2024平航個人賽

流量

1、成功入侵網站的ip是

192.168.5.214

觀察協議分級，發現主要是tcp的http報文為主

使用統計功能，發現最多的分組是192.168.5.146，其次是192.168.5.214和192.168.5.157

進行排查

發現5.157的攻擊者在1秒鐘之內向5.146完成了所有的http請求，猜測5.157的攻擊者只是實施了掃描或者爆破，而未能成功

再看5.214的攻擊者，發現存在登入和上傳惡意程式碼的行為，證明該攻擊者已經成功破解網站

2、入侵者掃描埠的範圍

1-1000

端點統計，發現5.146的1-1000埠被依次訪問，並且每次的分組並不是很多，猜測是駭客掃描的結果，而8080埠存在多個分組，應該是網站的埠

駭客後續對網站進行了攻擊，產生了很大的流量，因此有很多的分組經過

3、攻擊者掃描的方式是什麼

半連線

過濾掃描的流量

可以看到攻擊者先傳送syn包，之後服務端響應併傳送syn、ack包，客戶端收到後直接RST釋放連線，屬於半連線

4、該網站伺服器後端介面的埠號

8080

5、攻擊者登入後臺的賬號密碼

admin/123456

過濾post請求,追蹤駭客爆破網站登入密碼的http流

根據返回的內容判斷

code=0即為成功登入，code=10004即為登入失敗

6、網站中插入xss指向的遠端檔案路徑

http://192.168.5.214/hack/saJk.jsp

直接過濾xss標籤<img、<script等等

7、該攻擊者使用遠端命令控制伺服器共持續了多久時間

52s

8、存在一張圖片，該圖片的內容是

QZYZC

手機

1、嫌疑人通訊錄中歸屬地為浙江的好友有幾位

2、請確定嫌疑人2024-02-08去過哪個城市

3、請確定嫌疑人聯絡最頻繁的手機號

4、嫌疑人瀏覽器下載的txt檔名稱是

5、嫌疑人尾號3333的銀行卡餘額

6、尾號為3333的銀行卡卡號

7、嫌疑人的車牌號

8、嫌疑人公司地址

9、嫌疑人繫結印象筆記手機號為

匯出印象筆記app的資料使用filelocate定位手機號

10、嫌疑人MetaMask錢包密碼

11、請確認嫌疑人成功賣出名單多少次

在筆記中相加共8次

12、登入網易郵箱的賬號

13、嫌疑人所使用的伺服器密碼

在郵箱中

14、請確認嫌疑人登入的telegram應用的ID

15、telegram應用繫結的手機號

16、請確認在telegram上有意向購買的使用者暱稱

17、請確認嫌疑人記錄成功攻擊過的網站數量

18、請確認嫌疑人給買家的體驗名單中漢族的有幾人

依照他們兩個的聊天記錄即可得到最後的表格檔案

19、嫌疑人所使用的虛擬幣交易所的名稱是

20、接上題，請確定最近一次購買名單的玩家，其虛擬幣地址是

計算機

1、計算機名稱

2、最後一次開機時間

3、使用者名稱Eraser的登入密碼

先登入DorUUU賬號，發現在桌面上存在一個txt，裡面有Eraser使用者密碼

4、網路介面卡Ethernet0的MAC地址

00:0C:29:67:29:3F

5、軟體Veracrypt安裝時間

6、使用者下載的veracrypt的exe檔案佔用多少簇

使用管理員許可權登入cmd，chkdsk命令檢視簇大小，發現4096位元組是一簇

一定要使用佔用大小，否則會出現差錯

7、最近使用的西部資料行動硬碟，該裝置序列號

8、電腦中有一張筆記本有關的圖片，請問拍攝地點

9、VPN所使用的代理埠

10、檢查嫌疑人的vpn節點，日本A01的所使用的密碼

11、嫌疑人遠端連線過的ip地址中，除了192.168.172.191，還有哪個ip成功連線過

發現回收站有xsh檔案，先還原

成功連線過的遠端服務一定會有金鑰保留

我們對金鑰進行檢視

發現192.168.160.138也成功連線過

12、接上題，嫌疑人第一次連線該ip的時間是

第一次連線的時候會建立主機金鑰，所以只需要檢視該金鑰建立的時間

13、嫌疑人曾收到過一封與售賣個人資訊相關的廣告郵件，其傳送方的ip是什麼

這題需要檢視郵件原始碼

14、嫌疑人曾建立過一個計劃任務，主要實現一個什麼功能

根據deleteall猜測是定時刪除

找到啟動程式是加密磁碟中的1.bat

BC密碼在手機筆記中

15、觸發時間是什麼

16、kali虛擬機器root使用者的密碼

爆破shadow檔案

計算機使用的是virtualbox軟體，需要宿主機開啟虛擬化，類似於dockerdesktop

成功啟動虛擬機器

因為虛擬機器需要密碼，我們把vdi檔案匯出

使用qemu-img軟體將硬碟格式轉化為raw或者vmdk

之後使用ftk掛載分析或者xways等軟體，匯出shadow檔案，再使用hashcat、john等軟體爆破即可

得到密碼是654321

17、嫌疑人在虛擬機器中掃描過一些主機，請找出掃描過的ip

嫌疑人使用nmap工具掃描

18、嫌疑人在計算機的一些word檔案中記錄了攻擊的payload，請分析有哪些攻擊型別

發現word檔案開啟是亂碼情況

在kali虛擬機器中存在decryptdoc檔案，猜測是解密方式

匯出檔案，發現jpg檔案缺少檔案頭資訊，並且許可權是隻讀

修改許可權，並且新增檔案頭FFD8FFE0

得到完整的jpg檔案，得到解密的py指令碼，發現是Python實現的異或加密

這裡提供1一個免費的ocr軟體，實現圖片文字轉化，像wps這種需要付費

https://github.com/hiroi-sora/Umi-OCR/releases/tag/v2.1.1

進行解密需要將其還原，還原doc檔案

