2023年首届盘古石杯全国电子数据取证大赛技能赛决赛(流量部分)

最新推荐文章于 2024-06-24 15:25:48 发布
最新推荐文章于 2024-06-24 15:25:48 发布
阅读量418 收藏 2
点赞数
文章标签: 安全 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72667582/article/details/132360095
版权

1、计算流量包文件的SHA256值是?[答案:字母小写][★☆☆☆☆]

image-20230813171047982

2、流量包长度在“640-1279”之间的的数据包总共有多少?[答案:100][★☆☆☆☆]

陇剑杯考点,拿到手先解密

image-20230813171213134

(frame.len >= 640)&&(frame.len <= 1279)

或者

image-20230813214513886

3、黑客使用的计算机操作系统是?[答案:windows7 x32][★★☆☆☆]

做这类题我喜欢先把流量大致过一遍

http and urlencoded-form
http.response.code!=404 and data-text-lines

这样筛一遍,有特征最好,没有特征也问题不大

image-20230813200002998

黑客的ip应该是192.168.100.141

计算机操作系统跟UA相关,随便追踪一个

image-20230813185050093

4、黑客上传文件到哪个网盘?[答案:xx网盘][★★☆☆☆]

image-20230813185133903

明显百度网盘,如果你会用科来的话直接一把梭了

image-20230813190842279

5、黑客上传网盘的中间件是?[答案:xxxx][★★☆☆☆]

了解一点linux加固的知识就知道,响应头里会暴露中间件的信息

image-20230813185246542

6、黑客首次登陆网盘时间是?[答案:2000-01-01 01:00:33][★★☆☆☆]

http contains "pan.baidu.com" && http.request.method=="POST"

image-20230813185627193

7、黑客上传到网盘的txt文件的md5值是?[答案:字母小写][★★★☆☆]

http and urlencoded-form

前面的大致浏览就发挥了作用,看见过传输了什么文件

image-20230813185815430

http contains "dic.txt"

image-20230813190051747

8、黑客上传到网盘的txt文件第8行的内容是?[答案:XXX][★★★☆☆☆]

image-20230813190139086

请求体和请求头之间只空一行,所以是$$

9、被入侵主机的计算机名是?[答案:XXXXXXXXXXX][★★★☆☆]

做到这里我其实不是很了解被入侵主机是哪一台,但是做到后面ftp的时候明了了

10、被入侵电脑的数据回传端口是?[答案:11][★★★☆☆]

见后

11、流量包中ftp服务器的用户密码是?[答案:abcd][★★☆☆☆]

image-20230813215329453

算登录成功那次,是ftp

12、流量包中ftp服务器中的木马文件的md5值是?[答案:字母小写][★★☆☆☆]

image-20230813215512930

木马是setup.exe,追踪一下

image-20230813215631311

PE文件的特征

image-20230813215720124

保存完直接给我杀了…

image-20230813215843283

(难崩)

image-20230813215928393

13、木马文件伪造的软件版本是?[答案:0.0.0.0][★★☆☆☆]

image-20230813215943355

这时候我们再梳理一下关系

黑客192.168.100.141通过ftp服务给192.168.100.139传了一个马,要判断主机名,我们可以对192.168.100.139进行一个爆搜

image-20230813221526307

DHCP完整过程详解及Wireshark抓包分析 - Wendy_r - 博客园 (cnblogs.com)

扔给沙箱,可以发现回连端口

image-20230813221339783

14、黑客上传到网盘的压缩包解压密码是?[答案:XXXXXXXXXXX][★★★★★]

http and urlencoded-form

发现有三个文件上传

dic.txt pass.jpg flag.rar

逐一导出,我选择手搓

image-20230813224643363

痛苦

一开始我以为是爆破,但是没找到,考虑隐写

image-20230813230132086

JPG/JPEG:SilentEye, steghide, outguess, jphide, F5-steganography, JSteg, Free File Camouflage, DeEgger Embedder, OurSecret

image-20230813230806497

image-20230813230900681

image-20230813230934127

15、黑客上传到网盘的压缩包内文件的内容是?[答案:xxxxxxx][★★★★★]

