微精选

容器密码：

4zL!$WpRkmANv@XFQ#7HdEyU&GpoTb56YZ^Jq83!Wr(tqA%XsPB7f@CY1xRmKH9#Le*WVG9NuvT$kJ2@7b64Tp(FLM#zqRY8Hv%!KU^9C&YXL*powq87Hr

一、计算机取证  (共10题19.0分)

1.计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1.0分)

答案：700755

2.请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1.0分)

答案：192.168.50.227

3.计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1.0分)

答案： M 会默认上次的装载

4.接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1.0分)

答案：0A7152C5AA002A3D65DC5C5C5FAAB868

5.请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6.0分)

答案：1P2P3$$pian5P6P78pian

这个是容器，主要是看容器的后缀名哈~，密码常常会在某个txt文件放着或者聊天纪录里面存在。

电脑配置跟不上，直接把文件镜像文件导出到本地，然后打开把。。。

6.请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1.0分)

答案：6CF25FFF7D2882DBF5722B3B9E382B5F

导出到本地，然后certutil -hashfile rar文件 md5

7.计算机中Will Wight – Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://…） (1.0分)

答案：

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130

8.计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1.0分)

答案：2024-11-09 21:59:48

9.Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3.0分)

答案：40.3800N，0.2899E

10.计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？ （答案格式：纯数字） (3.0分)

答案：6

二、手机取证  (共8题19.0分)

请根据手机检材，回答以下问题（备份密码6666）：

1.分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1.0分)

答案：FK3XDN2UKPJ5

2.分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1.0分)

答案：1234qwer

3.分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2.0分)

4.分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1.0分)

答案：com.maicai.freejizhang

5.分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5.0分)

苹果的仿真环境搞不了，只能分析其数据库文件，搞不懂。。。

应该是分析其数据库，但是我看了下，好绕，懵逼了~~

6.分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3.0分)

答案：201808188

它是放在便签里面的

7.分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1.0分)

答案：浦东新区张杨北路2899弄

浦东新区张杨北路2899弄

7.分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5.0分)

答案：344元/克

服了，各种玄学问题，难受，最后用的e10editor 

三、服务器取证  (共6题19.0分)

1.重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3.0分)

    可以部署仿真环境，也可以直接通过火眼来看，直接通过火眼来看的话，需要你知道这里6379和16379分别代表容器的端口还是对外开放的端口。

F*DZ-kZMs5qt   mysql数据库链接所用的盐，一般是反编译jar包，看看他是怎么链接的，因此我们需要找到搭建网站源代码

docker ps -a –no-trunc

docker cp 79d2:/home/date/s048/s048-3.0.0.jar ./s048-3.0.0.jar

3.请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6.0分)

我们看到刚刚有涉及两个mysql数据库  a_member_st

我们可以去试试默认密码爆破也可以跟进它的代码去解密

还能通过docker 查看mysql的登录密码

经过测试发现，它有两个数据库，这道题对应的数据库在ip172.19.0.4，我们只有通过反编译jar包拿到它的数据库密码 

mysql -h 172.19.0.4 -uroot -P 19030 -p    kidsk&klf^rv

4.已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/…） (3.0分)

/zwz/role/getAllByPage

5.请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1.0分)

在职状态 ？禁用

6.请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3.0分)

我们要去思考怎么把他提出来，  首先它的问题是第二高的 省份的结果，我们需要从地址触发，截取前面至少3个地方进行确定，计算其中的平均值。

SELECT    substr(a_member_st.address, 1, 3) AS region,  

ROUND(AVG(a_member_st.income)) AS avg_income 

FROM a_member_st 

GROUP BY substr(a_member_st.address, 1, 3) 

ORDER BY avg_income;

====================================================

GROUP BY substr(a_member_st.address, 1, 3) 将相同地址前缀的地区归为一组。

AVG(a_member_st.income) 计算每组收入的算术平均值，并用ROUND()四舍五入到整数（若需保留小数位可调整）。

四、程序功能分析  (共6题14.0分)

请根据APK检材，回答以下问题：

1.分析APK检材，请问程序申请了几项系统权限？（答案格式：6) (2.0分)

 3

2.分析APK检材，请写出程序的入口邀请码；（答案格式：与实际大小写保持一致） (6.0分)

3.分析APK检材，该程序进行恶意行为时保存的文件使用的加密算法及加密模式是？（答案格式：大写，如XXX-XXX） (1.0分)

不会

4.分析APK检材，该程序进行恶意行为时保存的文件使用的加密密钥是？（答案格式：与实际大小写保持一致） (3.0分)

不会

5.分析APK检材，该程序上传文件的服务器通信URL是多少？（答案格式：https://xxxx/xx/xx） (1.0分)

7.分析APK检材，以下哪个是该程序存在的恶意行为？ (1.0分)  A

A.  偷偷调用前置摄像头拍照并上传图片至服务器 

B.  偷偷调用后置摄像头拍照并上传图片至服务器

C.  后台偷偷录音并上传音频至服务器

D.  偷偷获取通讯录信息并上传服务器

E.  偷偷获取短信信息并上传服务器

五、网络流量分析  (共6题19.0分)

请根据网络流量包检材，回答以下问题：

1.分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1.0分)

2024-10-24 17:26:12  北京时间=GMT+8小时

2.分析网络流量包，可以发现哪种攻击行为？ (1.0分)  B

A.  网络钓鱼

B.  SQL注入

C.  拒绝服务攻击

D.  恶意软件传播

E.  中间人攻击

3.分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3.0分) 

secret

玄学：  盲注看过来后面有一个+号，而攻击者在dump时候没有+号

数据库的名称获取有两种方法，一种是看他盲注的请求，那样比较麻烦

另一种是直接看他dump数据的时候，是从那个数据库dump的

3.分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6.0分)

首先打开流量包，在过滤器中输入http.time,随后找到[HTTP response]栏中的[ Time since request]字段，如图所示。 

麻了，有16个字符，而且也不知道咋回事，它的payload          
http://192.168.22.139:7443/login.php/?name=lucy’ and if((ascii(substr(( select secret from secret.secret limit 0,1),15,1)))>43,sleep(3),0)#&submit=查询]          
满足条件会睡眠三秒，但是我也没找到他睡眠3s的地方在哪呀~~懵逼了   可能是我太菜了~~

4.分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3.0分) 冰蝎

冰蝎，呜呜呜，唉，不大熟悉冰蝎，我一般用哥斯拉的呜呜呜，

还是简单提一提吧，冰蝎的逻辑他会去随机请求一个参数，然后把他的响应包作为密钥，进行加解密，就完了。

。

8.分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5.0分)

六、数据分析  (共4题10.0分)

请根据数据分析检材，回答以下问题：

1.分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1.0分)

2945，难受，平凡玩家； select count(*) from member where userName = ‘%强%’

2.属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1.0分)

11  对应的SQL语句应该是select count(*) from member where parentId=’89378’

3.请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3.0分)

86499670；SELECT userId FROM salary ORDER BY (oldBlance + newBlance) DESC LIMIT 1;

4.计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5.0分)

思路： 先把时间戳通过python脚本转换成具体时间，然后把具体的时间进行筛选，然后把提现的总金额进行提取…