- 博客(28)
- 收藏
- 关注
RSS订阅原创 第二届“盘古石杯”全国电子数据取证大赛(全)
回收站里有一个密码一个账本,密码.doc是假的输错两次后会提示梭哈,尝试了各种隐写之后发现。。。真正的密码在毛雪柳的手机的图片里共有5个sheet还有一种手工方法工具下载地址:https://github.com/passer-W/FinalShell-Decoderbitlocker解开后重新跑一次取证别的忽略,,,我们校园网的包见上交易hash:4630a72ad8e7339e553cdba67a1dc7d33716a1db0cf7b44ec281ae08ac6249f8。
2024-05-12 00:09:45
1089
原创 clickhouse(配合bytebase)_docker搭建文档
但需要指出,Clickhouse高效性能的背后,肯定伴随着计算机资源的大量消耗。Clickhouse对内存和CPU的占用率都非常高,一个很普通的查询都可能需要消耗非常多的资源。因此,Clickhouse的查询频率也不宜太高,过于频繁的连续或者并发查询甚至很容易导致服务直接崩溃。数据吞吐量非常大,能够存储海量的数据,并能够以水平扩展的方式进行扩容。对大表的查询计算处理效率也非常高,甚至很多场景下都可以拥有数百列的数据规模,很多大规模的数据查询也都能轻松达到毫秒级别。我选择用docker起。
2024-03-14 20:48:49
406
1
原创 CQBW(服务器部分)
这时进行数据更新,将‘0000-00-00’ 替换为正常的日期字符串,在使用ALTER 命令修改表字段,这时表中的字段会自动转为日期类型,字段中不能有非法字符,也可以在VarChar类型时将字段设为NULL再将字段改回日期类型。就可以查到当前系统的SQL_mode配置,发现配置里有NO_ZERO_DATE,NO_ZERO_IN_DATE,这时我们使用以下命令,临时设置SQLmode模式,它只对本次会话有效,如果系统刷新后就需要我们重新设置。2 在没有系统权限,我们有本地库权限情况下如何处理,我们可以使用。
2024-03-08 15:44:55
995
3
原创 “獬豸杯”电子数据取证大赛
这里要解密bitlocker,因为没有内存文件,所以我判断应该是检材联动,或者在PC的原始数据里面很多同学可能被这个迷惑了,拿这个作掩码去爆破,概念混淆了这其实是恢复密钥标识,看长度就知道了,dg是可以看的真正的恢复密钥格式是######-######-######-######-######-######-######-######这么长长一串的然后看检材联动,在备忘录里发现密码解密之后仿真做解压zip需要密码掩码爆破,验一下哈希掩码:?d?d?d?d?d?d?d?d555。
2024-01-28 23:12:43
798
2
原创 第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛
常见的诈骗话术2023万达广场(南沙店)小西米语音app下载团队赛第四,做到最后手冷到打不了字QAQ,警大的同学好热情~Galaxy#b3nguang 写于2023/12/20。
2023-12-20 19:30:44
1357
6
原创 Nmap流量分析
当发包到关闭的UDP端口时,目标服务器会使用ICMP包进行响应,其中包含端口无法访问的信息,标记为closed。TCP是完整的三次握手,SYN扫描是从目标服务器收到SYN/ACK后发回RST包,防止服务器重复尝试发出请求。Xmas扫描时发送TCP请求时带上错误的PSH,URG,FIN标志,如果端口关闭,目标服务器响应RST。如果nmap发送了SYN请求,目标服务器使用SYN/ACK进行响应,那么就判定端口打开。FIN扫描时发送TCP请求时带上FIN标志,如果端口关闭,目标服务器响应RST。
2023-12-14 19:33:10
856
原创 2023年第九届“美亚杯”全国电子数据取证竞赛(个人赛部分)
DHCP(Dynamic Host Configuration Protocol)服务器通常按照子网中可用IP地址的顺序进行分配。考虑到这一点,"最后100个IP地址"可能是指在子网范围内的最后100个地址。如果子网是 10.1.4.0/24(即子网掩码为255.255.255.0),那么最后100个IP地址将是从 10.1.4.155 到 10.1.4.254。在给出的选项中,只有一个IP地址在这个范围内:C.10.1.4.254因此,答案是 C. 10.1.4.254。
