- 博客(126)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 2023 年全国网络安全行业职业技能大赛电子数据取证分析师总决赛wp
把mysql文件夹导出直接用火眼的数据库取证工具解析root 用户最后一次修改密码的时间直接看mysql数据库中user表要排序的题在火眼数据库取证工具中看着不太方便,直接在工具中将数据库运行在本地,并用navicat连接game数据库中的announcement_detail表,create_time降序排列在app界面中显示是08-02 03:54,需要找数据库。
2024-04-26 21:48:50
969
3
原创 2023中科实数杯wp
常见的诈骗话术2023给的检材里面没有通话记录,电脑里有个手机备份,设置了备份密码,查看下Manifest.plist(2021年美亚杯个人赛第30题考过这个文件),确实加密了万达广场(南沙店)不能确定HotsCoin是数字交易app,有师傅写这个读取时间的2023-12-04 13:28:19西电的师傅说是这个还是不能确定的ios备份密码忘了怎么办 五位纯数字龙信能跑出来,弘连跑不出来,这个内容提示备份密码是5位纯数字。
2024-01-28 23:53:02
1277
1
原创 2023龙信杯wp
2023年9月,某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人上钩后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施诈骗。
2024-01-24 22:59:40
1173
1
原创 OD动态调试exe
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试到中括号最下面即可停止,并且在下一个中括号开始重复操作,设置此处为新EIP-F8调试。分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
2023-08-21 20:52:20
437
原创 2023首届盘古石杯决赛复盘
狂神无双下面的都是网址,只有这条是com.zhjhsy.ksws04.ucbiao在技术人员的雷电手机模拟器中找到了这个包名叫狂神无双。
2023-07-04 10:47:11
3940
1
原创 passware kit forensic、hashcat使用
跑出来了John电脑对应的密码是paofen,NAS的密码是P@88w0rd。找到Windows/System32/config并在本地打开。适用于不联网的情况下,例如2023盘古石杯的NAS取证。将路径填充到config folder中。
2023-07-03 17:13:13
1732
原创 2023首届盘古石杯晋级赛复盘
后面再给你们搞找potato的数据库,在data里面找到应用对应的数据库文件,盘古石直接导出的db居然是空的把坚果解压后在文件夹里面找,navicat查看,这个里面的数据存在把内容保存出来,全部base64解密a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')a.close()
2023-06-17 09:17:55
4011
8
原创 iphone的fileID
eg第四行的:fileID=ed760fe4ac85871e0b40368327e2bb483d23cc1e,domain=SysContainerDomain-com.apple.lskdd,relativePath=Library/Preferences。用navicat连接Manifest.db,查看Files表,fileID=SHA1(domain-relativePath)在iphone备份文件夹中,先找到ce文件夹,在里面可以找到fileID对应的文件。复制出来,改后缀名为jpg,文件出来了。
2023-06-16 09:52:17
143
原创 PE文件+UPX壳 ida分析
下载压缩包后解压,直接在该文件路径下cmd,输入upx.exe -h安装完成,使用命令“upx -d +文件路径”进行脱壳。die查壳发现是UPX壳,直接用ida分析,会发现能分析出来的信息特别少,需要脱壳。脱壳成功,之后再次分析,数据就出来了。
2023-05-13 20:12:27
410
1
原创 记录一次adb+frida+hook学习经过
查看adb 连接设备offline 表示设备未连接成功或无响应,device 设备已连接未连接就使用举个栗子。
2023-04-25 10:54:49
854
原创 注册表取证
当前登录用户这个键值在关机后会被删除掉U盘序列号Disk:说明该设备是一个USB存储介质设备,而不是不可存储的设备Ven厂商:后面的WD就是西部数据Prod产品型号:Elements_SE_2623Rev版本:1034序列号:子健的键值,&0前面的数值键值有GUID。
2023-04-22 12:17:40
737
原创 VolatilityWorkbench初步使用
VolatilityWorkbench:Volatility可视化工具。第一行Image file:Browse Image选择镜像。缺点:在单独寻找某个进程、文件等时,无法搜索,非常难受。pslist命令还可以单独选择某一个exe分析其进程。第二行Platform:解析操作系统类型后能选择。加载完成之后选择第三行的命令,然后run。优点:速度很快,不用输入命令,一目了然。
2023-04-16 09:00:44
532
原创 VM配置MacOS出现的问题及解决方法
Retrieving Darwin tools from: http://softwareupdate.vmware.com/cds/vmw-desktop/fusion/11.5.5/16269456/packages/com.vmware.fusion.tools.darwin.zip.tar Link didn't work, trying another one...
