2024数证杯初赛

容器密码：

/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;

计算机取证

对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)

2024-10-25 22:57:32

对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)

24

对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)

42

对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)

5.86

对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)

E:

对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)

192.168.43.1

对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)

192.168.188.1

对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)

10887AE1

对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)

12849

对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)

对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)

6409

对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)

2019

对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)

39.108.126.128

对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)

HQSM#20231108@gwWeB

对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分)

jlb654321

对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为？（答案格式：/abc123） (2分)

c38b336a

对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写） (2分)

jlb1998

xway暴搜可以搜出jlb1998

可以按逻辑验证一下

　\panel\class\safe_warning

jlb1998

bce05308172e651dabbcb1e6b389a7ef

也可以使用掩码爆破

from hashlib import md5

def md5sum(s):
    _md5 = md5()
    _md5.update(s.encode('utf-8'))
    return _md5.hexdigest()

def bt_hash(password):
    md51 = md5sum(password)
    pwd_hash = md5sum(md5sum(md51+'_bt.cn'))
    return pwd_hash

print(bt_hash("jlb1998"))
#93c35e3af4cfe9a3d19de72d4dce3337

对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为？（答案格式：abcd） (2分)

igmxcdsa

对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)

给虚拟网卡ssh连接

对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)

17859628390

/www/server/panel/data/userInfo.json

对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)

123456

对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)

3306

这么做不严谨 但是快

接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)

a_train2023

数据库免密登录

接上题，“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为？（答案格式：1234.56） (4分)

6610.94

对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234） (2分)

2

fat32分区的引导扇区被填0，ntfs分区的引导扇区被填255

对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234） (2分)

1

使用DiskGenius查看

打开虚拟磁盘文件-恢复丢失文件 然后就识别了

或者搜索fat表头F8FFFF(F3继续搜索)

对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

512

或者

对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

7345

保留扇区=fat扇区位置-起始扇区位置

或者

搜索fat表头F8FFFF

9393-2048

对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

9393

个人认为相对于整个磁盘应该是9393 相对于分区应该是7345

对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

39082

八个扇区=一个簇

对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区？（请使用十进制数方式填写答案，答案格式：1234） (4分)

8

对U盘镜像进行分析，请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个MD5值的两部分信息，并写出该MD5值的第13–20位字符串。（答案格式：大写字母与数字组合，如：D23DDF44） (4分)

d668aee2

都发现一张文件头损坏的照片,导出补全即可

手机取证

对手机镜像进行分析，机主微信ID号为？（答案按照实际填写，字母全小写） (2分)

wxid_gvlyzqeyg83o22

对手机镜像进行分析，机主在2023年12月登录宝塔面板使用的验证码为？（填写数字，答案格式如：1234） (2分)

482762

对手机镜像进行分析，小众即时通讯“鸽哒”应用程序的最后更新时间为？（答案格式如：1970-01-01 00:00:00） (2分)

2024-09-20 10:06:13

对手机镜像进行分析，该手机中记录的最后一次开机时间。（答案格式如：1970-01-01 00:00:00） (2分)

2024-10-24 11:27:14

对手机镜像进行分析，该手机中高德地图APP应用的登录ID为？（答案按照实际填写） (2分)

950980338

对手机镜像进行分析，该手机中高德地图APP应用登录账号头像的SHA-256值前8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

8AFF7346

对手机镜像进行分析，其中20220207-20230206的微信账单文件的解压密码为？（答案格式：按实际值填写） (2分)

102447

对手机镜像进行分析，机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市？（答案格式：北京市） (2分)

景德镇市

对手机镜像进行分析，通过AI合成的人脸照片中，有几张照片是通过本机当前安装的AI照片合成工具生成，并有对应记录的？（填写数字，答案格式如：1234） (4分)

3

对手机镜像进行分析，统计出通讯录号码归属地第二多的省份是？（答案格式：广东） (4分)

福建

搓一下

import pandas as pd
file = "./page_1.csv"
df = pd.read_csv(file)


df['test'] = df['归属地'].str.split('，').str[0]
a = df.value_counts('test')
print(a)

对手机镜像进行分析，找出“季令柏”身份证号后4位为？（答案格式：1234） (2分)

8043

补全

对手机镜像进行分析，找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为？（答案格式如：1970-01-01 00:00:00） (2分)

