0of_blog

某服务器被攻击者远程登录，系统管理员说攻击者删除了部分文件，安全工程师"墨者"对服务器上电子数据进行远程取证分析。有句话叫"智者千虑，必有一失"，攻击者删除的文件会在哪里呢？1、掌握系统隐藏文件的显示方法；2、了解Windows的NTFS分区文件系统Recycler的作用；显示系统隐藏文件，找到所在分区的Recycler文件夹。给出远程RDP服务的ip和端口，用自带远程桌面工具连接工具>文件夹选项，启用如下设置。再打开文件夹查看RECYCLER目录 点开，看到key......

获取服务器上的key1、使用远程连接工具；2、了解windows服务器；远程连接给出一个远程RDP协议的ip和端口，用Windows自带的远程桌面工具连接上去打开资源管理器，直接搜索KEY，就能看到所有含key的结果了。然后打开第一个，这就是我们要找的flag...

某公司运维人员在检测网站安全时，发现一个Google蜘蛛在爬网站，分析日志找到这个Google蜘蛛的IP地址。1、掌握分析日志数据的方法；2、了解Google蜘蛛UA；找到使用Google的IP地址。下载文件，是个apache的日志文件，用文本编辑器打开，思路是根据Google爬虫的UA来跟正常用户请求区分。直接搜索Google 答案就是210.185.192.212...

某公司安全工程师发现公司有黑客入侵并拖库的痕迹，你能帮忙找一下黑客拖库的IP地址吗？1、了解mysql日志结构；2、了解web日志结构；分析web日志和mysql日志，找出脱库者的IP。下载文件，解压压缩包，还是两个文件，一个是apache的日志，一个是mysql的日志用文本编辑器打开apache日志搜索sql，就是这个ip了：175.102.145.74...

某公司安全工程师发现公司有黑客入侵的痕迹，并更改了admin账户的密码，你能帮忙找一下更改admin账户密码的IP地址吗？1、了解MySQL日志结构；2、了解Web日志结构；分析MySQL日志和Web日志，找出更改密码的IP。下载文件...

近日一网站运维人员查看日志文件，发现有人对服务器做扫描攻击，请你帮忙找出这个IP地址。1、了解日志文件结构；2、掌握扫描攻击的特征；找出谁在频繁访问。下载文件，解压出来，是个apache log日志，用文本编辑器打开，既然是扫描攻击，那一定会有有连续大段的404，用HEAD方式提交的记录很可疑，就是它了：118.24.15.241...

某公司安全工程师在维护网站时发现有人对网站进行了SQL注入，分析日志找到该IP地址。1、了解SQL注入查询语句；2、掌握分析日志数据的方法；在服务器日志上找到SQL注入的时间再对应数据库时间找到注入IP地址。下载附件，解压出来，打开里面的的access.log 搜索SELECT，看到那行的163.53.64.48，就是这个了...

安全工程师“墨者”在维护日常网络时，发现有人对网站进行SQL注入，墨者导出了服务器日志，请你分析日志找到这个人的IP地址。1、了解日志分析方法；2、了解日志结构；3、了解日志的作用；根据提供的日志进行分析，找到IP地址，验证。下载文件，解压，是个log格式文件，随便用一个文本编辑器打开搜索select，看到一行，是它了103.8.68.129...

安全工程师“墨者”在维护日常网络时，发现有人对网站进行爆破，墨者导出了服务器日志，请你分析日志找到这个人的IP地址。1、了解日志分析方法；2、了解日志结构；3、了解日志的作用；根据提供的日志进行分析，找到IP地址，验证。/OA/login.php?a=login看到一个用户用POST对login页面连续发大量数据包。应该就是它了157.18.85.67...

