本文详细解析了2021年美亚杯网络安全竞赛中的一系列问题,涵盖了从电子邮件、浏览器记录、文件加密、恶意软件分析、移动设备、无人机、矿机等多个方面的取证分析。通过对各种日志、文件、系统信息的深入挖掘,揭示了网络攻击的手段、目标和影响,展示了全面的数字取证技术在实际案例中的应用。
写了好几天,终于把这个2021美亚杯团赛wp完成了,总的来说,今年是第一次参加美亚杯,感受到了什么是取证的大比赛,感谢我的队友 @P!的倾囊相助(哈哈哈)。
整体下来有种剧本杀的感觉!!!
wp中有个人不成熟的见解,还有几个疑问,希望与师傅多多交流。
明年再战!!!!!!
目录
staff_a
1、【填空题】工地职员 A 计算机的修复密钥标识符是什么?(请以
代写英文字母和数字输入答案,不要输入-)(1分) 230C1BB3106A4E4EBF5D3D10961585D4
取证大师取过之后观察到staff_a的电脑的E盘被bitlocker加密了
右击点击bitlocker解密:
得到恢复标识符230C1BB3-106A-4E4E-BF5D-3D10961585D4
2、【填空题】工地职员 A 计算机的修复密明解除定是什么?(情以数字输入答案,不要输入-)(1分)
483714461582060962373351019646502348309628684431
然后想到个人赛的时候ftp服务器里面还有两个bitlocker的秘钥文件
对应一下staff_a的标识符,看一下内容得到秘钥:
483714-461582-060962-373351-019646-502348-309628-684431
3、【单选题】工地职员 A的计算机被什么程式密?(1分)
A.Ransomware
B.BitLocker
C.AxCrypt
D.PGP
E.FileVault 2
解密成功
由1,2题不难得出是bitlocker加密
4、【单选题】工地职员A的孩子有可能正准备就读什么学校?(2分)
A.小学
B.中学
C.幼儿园
D.大学
这个题当时写的时候就突发奇想,就觉得如果他的孩子在上学他应该会在网上搜索学校信息或者登录报名网站给孩子报名,然后就看一下staff_a的浏览器搜索记录
在谷歌浏览器的搜索记录里面找到了他曾浏览过 黄大仙幼稚园,故他的孩子应该准备上幼稚园
所以这道题的答案是c
5.【多选题】工地职员A并没有打开过那一个档案?(2分)
A.Staff3.xlsx
B.Staf4.xisx
C.Slaf1. xisx
D.Staf2.xisx
E.BTC address.bmp
这个直接到用户痕迹的最近访问记录里面看最近访问的文档即可
对比选项选择ABCD
6、【填空题】工地现员 A 的计算机被远程控制了多少分钟?(请以阿拉伯数字回答)(2分)
11
由个人赛得知staff_A的电脑是通过teamviewer控制的,所以在证据文件中找到teamviewer看一下:
用结束时间减去开始时间为11分钟16秒,只取分钟只有11分钟
7、【单选题】工地职员 A 的计算机被加密后,被要求存入的虚拟货币是什么?(1分)
A 比币现金
B 比特币
C 以太币
D 达币
他曾经浏览过比特币的网址,再结合个人赛的工地主管的聊天记录,推断是比特币
8、【填空题】在工地职员 A 的计算机曾经打开过的 Excal 档案中,有多少人有可能在法律部门工作?(请以阿拉伯数字回答)(1分)22
在最近打开中发现staff_a打开过的excal文件只有staff1.xlsx
在解密后的E盘中打开
看post的人在legal的有多少个,共有22个
staff_b
9、【多选题】工地职员B的计算机在什么日期和时间被黑客控制?(2分)
A .2021—10—19
B .2021—09—16
C .11:16:41(UTC + 8:00)
D .05:55:50(UTC + 8:00)
E . 18:40:06(UTC +8:00)
看一下远程连接记录:
然后日期这个好像是题不吧,时间只有E选项在被控制的时间内(这道题俺也不是太确定)
10 . 【填空题】工地职员 B 的计算机的MAC Address 是什么?(请以大写英文及数字不要输入-)(1分) 000C29E2532D
在网络适配器中找到本机的物理Mac地址
00-0C-29-E2-53-2D
11 . 【填空题】工地职员 B 的计算机户FaFa的Profile ID 是什么?(请以大写英文及数字输入答案,不要输入-)(1分) S15211634007002120346002840274508681001
profile id(产品ID)在系统信息中:
S-1-5-21-1634007002-1203460028-4027450868-1001
12 . 【填空题】工地职员B办公室计算机的 Windows CD Key 是什么?(请以大写英文及数字输入答案,不要输入-)(1分)
仿真出来win+r 输入 regedit去到注册表
然后在目录下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion找到SoftwareProtectionPlatform找到BackupProductKeyDefault双击
弹出编辑字符串窗口
下方的数值数据即为windows的激活密钥即为CDKEY
或者直接用x-ways一跑就出来了
13 . 【单选题】检查过工地职员 B 的计算机登录档案后( Wndow Registry ),计算机感染了什么恶意软件?(1分)
A . Adware
B . Worms
C . Rootkits
D .没有感染任何恶意软件
直接火眼仿真的时候扫描一下,发现无任何威胁很安全
14 . 【单选题】工地职员 B 的计算机中被加密便盘内的图片”_120778782_58759559.jpg”,有可能是从下列哪个途径载入计算机?