2024-09-20 09:29:40

对手机镜像进行分析，机主使用的小众即时通讯应用使用的服务器IP为？（答案格式：127.0.0.1） (2分)

163.179.125.64

对手机镜像进行分析，机主在哪个平台上发布过转让传奇游戏币的信息，请写出该平台应用APP的包名？（答案格式：com.abcd） (4分)

com.jiuwu

对手机镜像进行分析，其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少？（填写数字，答案格式如：1234） (4分)

3000

https://www.lottery.gov.cn/dlt/index.html

https://www.lottery.gov.cn/jc/index.html

https://www.lottery.gov.cn/cz/index.html

https://www.lottery.gov.cn/xdgg/

https://www.lottery.gov.cn/plwf/index.html

https://www.lottery.gov.cn/qxc/index.html

https://www.cwl.gov.cn/fcpz/yxjs/ssq/

https://www.cwl.gov.cn/fcpz/yxjs/ggl/

https://www.cwl.gov.cn/fcpz/yxjs/fc3d/

https://www.cwl.gov.cn/fcpz/yxjs/kl8/

对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的用户ID为？（答案格式：答案按照实际填写） (2分)

2968704175

对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的IP地址为？（答案格式：127.0.0.1） (4分)

192.168.110.106

数据分析

对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？（答案格式：1234） (4分)

1173

对计算机，手机，U盘镜像检材综合分析，写出存储的“带彩计划.txt”文件的SM3哈希值前8位；（大写字母与数字组合，如：D23DDF44） (2分)

AF30FFA1

对计算机，手机，U盘镜像检材综合分析，写出存储的“Shakepay买币，提币流程.ppt”文件在当前分区的起始簇号；（填写数字，答案格式如：1234） (4分)

44378

丢个xway进去

对计算机，手机，U盘镜像检材综合分析，写出存储在手机中，用于访问钱包地址的网站登录密码；（答案按照实际填写，字母全大写） (4分)

X29772024

对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址的前8位；（答案格式：abcd1234） (4分)

0x91cCcA

对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址私钥的前8位；（答案格式：abcd1234） (4分)

e87dca4c

对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为？（答案格式：汉字） (2分)

龍行天下

密码在前面的照片里有两个的，然后最后一个爆破一下就知道了

# encoding: utf-8
# @Author: yiyi
# @Date: 2024/11/19
import pandas as pd
pd.set_option('display.max_columns', None)  # 显示所有列
pd.set_option('display.max_colwidth', None)  # 显示每列完整内容
pd.set_option('display.width', 1000)  # 设置显示的宽度，避免自动换行


file = "./output.csv"
df = pd.read_csv(file)

zhuanchu = df[df['存取类型'] == '转出']

result = zhuanchu.nlargest(3, '交易金额')

print(result)

对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为？（填写数字，答案格式如：1234） (2分)

501661

# encoding: utf-8
# @Author: yiyi
# @Date: 2024/11/19
import pandas as pd

file = "./output.csv"
df = pd.read_csv(file)
filtered_df = df[df['存取类型'] == '转出']

result = filtered_df.groupby('对方卡号').agg({'交易金额':'sum'}).sort_values(by='交易金额', ascending=False)

print(result)

对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为？（填写数字，答案格式如：1234） (2分)

这题感觉题目有点表述不清 不知道在问干嘛。。

对数据分析检材中的第01-数据进行分析，办案人员从多个赌博网站中导出了100多份的报表，请统计出所有平台会员使用本币充值的总金额是多少？（答案格式：仅数字，结果不保留小数） (2分)

17188564

import pandas as pd
import os

file_dic = 'Z:/检材 数据分析/01-数据'
sum = 0
for filename in os.listdir(file_dic):
    if filename.endswith('.csv'):
        file_path = os.path.join(file_dic, filename)
        try:
            df = pd.read_csv(file_path, encoding='utf-8')
        except UnicodeDecodeError:
            try:
                df = pd.read_csv(file_path, encoding='gbk')
            except UnicodeDecodeError:
                df = pd.read_csv(file_path, encoding='utf-16')


        if df.shape[1] > 0:
            for value in df.iloc[:, 0]:

                parts = value.split(',')
                if len(parts) >= 4:
                    result = parts[3]
                    print(result)
                    if result == "比特币钱包转账" or result =="以太坊钱包转账":
                        sum += 0
                    else:
                        sum += int(result)
print("sum="+str(sum))