2023-04-14 14:58:36
296
原创 十二、网络规划与设计
(1)四阶段周期(重叠)构思与规划阶段、分析与设计阶段、实施与构建阶段、运行与维护阶段特点:能够快速适应新的需求变化,成本低,灵活性好,适用网络规模较小、需求较为明确、网络结构简单的网络工程需求规范——通信规范——逻辑结构设计——物理网络设计——实施阶段特点:比较死板,不灵活,较为严谨,适用于网络规模大、需求较为明确、需求变更较小的网络工程(3)六阶段周期(测试)需求分析——逻辑设计——物理设计——设计优化——实施及测试——监测及性能优化。
2023-04-12 16:43:31
1195
原创 十一、存储技术基础
RAID级别特点需要磁盘磁盘利用率容错性冗余性热备盘选项典型应用RAID0条带2全部无无无无故障的迅速读写,要求安全性不高,如图形工作站等RAID1镜像250%有复制有随机数据写入,要求安全性高,如服务器、数据库存储领域RAID22RAID3专用奇偶位条带3有奇偶校验有连续数据存储,要求安全性高,如视频剪辑、大型数据库等RAID5分布奇偶位条带3有奇偶校验有随机数据传输,要求安全性高,如金融、数据库存储等RAID64。
2023-04-12 15:13:42
613
原创 九、路由原理与路由协议
OSPF通过组播的方式在所有开启OSPF的接口发送Hello包,用来确定是否有OSPF邻居,若发现,则建立OSPF邻居,形成邻居表,之后相互发送LSA(链路状态通告)相互通告路由,形成LSDB(链路状态数据库),再通过SPF算法,计算最佳路径(花费最少)后放入路由表。Level-1-2路由器,可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻居关系,也可以与同一区域或者其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系。
2023-04-08 16:26:41
950
原创 八、交换技术原理
VLAN:根据管理功能、组织机构或应用类型,对物理网络进行分段而形成的逻辑网络,与用户的物理位置无关。VLAN采用802.1q标准(虚拟局域网协议,用于生成VLAN标识)。每一个VLAN是一个逻辑网络,发往VLAN之外的分组必须是通过路由器进行转发不同VLAN之间通信,需要路由器或三层交换机属于同一个VLAN的所有端口构成一个广播域,各个VLAN属于不同的广播域。
2023-04-04 20:46:31
1920
原创 七、网络安全
类型密钥长度分组长度安全性特点DES数据加密标准5664依赖密钥,受穷举法攻击速度较快,适用于加密大量数据3DES三重DES加密112、16864军事及,可抗差值等相关分析执行3次DES加密,第一、三次加密使用同一密钥密钥长度112位,三次加密使用不同密钥,密钥长度168位AES高级加密标准128安全级别高速度快IDEA国际数据加密算法12864能抵抗差分密码分析的攻击RC4流加密算法第四版可变类型密钥长度分组长度MD5信息摘要算法128512。
2023-04-02 21:30:06
1715
原创 四、网络层
A类:127.x.x.x,用作环回地址/回送地址,环回地址向自己发送流量,发送到该地址的数据不会离开设备到网络中,而是直接回送到本主机,该地址可作为目标地址,又可作为源地址,是一个虚IP地址。长度为3位,第一位不使用,第二位是不分段(DF)位,值为1时表示不能分片,值为0时表示允许分片,第三位是更多分片(MF)位,值为1表示之后还有分片,值为0表示最后一个分片。常用于无盘工作站,设备没有硬盘,无法记录IP,刚启动时发送一个广播,用MAC去获取IP,需要一台RARP服务器,记录IP与MAC的对应关系。
2023-03-26 21:28:10
859
原创 三、数据链路层
