2023年首届盘古石杯全国电子数据取证大赛技能赛决赛(流量部分)
2023年首届盘古石杯全国电子数据取证大赛技能赛决赛(流量部分)
1、计算流量包文件的SHA256值是?[答案:字母小写][★☆☆☆☆]
2、流量包长度在“640-1279”之间的的数据包总共有多少?[答案:100][★☆☆☆☆]
陇剑杯考点,拿到手先解密
1 | (frame.len >= 640)&&(frame.len <= 1279) |
或者
3、黑客使用的计算机操作系统是?[答案:windows7 x32][★★☆☆☆]
做这类题我喜欢先把流量大致过一遍
1 | http and urlencoded-form |
这样筛一遍,有特征最好,没有特征也问题不大
黑客的ip应该是192.168.100.141
计算机操作系统跟UA相关,随便追踪一个
4、黑客上传文件到哪个网盘?[答案:xx网盘][★★☆☆☆]
明显百度网盘,如果你会用科来的话直接一把梭了
5、黑客上传网盘的中间件是?[答案:xxxx][★★☆☆☆]
了解一点linux加固的知识就知道,响应头里会暴露中间件的信息
6、黑客首次登陆网盘时间是?[答案:2000-01-01 01:00:33][★★☆☆☆]
1 | http contains "pan.baidu.com" && http.request.method=="POST" |
7、黑客上传到网盘的txt文件的md5值是?[答案:字母小写][★★★☆☆]
1 | http and urlencoded-form |
前面的大致浏览就发挥了作用,看见过传输了什么文件
1 | http contains "dic.txt" |
8、黑客上传到网盘的txt文件第8行的内容是?[答案:XXX][★★★☆☆☆]
请求体和请求头之间只空一行,所以是$$
9、被入侵主机的计算机名是?[答案:XXXXXXXXXXX][★★★☆☆]
做到这里我其实不是很了解被入侵主机是哪一台,但是做到后面ftp的时候明了了
10、被入侵电脑的数据回传端口是?[答案:11][★★★☆☆]
见后
11、流量包中ftp服务器的用户密码是?[答案:abcd][★★☆☆☆]
算登录成功那次,是ftp
12、流量包中ftp服务器中的木马文件的md5值是?[答案:字母小写][★★☆☆☆]
木马是setup.exe,追踪一下
PE文件的特征
保存完直接给我杀了……
网安一哥的图标,难崩
13、木马文件伪造的软件版本是?[答案:0.0.0.0][★★☆☆☆]
这时候我们再梳理一下关系
黑客192.168.100.141通过ftp服务给192.168.100.139传了一个马,要判断主机名,我们可以对192.168.100.139进行一个爆搜
DHCP完整过程详解及Wireshark抓包分析 - Wendy_r - 博客园 (cnblogs.com)
扔给沙箱,可以发现回连端口
14、黑客上传到网盘的压缩包解压密码是?[答案:XXXXXXXXXXX][★★★★★]
1 | http and urlencoded-form |
发现有三个文件上传
dic.txt pass.jpg flag.rar
逐一导出,我选择手搓
痛苦
一开始我以为是爆破,但是没找到,考虑隐写
1 | JPG/JPEG:SilentEye, steghide, outguess, jphide, F5-steganography, JSteg, Free File Camouflage, DeEgger Embedder, OurSecret |
15、黑客上传到网盘的压缩包内文件的内容是?[答案:xxxxxxx][★★★★★]
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 本光!
评论