对数据分析检材中的第02-数据进行分析，办案人员在电脑中找到多个赌博网站的交易流水报表，每个报表都是以网站编号和年份命名，每个月独立生成一个sheet页。请统计出所有的交易流水总金额是多少？（答案格式：：123456） (2分)

49149232

import os
import pandas as pd

folder_path = r'Z:\检材 数据分析\02-数据'

total_amount = 0

for file_name in os.listdir(folder_path):
    if file_name.endswith('.xlsx'):
        file_path = os.path.join(folder_path, file_name)

        xls = pd.ExcelFile(file_path)

        for month in range(1, 13):
            sheet_name = f"{month}月"

            df = pd.read_excel(xls, sheet_name=sheet_name)

            if '收支金额' in df.columns:
                print(df['收支金额'])
                total_amount += df['收支金额'].sum()


print(total_amount)

对数据分析检材中的第03-数据进行分析，请从赌博平台的用户登录日志表中，统计出2020年1月1号至2020年6月30号，总共有多少位会员登录了该平台？（答案格式：123456） (2分)

对数据分析检材中的第03-数据进行分析，通过还原赌博平台数据库备份文件，请统计用户投注总次数前5的彩种开奖总次数？（涉及的数据库表：ssc2022_bets，ssc2022_data）（答案格式：123456） (4分)

对数据分析检材中的第03-数据进行分析，请统计出在不止一种彩种上进行过投注的用户数量，并计算他们在2018年一共涉及了平台多少流水？（答案格式：保留三位有效数字，如：123.123） (4分)

服务器取证

data和system分别仿真

对服务器检材进行分析，站点服务器可能是从哪个云服务平台上调证过来的？（填写汉字，答案格式：亿速云） (2分)

阿里云

对服务器检材进行分析，站点服务器中数据库的密码是？（按实际值填写） (2分)

Sxy000**

站点服务器和数据服务器都有mysql，数据服务器的数据库在docker中

站点服务器可以看jar包

这里可以看到激活的sxj的配置

对服务器检材进行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper） (4分)

consul

对服务器检材进行分析，站点服务器数据库配置文件名是？（答案格式：database.php） (2分)

application-sxj.yaml

见第二题

对服务器检材进行分析，该网站涉及的APP名称是？（答案格式：微信） (2分)

顺心借

对服务器检材进行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格式：按实际值填写） (2分)

EuZJybzD

对服务器检材进行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格式：3306） (2分)

5672

对服务器检材进行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式：LoginIndex.class） (4分)

MobileStatusTask.class

对服务器检材进行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：LoginIndex.class） (4分)

AdminIndexConller.class

对服务器检材进行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd） (2分)

f29ed5

[root@localhost ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
mysql        8.0.39    23b013c7c67d   3 months ago   572MB

对服务器检材进行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1） (2分)

2.27.1

对服务器检材进行分析，数据库服务器中用于存储后台登录账号的数据表名是？（答案格式：login） (2分)

sys_user

添加用户

改密码
docker exec -it f2 sed -i '/\[mysqld\]/a skip-grant-tables' /etc/my.cnf
docker restart f2

docker exec -it f2 mysql -uroot

FLUSH PRIVILEGES;
ALTER USER 'root'@'localhost' IDENTIFIED BY '123456';
ALTER USER 'root'@'%' IDENTIFIED BY '123456';
FLUSH PRIVILEGES;

CREATE USER 'sxy'@'%' IDENTIFIED WITH mysql_native_password BY 'Sxy000**';  
GRANT ALL PRIVILEGES ON sxj_prod.* TO 'sxy'@'%';
FLUSH PRIVILEGES;

quit

docker exec -it f2 sed -i "s/skip-grant-tables/ /" /etc/my.cnf
docker restart f2

开启general.log
docker exec -it f2 mysql -uroot -p123456

set global general_log = ON;
set global general_log_file='/tmp/general.log';

启用管理员账号
UPDATE sxj_prod.sys_user SET state = 0 WHERE id = 23;

quit

docker exec -it f2 tail -f /tmp/general.log

这里我遇到了一个问题

本来用的CREATE USER ‘sxy‘@’%’ IDENTIFIED BY ‘Sxy000**’;