2023-11-25 12:17:06
14800
5
原创 2023HNBW(服务器部分)
它是实现反向代理的核心指令之一,允许 Nginx 充当代理服务器,将客户端请求路由到不同的后端服务器,以实现负载均衡、安全性、性能优化等目标。:这行指令设置了一个名为 “X-Forwarded-For” 的自定义请求头,其值包括了客户端的 IP 地址以及通过代理链路传递的其他 IP 地址。:这行指令用于设置请求头中的 Host 标头,将其设置为与客户端请求中的 Host 标头相同。是上游服务器的地址。,并且设置了一些请求头信息,以便上游服务器能够正确处理请求并获取客户端的 IP 地址和请求链路信息。
2023-11-02 15:12:46
146
1
原创 2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)
因为对thinkPHP这个框架熟悉,所以找到了Common.php,如果不熟悉的同学可以先把网站重构起来再仿真。回到题目本身,分别对sanye123,sql_0731_wiiudot,sb_wiiudot_cn做数据去重。我选择不去分析逻辑,将另一个网站的源码copy过去,修改数据库指向。但这个密码是错的,备份文件里的database.php的密码是对的。接下来几个网站架构都是一样的,就是数据库不同,不多做赘述。到这里说明成功了,后续看日志找后台,发现是/admin。但是在重构第三个网站的时候出现了问题。
2023-09-27 09:01:14
9264
5
原创 2022GDBW(服务器部分)
下面开始对服务器进行分析服务器仿真后,我会用这几个命令大致排查一下ifconfighistorycrontab -l本题中初次仿真服务器,历史命令是很干净的,合理怀疑有定时任务或者开启自启项发现了一个定时任务一眼gzexe加密过了Shell脚本加密与解密-腾讯云开发者社区-腾讯云 (tencent.com)三句话,分别是,清空历史记录,清空kkk网站的日志,清空shop网站的日志再看端口开放情况开放了ssh端口3131,尝试连接端口是正常开放,服务也正常开启的,但就是连不上。
2023-08-24 18:07:44
548
2
原创 2022HZWA(流量部分)
这里看出他一直在爆破密码,那么我们就从后往前看,为了防止多线程干扰,看到类似答案后要追踪一下。两者结合,看出黑客为192.168.94.59,被攻击方为192.168.32.189。题干中该文件一共包含几个数据表,大致想想也是sql文件,扔进kali里面判断一下。只有admin才能访问/admin/index.php,因此找到的是真账密。仔细一条条看也可以找到特征,但是这里追求做题速度,直接ctrl+F爆搜。就是webshell密码,一眼丁真1234。只有两条,都一样的,秒出了。
2023-08-21 10:43:08
123
1
原创 2023年首届盘古石杯全国电子数据取证大赛技能赛决赛(流量部分)
黑客192.168.100.141通过ftp服务给192.168.100.139传了一个马,要判断主机名,我们可以对192.168.100.139进行一个爆搜。做到这里我其实不是很了解被入侵主机是哪一台,但是做到后面ftp的时候明了了。了解一点linux加固的知识就知道,响应头里会暴露中间件的信息。前面的大致浏览就发挥了作用,看见过传输了什么文件。这样筛一遍,有特征最好,没有特征也问题不大。一开始我以为是爆破,但是没找到,考虑隐写。请求体和请求头之间只空一行,所以是$$木马是setup.exe,追踪一下。
2023-08-18 13:42:38
335
1
原创 2023年首届盘古石杯全国电子数据取证大赛技能赛决赛(服务器部分)
