,打开日志,弹出C:\Program Files\Oray\SunLogin\SunloginClient\log路径文件夹,但是经过查看,这里并没有我们想要的日志
在用户文件目录下C:\Users\L\AppData\Roaming\Oray\SunloginClient\log路径内,找到相关日志
打开8月22日的日志
116.192.174.254
9.请分析2023TJbw-PC.E01检材,嫌疑人于2023年8月22日进行远程控制时,被控端的内网IP为
172.19.0.129
接着往下看8月22日日志
10.请分析2023TJbw-server.E01,嫌疑人于2023年8月22日进行远程控制时,被控端通过连接远程工具的中转服务器实现的P2P连接,该中转服务器的IP为
58.215.100.83
X-ways加载检材2023TJbw-server.E01,定位到目录\Program Files\Oray\SunLogin\SunloginClient\log\,查看8月22日的日志文件,搜索p2p server 发现中转服务器的IP为58.215.100.83
需要注意的是,
1这个题答案需要在第二个检材里面才能找到
2向日葵日志存在的两个目录C:\Program Files\Oray\SunLogin\SunloginClient\log
C:\Users\L\AppData\Roaming\Oray\SunloginClient\log
第二部分 APK分析
11.请计算APK勒索样本程序的SHA256值?(不区分大小写)
99c8af2df71e80a30f9fe33e73706fb11fde024517d228d606326bba14466988
通过笔录可以看出,本地测试模拟器里面安装有勒索程序
通过X-ways导出”测试模拟器.ldbk”文件,使用雷电多开器新建模拟器,导入”测试模拟器.ldbk”,启动模拟器
启动后发现勒索程序的名称Shizuku
然后切换到X-ways,测试环境目录下,右键打开”测试模拟器.ldbk”
导出其中的data.vmdk文件
使用X-ways打开导出的data.vmdk文件,通过递归浏览过滤文件名Shizuku,在\app\moe.shizuku.privileged.api-1\目录下找到了涉案apk文件,导出该base.apk
用certutil计算哈希值
C:\\Users\\renfe\\Desktop\\fupan\\tjzw个人赛\>certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\tjzw个人赛\\base.apk sha256
SHA256 的 C:\\Users\\renfe\\Desktop\\fupan\\tjzw个人赛\\base.apk 哈希:
99c8af2df71e80a30f9fe33e73706fb11fde024517d228d606326bba14466988
CertUtil: -hashfile 命令成功完成。
12.APK程序在勒索的时候会向服务器申请钱包地址,请问申请后台IP地址为?
116.192.174.254
使用jadx打开apk文件,直接可以看到源代码,说明没有加壳
查看AndroidManifest.xml文件,找到程序入口moe.shizuku.manager.MainActivity
单击函数r 进一步跳转
对base64编码的字符转进行转码
http://116.192.174.254:64929/hlock/key
本题通过动态抓包一直没有抓取到,无论是wireshark,fiddler还是雷电
13.该APK程序应用名称为?
moe.shizuku.privileged.api
14.该APK程序应用版本为?
13.5.1.r8.ab60ac2
15.APK程序在嫌疑人测试环境中,申请到的钱包地址为?
G7BWj89myshDFUHLdT23KFijyRqw5D9kdw
16.嫌疑人模拟器中,有测试文件被加密,该文件被加密后文件名为?
iamanswer.txt.hlock
17.APK程序勒索过程中,对于勒索文件使用的加密算法为?
AES
A.AES B.DES C.BASE58 D.BASE64 E.HKDF
18.请综合分析检材,嫌疑人模拟器环境中,申请的钱包地址对应的加密密钥为?
KkVuCbGMYTnuSAzHEQhFeR
查看导出的加密源代码,发现密钥数据库名称为key.pool
X-ways全局搜索过滤key.pool,找到该文件,打开该文件,检索钱包地址G7BWj89myshDFUHLdT23KFijyRqw5D9kdw。
找到解密密钥
KkVuCbGMYTnuSAzHEQhFeR
19.嫌疑人模拟器中,有测试文件被加密,被加密文件的文件内容为?