改成CREATE USER ‘sxy‘@’%’ IDENTIFIED WITH mysql_native_password BY ‘Sxy000**’; 就解决了

来自范老师

数据库中大部分管理员用户处于未启用状态 将其启用（state=0）

对服务器检材进行分析，后台管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188） (2分)

19521510863

对服务器检材进行分析，用户首次借款初始额度是？（填写数字，答案格式：1） (2分)

4000

对服务器检材进行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1） (2分)

1857

数据库按理说应该都能做，但是烦

尝试网站重构，但是难

首先启动rabbitmq

systemctl start rabbitmq-server

报错

日志显示主要问题是 epmd_error，这通常表明 Erlang 分布式节点管理器（Erlang Port Mapper Daemon, epmd）无法正常启动或无法解析主机名。

[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# cat /etc/hosts
127.0.0.1       localhost       localhost.localdomain   localhost4      localhost4.localdomain4
::1     localhost       localhost.localdomain   localhost6      localhost6.localdomain6
172.20.148.2    iZbp1gma2uf9hvsnbu9mdkZ iZbp1gma2uf9hvsnbu9mdkZ

修改hosts指向

[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# sed -i 's/172.20.148.2/127.0.0.1/g' /etc/hosts
[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# echo 192.168.160.150 rm-bp18td28bsh13f5jy.mysql.rds.aliyuncs.com >> /etc/hosts
[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# systemctl start rabbitmq-server
[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# 

使其能ping通

在源码中发现ip为47.96.140.186，将其改为systen的ip

[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# cd /www/admin/ 
[root@iZbp1gma2uf9hvsnbu9mdkZ admin]# find ./ -type f -name '*.js' -exec sed -i 's/47.96.140.186/192.168.160.5/g' {} +
[root@iZbp1gma2uf9hvsnbu9mdkZ admin]# systemctl start rabbitmq-server

启动服务

[root@iZbp1gma2uf9hvsnbu9mdkZ admin]# cd /root/ && ./consul.sh
[root@iZbp1gma2uf9hvsnbu9mdkZ ~]# cd /data && sh jar.sh
准备停止进程
 没有发现需要停止的进程
停止进程完毕
开始启动进程
starting java process
started java process
启动进程完毕
开始启动进程心跳检查
checking http://127.0.0.1:8082/health/check
Wait app to pass health check: 1...
Wait app to pass health check: 2...
Wait app to pass health check: 3...
Wait app to pass health check: 4...

这里我的一直报错 咨询了范老师得知脚本的问题，实际8082端口已经启动，可以查看日志确认

添加验证码

[root@iZbp1gma2uf9hvsnbu9mdkZ script]# redis-cli -a Sxy000**
Warning: Using a password with '-a' or '-u' option on the command line interface may not be safe.
127.0.0.1:6379> SET ADMIN-PHONE18888888888 1234
OK
127.0.0.1:6379> EXPIRE ADMIN-PHONE18888888888 600
(integer) 1
127.0.0.1:6379> 

对服务器检材进行分析，该平台中所有下单用户成功完成订单总金额是？（填写数字，答案格式：1） (2分)

11066700

对服务器检材进行分析，该平台中逾期费率是？（答案格式：1.1） (2分)

0.1

对服务器检材进行分析，该平台中累计还款总金额是？（填写数字，答案格式：1） (2分)

10194700

对服务器检材进行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1） (2分)

18

对服务器检材进行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1） (2分)

131

SELECT COUNT(*) FROM channel_data WHERE status=1;

对服务器检材进行分析，该平台对已完成用户收取了总计多少元服务费，结果精确到整数？（填写数字，答案格式：123） (2分)

4051915

程序功能分析

笔者不会逆向 静等佬们的wp

对exe程序检材进行分析，计算程序的MD5（128bit）校验值的最后八位是？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

3cdd7939

对exe程序检材进行分析，找出其释放的可执行程序的路径？（答案格式：D:\Document\Aaaa） (2分)

C:\Program Files\Microsoft Office\Office15\WORDICON.EXE

对exe程序检材进行分析，找出其启动释放的可执行程序时命令的最后一个参数是什么？（答案格式：按实际值填写） (2分)