image-20230813230957462

b3nguang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
23盘古石杯决赛的二进制文件分析
11-06
23盘古石杯决赛的二进制文件分析
2023首届盘古石杯决赛复盘
wuwuliuliu0524的博客
07-04 4751
狂神无双下面的都是网址,只有这条是com.zhjhsy.ksws04.ucbiao在技术人员的雷电手机模拟器中找到了这个包名叫狂神无双。
2023 首届盘古石杯全国电子数据取证大赛 技能决赛 服务器题解析
yagami的博客
05-29 3294
希望对大家有帮助 ^_^
首届)第一届奇安信盘古石杯决赛WP(全题解析,少一道你打我)
最新发布
qq_43491969的博客
06-24 844
可以获取到包名,然后这台电脑装了雷电模拟器的,又在刚才流量包旁边发现了雷电模拟器的备份文件,尝试用雷电多开器进行导入后打开,发现里面有多个软件,直接上文件管理器中查看/data/app中的相关包名,打开可以看见apk包。然后看了一下,发现还有虚拟机,估计在虚拟机中,虚拟机有4个,大概率在web里面,毕竟前面一直都做的web。算了,重置吧,进单用户进行重置。在流量中,可以看到大量传入setup.exe的流量包,该软件应为木马程序,在木马传输完毕后,139主机主动连接黑客电脑8000端口,该端口应为回传端口。
服务器部分 2023盘古石杯全国电子数据取证大赛 技能晋级
Grignard_的博客
05-10 4456
服务器部分 2023盘古石杯全国电子数据取证大赛 技能晋级
2023首届盘古石杯全国电子数据取证大赛技能决赛(服务器部分)
weixin_72667582的博客
08-13 439
虚拟机–WEB–开启–VNC–进入单用户模式–关闭SELinux–重启–进入单用户模式–修改root密码–vi /etc/passwd 修改root shell为/bin/bash–进入系统。他这里有中英文对照,所以要用英文再找一遍,如果你熟悉Thinkphp架构的话也可以直接找登录逻辑。/www一看没有,应该是要挂载上去的,结合前面题目的共享服务。只有sdb1是有数据的,所以这里我挂sdb1到/www下。老套路,看日志,找后台,绕密,顺便把navicat也连上。尝试开启虚拟机,失败,没有虚拟化。
【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级write up 2023奇安信取证 高清截图
weixin_42744595的博客
05-08 1万+
2023盘古石杯 技术交流wechat N34939 更多网络安全CTF题目,欢迎来**polarctf.com**来刷题 链接:https://pan.baidu.com/s/1bcEDEeh3A1RnHAhjmmZOZQ?pwd=vdy6 提取码:vdy6 加密容器为veracrypt容器,容器解密密码为
盘古石杯全国电子数据取证大赛----WP
m0_75178803的博客
06-05 2159
计算机取证题目来源:“盘古石杯全国电子数据取证大赛——电子数据取证技能计算机取证
2023首届盘古石杯全国电子数据取证大赛决赛题目检材与部分write up
weixin_42744595的博客
06-12 3641
2023首届盘古石杯决赛write up技术交流wechat N34939 高清图。流量分析部分精品write up可以参考。更多网络安全CTF题目,欢迎来。题目来源盘古石杯事公众号。
首届盘古石杯全国电子数据取证大赛 技能晋级 2023奇安信取证题目
weixin_42744595的博客
05-07 4785
(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)(答案格式:2000-01-01 01:00:09)(★★☆☆☆)6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)(★★★☆☆)1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)(★☆☆☆☆)7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)(★★★★☆)
首届盘古石杯全国电子数据取证大赛决赛 流量分析 writeup
qq_43717836的博客
06-12 1363
首届盘古石杯全国电子数据取证大赛决赛的题量还挺大的,由于还有工作,就慢些做吧。
2023盘古石杯全方向全题目完整详细WP
toto的博客
05-14 1万+
2023盘古石杯全方向全题目完整详细wp
盘古石杯复现
wwwwyyyrre的博客
05-11 702
20234月,公安机关接到受害人张娟报案称自己在“USDTRE”虚拟币投资理财平台被骗。据公安机关了解,受害人张娟在抖音平台推送的。
2023盘古石杯决赛解析之移动智能终端取证
weixin_48492927的博客
06-28 397
全详细的解题步骤,决赛题会陆续放出,历真题练习。要镜像题目的私信哦。
盘古石杯电子取证WP
wild_smart_cuber的博客
05-14 5767
盘古石杯电子取证WP
HttpPost 两种消息体形式 --UrlEncodedFormEntity 和 StringEntity
lisheng19870305的专栏
12-07 6593
一、UrlEncodedFormEntity 代码示例: //设置请求方式与参数 URI uri = new URI(uriStr); HttpPost httpPost = new HttpPost(uri); httpPost.getParams().setParameter("http.socket.timeout", new Integer(500000)); httpPost.setHeader("Content-type", "text/plain; charset=UTF-8"); ht
[完整]首届盘古石杯电子数据取证大赛晋级Writeup
热门推荐
啥都弄
05-11 1万+
通过Potato得到com.pim.imm,搜索得到数据库文件夹坚果pro3/data/data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db之后分析表得知,该表为聊天记录,使用gpt写脚本,进行base64解码原理如下:打开文件,对文件中的第三列除去第一行的其他内容进行base64解码,并生成新文件a.xls。
盘古石杯电子取证决赛复盘WP
wild_smart_cuber的博客
06-02 3668
最速传说盘古决赛WP
2024盘古石杯服务器取证wp
qq_51233573的博客
05-12 1796
由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下 再通过上传接口将一句话木马上传。根据修改时间判断也是后续上传上去的文件 继续向前回溯 18时51分48秒的时候通过sql注入将tmpugklv.php 写道网站当中。再将sql文件导入数据分析工具当中 查看userlog表 结合受害人的聊天记录可以判断受害人第一次成功登录网站的时间为。根据导出的数据库备份文件可以看出 数据库表的前缀 think_
2023盘古石杯晋级
06-13
抱歉,由于我的知识更新截止日期是2023之前,我无法提供关于2023盘古石杯晋级的具体信息。盘古石杯通常是一项电竞比,可能涉及到电子竞技领域的某个游戏,比如Dota 2、王者荣耀或英雄联盟等。这类比的时间线、规则和晋级情况会随着事组织者的安排和实时信息变动。 如果你想了解盘古石杯的最新动态,建议访问相关的官方网站、事论坛,或者关注事官方社交媒体账号以获取最准确的信息。如果你对电竞事的一般概念或者历届比有疑问,我可以帮你解答。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值