附件：apache2.log下载一看，一堆乱码，看样子是base64编码写个python脚本解码一下import base64import reimport urllib.parselogs = ''with open('D:\\download\\ctf\\Apache2-hard.log', 'r') as f: for line in f.readlines(): re_b64 = base64.b64decode(line.encode()).de

下载附件，既然是系统光盘文件，尝试用DiskGenius打开看看里面的内容文件一团乱，进去看了好像什么都没有。试一下恢复文件有东西了，点进去看看找到flag看起来是base64，解码得到flag...

抓包工具打开，右键->追踪流->TCP流

下载附件web.pcap，用wireshark打开。注意到请求了一个文件key.zip准确来说是多个然后导出这些文件看看打开压缩包，发现存在密码继续找找成功打开压缩包KEY{ae73e96ab858095eaf1228b1499f8c33}...

下载附件，capture.log，直接打开是乱码。既然是流量分析题，那直接拖到wireshark打开。看到一大堆tcp和少量ICMP在进行一次连续的tcp之前一般会发一个icmp包过去，把过滤协议设置为icmp看到一共5个 request replay 请求响应来回但 192.168.0.1和192.168.0.254可以无视，因为这不太可能是主机发出来的。第四次攻击，所以就是flag{155989}...

下载日志，一堆404，估计是什么网站目录扫描工具在乱扫，任何在一堆404中翻到sqlmap的流量用python提取一下内容import urllib.parselogs = '''user=hence%27%20AND%20ORD%28MID%28%28SELECT%20IFNULL%28CAST%28secret%20AS%20CHAR%29%2C0x20%29%20FROM%20haozi.secrets%20ORDER%20BY%20secret%20LIMIT%200%2..

犯罪嫌疑人在作案的时候连接过一个FTP服务器，分析硬盘文件并找到这个FTP地址。

犯罪嫌疑人使用XP系统访问了一个不知名的网站，分析硬盘文件，找到这个网站。

犯罪嫌疑人在使用电脑时，登录过www.laifudao.com这个网站，分析硬盘文件并找到登录这个网站的用户名。

给出百度云地址，下载文件，是个7z压缩包里面是个img镜像，解压出来用AccessData FTK打开File -> Add Evidence Item...，选择打开image file看到目录文件，一般这个时候，会想着去看/etc/passwd文件，这里存着新建的用户信息直接看最后一个，e8gsgd45hd5s这个就是了...

给出百度云地址，下载文件，是个7z压缩包里面是个img镜像，解压出来用AccessData FTK打开File -> Add Evidence Item...，选择打开image file选择文件，点击Finish看到目录文件根据题目，我们要找的是MySQL的操作记录，这个日志文件存在于 ~/.mysql_history下，这里存折mysql命令操作的记录。题目是找到数据库被更改的记录。那就看到update语句update users.users ..

下载后是个7z压缩包，解压后是个img镜像还是用AccessData FTK打开File -> Add Evidence Item...，选择打开image file选择文件，点击Finish看到这么多目录文件，这次我们要找的是bash的执行历史记录，一般在用户家目录下。~/.ash_history打开这个文件看到关键的一行mysql -uroot -p79651eb2ebecae051这条命令就是用登录用户名为root的用户，-p后面的就是密码...

给出百度云地址，下载附件给出的是一个ssh1.img镜像还是用AccessData FTK打开File -> Add Evidence Item...，选择 Image File选择我们的文件地址。Finish我们要找的是ssh过的ip，那么首先要知道系统的日志是会记录在/var/log/messages的，那么我们去看看这个文件Nov 1 12:39:10 localhost auth.info sshd[3898]: Server listenin...

题目题解他给了一个百度云链接，下载解压后是一个E01文件先看一眼文件格式在这里，我们使用accessDate这个工具挂载image挂载到文件系统，进入E盘，先把隐藏的项目勾上然后就能看到隐藏的Application Data了看到用户头像，有那么几个lihua是一只都存在的，Users目录就看到了lihua这个目录，应该是使用过。而没有momo目录，说明应该是新建的。最后答案就是momo了...