主要用于全双工的异步链路上进行点到点的数据传输,PPP协议的一个重要功能便是提供了身份验证功能,但是PPP协议虽然提供了通信双方身份验证的功能,其协议中没有提供地址信息,通信双方无法相互验证对方的身份,不安全,升级是PPPoE。解释:当出错个数为奇数时,将导致1的个数的奇偶发生变化,可以检测出错误,而为偶数时,1的个数的奇偶不变,故检测不出。MAC地址(硬件地址、链路地址),48比特,6字节,前24位厂商编号,由IEEE分配给生产以太网网卡的厂家,后24位是序列号,由厂家自行分配,用于表示设备地址。
2023-03-22 16:04:30
990
原创 二、物理层
成复帧:E1的一个时分复用帧(长度T=125us)划分为32个相等的时隙,编号为CH0-CH31,CH0用作帧同步,CH16用作传送信令,CH1-15和CH17-31用作语音话路,共30个。该方式再STM-1中封装了63个E1信道,可以同时向63个用户提供2Mb/s的接入速率,PDH兼容方式有两种接口,一种的传统的E1接口,另一种是封装了多个E1信道的CPOS接口。在发送数据时,不管数据的长度是多少,都把它组织成一个报文,报文中含有目标结点和地址,每一个节点接收整个报文,在适当的时候转发到下一个结点。
2023-03-18 21:24:05
1702
原创 一、网络体系结构
服务:本层为上一层提供服务,使用下一层提供的服务(垂直),SDU:服务数据单元,层与层之间交换的数据,服务原语:上层使用下层服务交换的命令。协议:两个对等实体共同遵守的规则,包括语法、语义、时序关系(水平),PDU:协议数据单元,对等层次传送的数据单位。点到点的帧传输,链路连接的建立、拆除和分离,帧定界和帧同步,顺序控制,差错检测、恢复,链路标识、流量控制。数据通信设备DCE,有时钟,同步信号,egCSU/DSU、NT1、广域网交换机、MODEM。数据语法转换、语法表示、数据加密和解密、数据压缩和解压。
2023-03-16 19:12:02
686
原创 PE文件详解
(1)MZ头:长度 40H,即4行乘16位,最前面的5A4D显示是MZ,是EXE标识,最后4个字节000000F0是el_fanew 字段,指向PE文件头地址,即PE文件头指向000000F0处。(2)PE文件头:PE标识往后20字节,PE文件头前2个字节014C是设备型号,之后2个字节0003是是节表数目,表示有3个节表。3、节表:每个节表40字节,节表数目在PE文件头中查看,总共是节表数目×40字节。(2)DOS存根:从MZ头到PE头之间的部分,显示提示字符。(3)PE可选文件头:PE文件头。
2022-12-14 16:08:30
1313
原创 在win10和docker下安装DVWA
DVWA下载地址在phpstudy软件包下的www文件夹中新建一个文件夹名为dvwa,把DVWA-master压缩包解压进去删除/dvwa/config文件夹下的config.inc.php.dist文件的.dist后缀打开config.inc.php,修改用户名、密码phpstudy启动apache和mysql访问127.0.0.1/dvwa成功点击第一个Setup DVWA,下拉到最后点击创建数据库之后跳转登录,用户名admin,密码passwordDVWA security调节靶场难度。
2022-12-12 23:00:00
964
原创 解决报错Error: libzip5-tools conflicts with libzip-0.10.1-8.el7.x86_64
rpm -qa|grep libzip或者yum list installed | grep libzip查询已安装的软件包。yum install php php-devel安装php时遇见报错。以yum list installed | grep libzip为例。原安装命令yum install php php-devel也一样。再次安装yum -y install php,成功。
2022-11-30 21:22:38
2192
2
原创 2022美亚个人赛复盘