A .电邮下载附件
B . USB
C . 网上下载
D . 蓝牙传入
E . Direct-Link
在ftp服务器上得到的bitlocker恢复秘钥还剩一个 575025-204820-336325-067067-589996-389829-603361-712272,恢复E盘(然后后面好几题就能做出来了)
既然是下载那么就去download里面寻找,最后在Google里面的下载记录中找到该图片
或者 仿真出来直接在浏览器中看到
15 . 【多选题】工地职员B的计算机中被加密硬盘内的图片中,人物中农着有什么颜色?(2分)
A . 黄色
B .红色
C .紫色
D . 蓝色
E . 绿色
仿真出来之后直接查看
16、【填空题】工地职员 B 的计算机有多个磁盘分区?(请以阿拉伯数字输入答案)(1分) 5
看磁盘分区就行五个
17、【填空题】工地职员B的计算机硬盘分割表是什么?(答案请以首字母大写作答)
仿真出来直接看
18、【填空题】在工地职员 B 的计其机 Event Log 中最后登入时 services .exe的Prccess ID是什么?(请以阿拉伯数字输入) (3分) 1833
在系统日志应用程序里可以找到
19、【填空题】什么IP曾经上传档案到网页服务器?(请以数字输入答案,不要输入-)(1分)
20314594120
通过看Apache日志发现上传文件的ip为203.145.94.120
Webserver
20、【多选题】承上题,以下哪试档案曾被上传到网页服务器?(3分)
A .kjk2.jpg
B kjk2.php
C b6778k-9.0.php
D b374k-2.5.php
E d374k-2.5.php
看阿帕奇日志
然后其他两个找不到
21、【单选题】入侵者可能使用甚么漏洞进行入侵网页服务器?(1分)
A .文件上传漏洞
B SQL 注入
C 跨站脚本攻击
D 格式化字将串弱点
由上边和这个upload 很容易判断出是文件上传漏洞
22、【多选题】在网页服务器得到的所有文件档( doc 及 doex )中,有以下哪些文件制作人(Author) ?(2分)
A. Kevin L.Brown
B Peter R.Lee
C Mary
D May
E Colin
这个我当时是仿真出来看了,直接-*.doc和*.docx过滤
直接小程序取证也行
23、【多选题】在网页服务器中,哪个是可疑档案?它如何眼得计算机控制权?(3分)
A 可疑档案:b677Bk—9.0.php
B .可疑档案:b374k—25. php
C.可档案: upload.php
D 透过浏究器远程管理取得计算机控制权
这个很多很可疑 打开看看
有一句话木马的关键字eval
网上搜索这个PHP文件发现和webshell有关,故应该是获取远程控制权限
24、【填空题】在网页服务器中,运行可疑档案需要密码,其密码的哈希值( Hash Value )是甚么?(请以英文全大写及阿拉伯数字回答)(3分)0DE664ECD2BE02CDD54234A0D1229B43
仿真出来或者直接在取证大师里导出查看b374k-2.5.php源文件
发现哈希 :0de664ecd2be02cdd54234a0d1229b43
25、【单选题】在网特服务器中,可疑档案的译码函数是什么?(2分)
A . unzip _ file (’$x,$y')
B . gzdccode (base64 decode ($x))
C . gzinflate (base64_ decode ($x))
D .以上皆否
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