这个程序运行发现是没反应的 要么就是窗口最小化 要么就是写了一个退出的指令 这里就是隐藏窗口 改成SW_SHOWNORMAL 再次运行

对exe程序检材进行分析，该程序在执行时，会解密并写入一段字节码到Chakra模块的一个特定导出函数的内存地址中，以此来伪装调用的目的，请给出这个导出函数的名称？（答案格式：按实际函数名称填写） (2分)

对exe程序检材进行分析，请问Chakra模块的代码段被修改了多少字节（答案格式:0x1122） (2分)

对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且_IMAGE_NT_HEADERS头部的PE签名已经被修改，请给出修改后的签名值（答案格式：0x11 0x22） (2分)

对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且节区数据被加密，请分析给出解密第一个节区时使用的秘钥（答案格式：0x1B 0x22 0x33 0x4A） (4分)

对exe程序检材进行分析，这份字节码数据解密前的密文第一个字节是什么（例如:0x1B） (4分)

分析检材APK中检材-01.apk，获取其md5（128bit）校验值的后八位？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

ceaebf87

分析检材APK中检材-01.apk，请写出app的包名？（答案格式：com.xxx.xxx） (2分)

com.changbo.pro

接上题，请给出app的加固方式；（答案格式：梆梆） (2分)

360加固宝

接上题，请给出app启动时主页面显示的activity名称；（答案格式：com.xxx.xxx.Mainactivity） (2分)

com.changbo.pro.ui.splash.SplashActivity

分析检材APK中检材-01.apk，请给出加密的访问地址的数据是？ (4分)

分析检材APK中检材-01.apk，请给出解密后的域名为？（答案格式：需要加上端口号，如：http://tieba.com:6666） (4分)

接上题，请给出解密调用的so的名称；（答案格式：abc_amm） (4分)

对检材APK中检材-02.apk分析，获取其中的flag；（答案格式：flag{ISEC-C6d-ddd-7gd}） (4分)

对检材APK中检材-03.apk分析，获取其中的flag；（答案格式：flag{ISEC-C6d-ddd-7gd}） (4分)

网络流量分析

分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10） (2分)

3504

分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32） (2分)

23F79

分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1） (2分)

192.168.75.131

分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu） (2分)

Ubuntu

分析网络流量包检材，攻击者使用的端口扫描工具是？（小写字母，答案格式：abc） (2分)

nmap

分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？（答案格式：1.1.1） (2分)

3.1.0

分析网络流量包检材，攻击者通过目录扫描得到的 phpliteadmin 登录点是？（答案格式：/abc/abc.php） (2分)

/dbadmin/test_db.php

分析网络流量包检材，攻击者成功登录到 phpliteadmin 时使用的密码是？（答案格式：按实际值填写） (2分)

admin

GET后面三个POST，查看最后一个

分析网络流量包检材，攻击者创建的 phpinfo 页面文件名是？（答案格式：abc.txt） (4分)

demo.php

分析网络流量包检材，攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是？（答案格式：abc.txt） (4分)

rev.txt

分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234） (4分)

192.168.75.132:30127

见上题

分析网络流量包检材，攻击者电脑所使用的Python版本号是？（答案格式：1.1.1） (2分)

3.11.8

分析网络流量包检材，受害者服务器中网站所使用的框架结构是？（答案格式：thinkphp） (2分)

wordpress

tcp.port==30127

分析网络流量包检材，攻击者获取到的数据库密码是？（答案格式：大小写按实际值填写） (4分)

sWfCsfJSPV9H3AmQzw8

分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，上传时所使用的端口号为？（答案格式：3306） (2分)

2000

分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，该木马第一次执行时获取到的缓冲区内容是？（答案格式：按实际值填写） (4分)

参考

weevely的webshell分析以及冰蝎/蚁剑免杀-PHP版_两重明文混淆webshell-CSDN博客

57638

查看传入了什么东西

http.request.method==POST

dzINRguo2g6mkn7ycbbf9691e009G6qySnpJ5R9MGWZlPaU0PQ==85a89e92c410

}HWf-=PXe:{?M .cbbf9691e009G6oSLRxP/R/pGStI+Uod+a99tlXh0UF4rX6oSeM14GO0YjJOGa/7G7JGKSocLBl/sua10TdliO9zvQ85a89e92c410f_OUraaYXp_&IVH4