A投送的照片在本机上是IMG_4913.HEIC,时间是2022.11.17 22:55,B收到照片在本机上是IMG_4913.HEIC,时间也是2022.11.17 22:55,B本机拍摄的照片数字是连贯的,投送的这张照片和之前的照片名字上的数字不连贯, 并且时间不连续。(不要输入符号及空白,以大写英文及阿拉伯数字回答)(1分)55、[填空题]虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)
2022-11-24 20:22:17
2343
原创 2019美亚个人赛复盘
百度发现,系统安装时间在SOFTWARE\Microsoft\Windows NT\CurrentVersion中,没有找到,在Windows Installation 系统信息中找到了安装时间2019/10/31 4:56:45,最后一行就是计算机名称,B正确。这个过程是一个Windows驱动程序,它是一个很小的软件程序,40 、在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?
2022-10-31 20:40:19
1262
原创 2019第一届长安杯
检材一案情简介 在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个 P2P 网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定向诈骗,因此调取了 P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。你获得该 P2P 理财网站服务器硬盘镜像文
2022-10-27 11:07:30
2870
2
原创 2021第三届长安杯
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。在虚拟机里搜索郭先生,发现只找到最近浏览里面生成的快捷方式,属性里面显示都是在X盘,桌面上还有veracrypt,最近浏览里面还有一个key.rar,结合49题的容器文件,得出结论,小白鼠是容器,key.rar是密钥文件,加挂即可。通过对检材二和三进行分析,警方通过IP落地,警方掌成功抓获犯罪嫌疑人,现将嫌疑人的PC机和手机进行了取证,分别制作了镜像,请使用第13题的答案对检材四进行解密,并回答下列问题。......
2022-10-16 09:10:01
2382
原创 取证网站重构
第三步,找到登录的后台网址、用户名和密码,可以直接找(config或者data里面的配置文件)、修改数据库中存储的用户信息(分析网站对密码的加密过程)或者在源代码中修改提示用户名或密码的弹窗,让其弹出密码加密后的密文。),保证虚拟机和主机都在统一网段中,并相互能ping通,ASP.NET State服务是开启的。第一步,先配置网关(虚拟机网卡、虚拟机的虚拟网络编辑器和主机的VMnet8。一般来说,服务器在一个镜像里,数据库在一个镜像里。第二步,连接数据库(navicat)卡了好久终于会了呜呜呜。
2022-10-15 19:47:14
1450
原创 2020第二届长安杯
编辑类,把“用户名或密码错误”改为text2,输入密码后就会弹窗加密后的密码,直接把密文放进数据库中,把修改后App_Web_dllogin.aspx.7d7c2f33.dll覆盖检材三原网站中的文件,重启服务和sql1容器,就行了(我的虚拟机不知道为什么VMware Tools就是安装不上,覆盖都没办法)37、检材3中,请对网站代码进行分析,网站登录过程中,代码中调用的动态扩展库文件的完整名称为(答案格式:“abc.html.ABC”区分大小写,半角符号,包含扩展名)
2022-10-15 10:41:47
4100
1
原创 我的创作纪念日
于2022年10月12日。刚开始纯粹是为了让一些代码不在我的文件夹里落灰,想找却找不到,后来越攒越多,看着挺满足的,自己记录的东西以后有需要了再翻也挺方便的,同时也希望我的学习过程走得能越来越远,能或多或少地帮到其他人。
2022-10-12 15:12:26
129
1
MacOS系统中使用log命令遇到的问题
2024-03-06
TA创建的收藏夹 TA关注的收藏夹
TA关注的人