67897GHU628HLGF167
启动模拟器内勒索应用程序,输入密钥,再次打开文件,查看内容
20.请综合分析检材,嫌疑人的密钥库文件的sha256值为?(不区分大小写)
add782fa83c459b2937e968412c657453dcd54e3fe2776aaa9c51e6c152cfb26
C:\\Users\\renfe\\Desktop\\fupan\\www\\wwwroot\\http\>certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\www\\wwwroot\\http\\key.pool sha256
SHA256 的 C:\\Users\\renfe\\Desktop\\fupan\\www\\wwwroot\\http\\key.pool 哈希:
add782fa83c459b2937e968412c657453dcd54e3fe2776aaa9c51e6c152cfb26
CertUtil: -hashfile 命令成功完成。
第三部分 数据库分析
21.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,其sha256值是
513BE9AD6B80376B13467FB4F118A1D372F97C610CDDE2C434C53CB9982A4D3E
对检材2023TJbw-server.E01的分区3进行递归浏览,过滤sql文件类型,赚钱工具目录下的fic.sql文件
导出该文件
记住不要再原始镜像中计算该文件的哈希值,因为算的不准,如下,
下图是导出前算的md5值5B92B0D36D65B1E9116AD7EFDFB5A299
下图是导出到桌面后的md5哈希值1AEFAB245A944B15155BDAD3997089A5
由此可见哈希值是不一样的
所以要先导出fic.sql,然后用X-ways打开,算sha256
513BE9AD6B80376B13467FB4F118A1D372F97C610CDDE2C434C53CB9982A4D3E
22.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,是使用哪种数据库管理工具生成的
navicat
X-ways直接打开fic.sql文件,显示navicat
23.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,其源数据库名称是
fic
24.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,备份的数据库中包含几个表单(答案为阿拉伯数字,如:1)
47
X-ways中右键fic.sql,选择打开方式VS Code,搜索CREATE TABLE,共检索到47个,所以共47个表单
也可以把sql文件导入本地数据库后,用navicat连接后查看
25.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,wy_user表中,“password”字段的数据类型是(答案填写数据类型,如:int)
varchar
通过设计表界面可以查看
26.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,wy_info表中是否存在自增字段
是否
通过设计表界面可以查看
27.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,数据库"wy_user"表中总共有多少行数据?(答案填写阿拉伯数字,如1)
65988
选中数据表,通过右侧详情栏可以查看,
注意右下角的1000条只是第一页的,并不是全部的
28.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,用户最早的注册日期是什么?A.2019-12-30 19:21:19
B.2019-12-30 19:22:19
C.2019-12-30 19:23:19
D.2019-12-30 19:24:19
通过设计表视图推断,regtime字段是注册事件字段
Regtime按照升序排列
转换时间戳
29.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,用户数据中的最深层级的用户名为?[组织架构中最大层数](标准格式:中文名)
782 胡艳红
UserName pid
使用mysql8.0增加的新功能,递归公共表达式(CTE),
代码如下
WITH RECURSIVE user_hierarchy AS (
\-- 初始化顶层用户
SELECT UserName,pid, 1 AS level
FROM wy_user2
WHERE pid is null --根据实际情况,看顶级用户的pid是null还是0
UNION ALL
\-- 通过递归构建下一层用户
SELECT w.UserName,w.pid, uh.level + 1 AS level
FROM wy_user2 w
JOIN user_hierarchy uh ON w.pid = uh.UserName
)
SELECT UserName,pid,level
FROM user_hierarchy
ORDER BY level;
注意:递归查询时,要只选中其中两列进行计算,字段太多会影响查询速度
