精武杯的部分复现

标红的为答案

计算机手机部分

1、请综合分析计算机和⼿机检材，计算机最近⼀次登录的账户名是？admin

2.请综合分析计算机和⼿机检材，计算机最近⼀次插⼊的USB存储设备串号是?S3JKNX0JA05097Y

3.请综合分析计算机和⼿机检材，谢弘的房间号是（201）室

其中顺丰 1.zip 打开后像是⽂档⽂件，于是将其后缀名改成 xlsx，在⾥⾯ 找到了谢弘的信息

4.请综合分析计算机和⼿机检材，曹锦芳的⼿机号后四位是?0683

在1k.zip里面没有她的信息，看一下2k.zip里面有没有,但是涉及到伪加密,考虑压缩包的伪加密，可以利用010修改字段值，把504B0102后面的字段09 00修改为00 00即可，这里使用7z打开

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按 姓名+电话+地址去重后共有多少条？4997

找到所有的快递文档

把四个压缩包都打开，把重复信息删掉只剩一条 

6.请综合分析计算机和⼿机检材，统计检材内共有⼏份购票平台相关的公民信息文档？3

在刚刚的zip文件相同的目录还有一个vc容器，挂载看看，密码在便签里，5thGoldenEyesCup是挂载密码

注意：一个加密的容器文件可以存在两种密码，一个是外部密码，一个是内部密码，分别对应常规的和隐藏的容器，需要分别验证。

资料：保姆级教程：R-Studio数据恢复软件的使用-CSDN博客

7.请综合分析计算机和手机检材，樊海锋登记的邮箱账号是？727875584@pp.com

一号裤子里

8.请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少 条身份证号为上海的公民信息？ 

把三个txt文件的内容全部放在一起，将所有----都替换成空格,然后导入数据库

9.请分析⼿机检材，2022年11⽉7⽇，嫌疑⼈发送了⼏条短信？3

10.请分析手机检材，其中保存了多少条公民住房信息？12

流量部分

1、请分析流量分析.pcapng 文件，并回答入侵者的 IP 地址是？（答案格式： xxx.xxx.xx.xxx）

在统计会话中，攻击者的ip为192.168.85.130 

 2、请分析流量分析.pcapng 文件，并回答被入侵计算机中的 cms 软件版本是？ (答案格式：1.1.1)    5.2.1

直接过滤 HTTP 协议，发现两种 URL，一种是 PhpMyAdmin 的，一种是 WordPress 的。

可以看到访问量wp-开头的目录，可以确定cms为WordPress，版本号即为访问css文件时get传入的ver参数

3、请分析流量分析.pcapng 文件，并回答被入侵计算机中的 MySQL 版本号是？

先过滤MySQL服务

 追踪流，发现外部ip不允许外连，可以确定黑客通过phpmyadmin页面进入，前面也确实发现不少url中包含phpmyadmin字符,过滤，追踪流，并且搜索version，找到答案

4、请分析流量分析.pcapng 文件，并回答被入侵计算机中的 MySQL root 账号 密码是？(答案格式：xxxxxxxxxx) admin@12345

MySQL 不允许外连，那么获取密码可能是通过 PhpMyAdmin 了，因为 PhpMyAdmin 的账户密码就是 MySQL 的账户密码。那么去看看 PhpMyAdmin 相 关的包，输入过滤条件： http.request.method=="POST"&&http contains "phpmyadmin"

5、请分析流量分析.pcapng 文件，并回答入侵者利用数据库管理工具创建了一 个文件，该文件名为？(答案格式：xxxxxxx.php) 06b8dcf11e2f7adf7ea2999d235b8d84.php

追踪http流，发现痕迹,在phpmyadmin的import页面进行了数据库的配置更改。将数据库的日志文件general_log_file的目录更改到了网站的根目录,写入该文件的php语句都会被系统解析,这是常用的渗透getshell的手法

入侵者用SET GLOBAL命令设置了一般查询日志的日志问文件，通过查找资料可知，日志路径设置好后，并不会立刻新建相应的文件，而是在下次产生日志的时候自动创建。

6、请分析流量分析.pcapng 文件，并回答被入侵计算机中 PHP 环境禁用了几个函数？10

直接过滤：disable_function 

追踪HTTP流

7、请分析流量分析.pcapng 文件，并回答入侵者提权后，执行的第 1 条命令是？dir

根据题目可知，在找被要求的命令的时候，入侵者已经拿到了权限，也就是说入侵者提权后，肯定是管理员权限，所以肯定在C:\Windows\System32>，使用tcp contains "system32"进行过滤

其中淡绿色部分是HTTP 的包，phpinfo 中包含的 system32。下面的 TCP 包 分为两个流。因为要找第一条执行的命令，按照顺序追踪第一条流：

8、请分析流量分析.pcapng 文件，并回答被入侵计算机开机时间是？（答案格 式20xx/x/xx xx:xx:xx）   2019/6/13, 18:50:33

这个在刚刚找到的包里面发现，第二个命令就是systeminfo

找到开机时间

systeminfo，这个命令是Windows中用于显示关于计算机及其操作系统的详细配置信息，包括操作系统配置、安全信息、产品 ID 和硬件属性，如 RAM、磁盘空间和网卡和补丁信息等。  

9、请分析流量分析.pcapng 文件，并回答被入侵计算机桌面上的文件中 flag 是？(答案格式：abcdef123456789)     3f76818f507fe7e66422bd0703c64c88

选择继续查找我们刚刚筛选出来的tcp流

10、 请分析流量分析.pcapng文件，并回答图片文件中的flag是？ (答案 格式：abcdef123456789)

d31c1d06331a9534bf41ab93afca8d31

过滤http，发现流量包的最后发现了这样几个HTTP请求：

追踪流，发现flag