def xor_file(input_file_path, output_file_path):
    try:
        with open(input_file_path, 'rb') as file:    #使用rb（二進位制讀）的模式對輸入的檔案進行讀取
            data = file.read()
        xor_data = bytearray([b ^ 0xFF for b in data])

        with open(output_file_path, 'wb') as file:      #使用wb（二進位制寫）的模式對解密後的檔案進行輸出
            file.write(xor_data)
        print(f"檔案處理完成，輸出檔案位於：{output_file_path}")
    except Exception as e:
        print(f"處理檔案時發生錯誤：{e}")

# 恢復加密檔案
def recover_file(input_file_path, output_file_path):
    xor_file(input_file_path, output_file_path)

# 使用方法
encrypted_file_path = r"G:\MYvmware\vmware-windows-share\list13.docx"    #在Python中\具有轉移字元的功能，所以需要在字串前面加上r，代表不需要轉義
recovered_file_path = r"C:\Users\YYL1024\Desktop\93.docx"

recover_file(encrypted_file_path, recovered_file_path)
因為異或運算的逆運算也是異或運算，所以異或檔案加密的加密方式和解密方式是相同的，在Python中使用^表示異或運算

解密後list11、list12、list13轉化為91、92、93

在這三個檔案中存放著payload

SQL隱碼攻擊

xss攻擊

log4j攻擊

19、嫌疑人在bscsan.com網站的密碼是

這裡注意，google的密碼管理與Windows系統程式有關，若之前在模擬的時候清楚了使用者的密碼，那麼谷歌中儲存的密碼會隨之消失

20、嫌疑人曾使用的MetaMask外掛id

chrome-extension://外掛ID

21、嫌疑人曾使用過虛擬錢包MetaMask，其虛擬錢包地址是

使用clash代理，開啟MetaMask，密碼之前在手機的筆記本中

22、嫌疑人在哪個虛擬幣網路存在資產

點選BNB資產中發現存在usdt幣

23、嫌疑人vc容器的掛載密碼是

之前在手機中提取到的keepass密碼

計算機中的密碼存放的地方有很多

圖片隱寫、社交聊天、郵箱、筆記本、備忘錄、密碼管理器等等

24、在該瀏覽器書籤"CryptBB"新增的時間

掛載vc容器，發現有data目錄和洋蔥瀏覽器

開啟瀏覽器

25、嫌疑人1曾使用網路測繪引擎對幾個酒店域名進行了掃描，問包括哪些酒店

在歷史記錄中

26、開房記錄內有一位名叫shaheenur的酒店顧客，其出生日期是

有個zip檔案，開啟發現是偽加密

成功開啟後，發現是兩個excel表格和一張圖片

根據圖片中的Miama解密第二個excel表格

記憶體

主要使用vol2、vol3

1、該計算機中eraser使用者的登入密碼是

python vol.py -f "A:\個人賽部分\記憶體\memory.raw" hashdump

2、檢查記憶體映象，該計算機名是

volatility_2.6_win64_standalone.exe -f "A:\個人賽部分\記憶體\memory.raw" --profile=Win10x64_10586 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

3、計算機上次關機的時間（UTC-8）

volatility_2.6_win64_standalone.exe -f "A:\個人賽部分\記憶體\memory.raw" --profile=Win10x64_10586 shutdowntime

4、抓捕嫌疑人的時候計算機正在遠端連線另一臺計算機，該計算機的IP地址是

遠端連線可能是3389或者22埠，這裡找到了22埠

python vol.py -f "A:\個人賽部分\記憶體\memory.raw" netscan | findstr 22

5、嫌疑人使用的遠端連線工具是

python vol.py -f "A:\個人賽部分\記憶體\memory.raw" windows.pstree

發現有finalshell，並且finalshell程序是上題java.exe程序的父程序

6、檢查記憶體映象，計算機中存在名為"wps"的程序，該程序是否使用qwindows.dll庫

volatility_2.6_win64_standalone.exe -f "A:\個人賽部分\記憶體\memory.raw" --profile=Win10x64_10586 dlllist -n wps | findstr qwindows

使用vol3發現沒有存在qwindows這個庫

再使用vol2跑一遍

發現可以跑出很多的庫

總結

覆盤了許久，這次比賽算是比較有難度的一次。計算機、手機、記憶體、流量都有一定的難度，需要了解很多新的東西，像區塊鏈、檔案異或加密、virtualbox、linux系統密碼破解

取證路，道阻且長！