Navicat中执行以上sql语句,可以看到最大层级数位782,其用户UserName为85812158
通过进一步查询,发现其名称为胡艳红
网钜自动计算导出的表格结构如下:
30.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,直接奖励的总金额是多少?(标准格式:100.00)
1142590.00
31.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,间接奖励的总金额是多少?(标准格式:100.00)
2293600.00
32.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,贡献奖的总金额是多少?(标准格式:100.00)
2431042.00
33.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,全球分红奖励的总金额是多少?(标准格式:100.00)
2036114.90
34.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,个人投资的总金额是多少?(标准格式:100.00)
25043200
30到34为送分题,直接用sum语句进行计算可得出
35.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,没有上线也没有下线的用户数量是多少?(答案填写阿拉伯数字,如1)
272
要查询既没有上线(pid为NULL)也没有下线的用户,可以使用以下SQL语句。这个查询通过检查pid列来找出没有上线的用户,然后通过子查询检查每个用户是否有其他用户将其作为pid(即检查该用户是否为任何用户的上线),以此来确定哪些用户没有下线。
SELECT \* FROM wy_user2 u
WHERE u.pid IS NULL
AND NOT EXISTS (
SELECT 1 FROM wy_user2 sub WHERE sub.pid = u.UserName
);
下面是查询的解释:
SELECT * FROM wy_user2 u WHERE u.pid IS NULL:这部分查询选择了所有pid为NULL的记录,即那些没有上线的用户。
AND NOT EXISTS (SELECT 1 FROM wy_user2 sub WHERE sub.pid = u.UserName):这个子查询用于检查是否存在任何pid等于当前用户UserName的记录。如果这样的记录存在,意味着当前用户是某个用户的上线(即该用户有下线)。NOT EXISTS确保我们排除掉那些有下线的用户,只留下那些既没有上线也没有下线的用户。
这个查询有效地返回了既没有上线(pid为NULL)也没有下线(没有其他用户的pid是他们的UserName)的用户列表。在实际应用中,根据你的具体需求,你可能还想选择特定的列而不是使用SELECT *,以便更清晰地展示结果。
272人
36.请分析2023TJbw-server.E01中嫌疑人用于赚钱的sql文件,没有上线但有下线的用户数量有多少?(答案填写阿拉伯数字,如1)
8
要查询没有上线(pid为NULL)但有下线的用户数量,可以使用以下SQL语句。这个查询专注于找出那些作为其他用户上线(即其他用户的pid字段等于这些用户的UserName)的用户,同时确保这些用户自己没有上线(他们的pid字段为NULL)。
SELECT COUNT(\*)
FROM wy_user2 u
WHERE u.pid IS NULL
AND EXISTS ( SELECT 1 FROM wy_user2 sub
WHERE sub.pid = u.UserName );
这里是查询的解释:
WHERE u.pid IS NULL:这个条件过滤出所有没有上线的用户,即他们的pid字段为NULL。
AND EXISTS (SELECT 1 FROM wy_user2 sub WHERE sub.pid = u.UserName):这个子查询检查是否存在至少一个用户把当前用户作为上线(即至少有一个用户的pid字段等于当前用户的UserName)。EXISTS确保只有当至少存在一个这样的下线用户时,外层的查询才会计数这个用户。
结果是没有上线但有下线的用户的总数。这个查询为你提供了符合条件的用户数量,而不是用户列表。如果你需要获取具体的用户信息,可以移除COUNT(*)并适当调整查询以选择特定的用户字段。
第四部分 程序分析
37.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,并计算其md5值?(不区分大小写)
e8b1c00dca13b5ca83bd7c5623a80f07
C:\\Users\\renfe\\Desktop\\fupan\>certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\俄罗斯方块.exe md5
MD5 的 C:\\Users\\renfe\\Desktop\\fupan\\俄罗斯方块.exe 哈希:
e8b1c00dca13b5ca83bd7c5623a80f07
CertUtil: -hashfile 命令成功完成。
38.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,编译此程序的计算机用户名是什么?