虚拟机–WEB–开启–VNC–进入单用户模式–关闭SELinux–重启–进入单用户模式–修改root密码–vi /etc/passwd 修改root shell为/bin/bash–进入系统。他这里有中英文对照,所以要用英文再找一遍,如果你熟悉Thinkphp架构的话也可以直接找登录逻辑。/www一看没有,应该是要挂载上去的,结合前面题目的共享服务。只有sdb1是有数据的,所以这里我挂sdb1到/www下。老套路,看日志,找后台,绕密,顺便把navicat也连上。尝试开启虚拟机,失败,没有虚拟化。
2023-08-13 16:10:01
368
1
原创 ELK搭建社工库
ELK是一款主流的日志平台架构,分布式,毫秒级响应的特性适用于大量数据的筛查,支持api接口访问内存:推荐配置:64G 可用配置:32G、16G 配置下限:8GCPU:双核到8核都可以 核数优先于单核的处理能力。硬盘:源文件约2.5倍的空间。
2023-08-10 16:06:13
1505
1
原创 首届“陇剑杯”网络安全大赛_wifi
原题如下:网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木引进玩玩upload-labs ,并且保存了内存镜像、 wifi和服务器流量,让您来分析后作答:(本题仅1小问) 小王往upload-labs上传木马后进行了cat /flag,flag内容为__。
2023-08-06 23:16:45
633
原创 /proc文件系统解析
proc 非常特别,因为它也是一个虚拟文件系统。它有时被称为进程信息伪文件系统。它不包含“真实”文件,而是包含运行时系统信息(例如系统内存、安装的设备、硬件配置等)。因此,它可以被视为内核的控制和信息中心。事实上,相当多的系统实用程序只是调用该目录中的文件。例如,“lsmod”与“cat /proc/modules”相同,而“lspci”是“cat /proc/pci”的同义词。通过更改此目录中的文件,您甚至可以在系统运行时读取/更改内核参数 (sysctl)。
2023-07-31 16:06:40
102
1
原创 [NISACTF 2022]babyserialize
观察代码中的危险函数eval,所以这道题是从eval倒推上去。这里被waf.php里的函数拦截了,fuzz一波。有Hint先看一下Hint。将system改成大写。
2023-07-28 14:40:26
48
1
原创 2022蓝帽杯初赛——domainhacker(蚁剑流量分析)
这里可以看到1.rar的密码是SecretsPassw0rds,里面有mimikatz抓出来的东西。这段代码中可以看到先对字符串进行截取操作,再base64解码,前两位都是混淆用的。416f89c3a5deb1d398a1a1fce93862a7即为flag。url解码,格式化之后重点分析执行了什么命令。这种带有ini_set的一眼蚁剑流量。流量到手先过滤http。之后的流量都这么分析。
2023-07-24 13:22:18
410
原创 sql注入如何判断注入类型捏
如果是③⑥,则不会报错(可以去navicat里验证一下)重新学了一遍,理解深了一点,整理一下知识。如果是③,则不会报错,至此③⑥判断完成。如果是⑤不会报错,至此②⑤判断完成。如果是①不会报错,至此①判断完成。如果是④不会报错,至此④判断完成。如果是②⑤则不会报错,永真句。假如说有上述四种类型。
2023-06-07 22:48:23
223
1
原创 Volatility2安装
7.使用wget去github下载并命名为mimikatz.py。5.查看volatility的安装目录。1.安装distorm3。
2023-04-30 22:43:40
639
原创 last命令解析
nix operating systems that maintains a history of all login and logout activities."last命令将系统日志文件“/var/log/wtmp”作为生成报告的数据源。第二列指示用户如何连接到系统,例如通过pts(远程登录)或tty(物理机登录),但如果是重启,它将显示system boot(系统启动)last命令的功能是用于显示用户历史登录情况,通过查看系统记录的日志文件内容,进而使管理员可以获知谁曾经或者试图连接过服务器。
2023-04-30 22:10:00
851
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人