MBRE
方法一,使用微软SysinternalsSuite工具包中的strings工具,对字符串进行抽取
D:\ProgramFiles\破解逆向解密隐写\SysinternalsSuite2024_01_09>strings C:\Users\renfe\Desktop\fupan\俄罗斯方块.exe | finds
tr Users
C:\Users\MBRE\Tetris\Release\Tetris.pdb
方法二,用IDA pro逆向
方法三用DIE工具,过滤字符串
39.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,本程序一共创建了几个窗口?(答案填写阿拉伯数字,如1)
3
查看winmain函数,按F5,转为C语言伪代码
由此可见,一共三个窗口
40.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容是什么?
HLFIC2023
在虚拟机中运行俄罗斯方块,当分数达到50分时,自动弹出窗口1
41.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容使用了什么字体?
Microsoft YaHei Light
窗口处理函数WndProc
去跟踪函数sub_4016A0
跳转到如下
双击就可以实现跳转,继续跟踪函数
42.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中显示的字符串第一笔画的长度为多少像素(答案格式只需填写数字)
60
330-270 = 60
43.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,窗口2中解密字符串所使用的密钥为?
hellohello
窗口2就是win3一步一步跟踪
44.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,窗口2中使用了解密算法为?
A.RC4 B.AES C.DES D.SHA256 E.ECC
如上题图,根据代码特征判断
这段代码是RC4加密算法的一个实现。
RC4是一种流加密算法,由罗恩·里维斯特(Ron Rivest)于1987年设计。它以其简单和高速著称,在计算机网络中被广泛使用,尤其是在SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议中,虽然在最新的标准中已经不推荐使用RC4,因为存在安全隐患。
这段代码的工作原理如下:
初始化:首先,通过一个长度为256的数组v13进行初始化。数组的前256个元素用于生成初始排列,后256个元素复制前256个元素的值。这部分对应于RC4算法的初始化和初始排列生成过程。
初始排列:接着,通过一系列交换操作,根据密钥(在这段代码中似乎是通过v14引用的某种方式提供)调整这个数组的顺序。这部分对应于RC4的密钥调度算法(KSA,Key-Scheduling Algorithm)。
生成伪随机输出:最后,在主循环中,通过数组元素的进一步交换和索引计算,生成伪随机输出,并与输入数据进行异或操作以产生加密或解密的输出。这部分对应于RC4的伪随机生成算法(PRGA,Pseudo-Random Generation Algorithm)。
选择项A.RC4是正确答案,因为:
B.AES(高级加密标准)是一种块加密算法,它基于固定大小的数据块进行操作。
C.DES(数据加密标准)也是一种块加密算法,与AES类似,但使用不同的加密机制。
D.SHA256是一种哈希函数,用于生成数据的固定大小摘要,而不是加密或解密数据。
E.ECC(椭圆曲线加密)是一种基于椭圆曲线数学的公钥加密技术,与RC4的工作原理完全不同。
因此,基于这段代码的功能和结构,答案是A.RC4。
45.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,在俄罗斯方块游戏中,在键盘上依次按下哪些键可以进入窗口2?
SSADWWSWAADDSS
跟踪窗口2
按照对应规则对qqfpttqtffppqq字符串进行转换
转换的结果就是SSADWWSWAADDSS
在虚拟机中运行俄罗斯方块,然后输入以上字符,得到答案
46.请分析2023TJbw-server.E01中嫌疑人用于赚钱的exe程序,窗口2植入的广告中,赌博网站的域名为?
http://www.abcd.com
如上题
第五部分 流量分析
47.分析“2023TJbw-数据包.pcapng”,检材中总计有多少个分组
513358
48.分析“2023TJbw-数据包.pcapng”,该检材捕获流量的日期是?(标准格式:20xx-xx-xx)
2023-03-03
如上题图
49.分析“2023TJbw-数据包.pcapng”,检材中有多少个arp协议分组(答案填写阿拉伯数字,如1)
893
50.分析“2023TJbw-数据包.pcapng”,检材中,第一个分组被捕获的时间是
A.16:45:40 B.17:45:40 C.16:45:44 D.16:44:40
51.分析检材“2023TJbw-数据包.pcapng”中所有IPV4地址,数据交换最频繁的两个IP之间有多少个分组?(答案填写阿拉伯数字,如1)
367639
52.分析“2023TJbw-数据包.pcapng”,被攻击的服务器的ip地址为?
192.168.43.129
53.分析“2023TJbw-数据包.pcapng”,服务器中面板的登录URL为?
admin1
过滤条件
ip.src == 192.168.43.128 && ip.dst == 192.168.43.129 && http.request.method == GET
登录的时候肯定有GET请求,
54.分析“2023TJbw-数据包.pcapng”,黑客控制服务器前做过哪些行为?(多选)
A.目录扫描 B.端口扫描 C.弱口令扫描 D.SQL注入
端口扫描的过滤语句如下:
(ip.src == 192.168.43.128 && ip.dst == 192.168.43.129) && (tcp \|\| udp)
&& tcp.dstport !=80 && tcp.dstport != 9080
因为80端口和9080端口的数据分组特别多,所以过滤掉,看的更直观
55.分析“2023TJbw-数据包.pcapng”,宝塔面板中网站目录的完整路径为(答案格式:C:/Windows)
D:/xp.cn/www/wwwroot/admin/www.2023laoban.com_80/wwwroot
搜索字符串/www/wwwroot/ 因为这是宝塔面板的默认安装路径
56.分析“2023TJbw-数据包.pcapng”,连接webshell的密码为?
tsabc
过滤语句,
`http.request.method == POST`
57.分析“2023TJbw-数据包.pcapng”,黑客写入的webshell的文件名为?
tiaoshi.php
如上题图 tiaoshi.php
58.分析“2023TJbw-数据包.pcapng”,导致本次被黑客入侵的主要原因是?
A.文件上传漏洞
B.XSS漏洞
C.弱口令
D.SQL注入漏洞
感觉像是弱口令,但是看下题可知,是XSS
59.分析“2023TJbw-数据包.pcapng”,本次黑客入侵使用的漏洞的名称为?
A.存储型xss漏洞
B.反射型xss漏洞
C.DOM型xss漏洞
D.sql注入漏洞
在XSS攻击中,主要有三种类型:
A. 存储型XSS漏洞(Persistent XSS):恶意脚本被永久存储在目标服务器上(例如,数据库、消息论坛、访客留言等),当其他用户浏览含有恶意脚本的页面时,脚本会被执行。
B. 反射型XSS漏洞(Reflected XSS):恶意脚本不会被存储在服务器上,而是作为请求的一部分发送到服务器,然后由服务器在响应中“反射”回浏览器并执行。这通常涉及到诱使用户点击一个恶意链接。
C. DOM型XSS漏洞(DOM-based XSS):这种类型的XSS攻击是通过在客户端(用户的浏览器)修改DOM环境中的元素来实现的,而不是通过服务器反射或存储恶意脚本。
根据描述,攻击者试图通过表单提交恶意脚本。鉴于我们没有信息显示这段脚本是否会被存储在服务器上供其他用户访问,或者是仅仅通过URL反射回来执行,最直接的结论可能略显模糊。然而,通常情况下,当我们看到通过表单提交的脚本攻击,它可能是为了存储型XSS攻击,因为攻击者期望这段脚本能够被存储并影响更多用户。但这并不排除它可能仅仅是一个反射型XSS攻击的尝试,尤其是在没有更多上下文的情况下。
D. SQL注入漏洞(SQL Injection):这是一种不同类型的攻击,攻击者试图通过在应用程序的输入中注入SQL命令,来对数据库执行未授权的查询或操作。
60.分析“2023TJbw-数据包.pcapng”,本次黑客入侵使用的webshell工具为?
菜刀 冰蝎 哥斯拉 蚁剑
无法确定