ntrybw的博客

SELECT COUNT(DISTINCT o.uid) from (SELECT * FROM wp_bankinfo WHERE bankname = '中国工商银行') as b,(SELECT uid FROM wp_order WHERE option_name = '以太坊') AS o,WHERE b.uid = o.uid。感觉不一定对，然后又去看SSR，这个里面写的比较清楚，ssr也是翻墙，大意了。但是我找不到验证码，然后我用已经查询到的密码倒着查，发现。

好了，真实的手机备份在点奶里面，但是可能因为设置了密码，所以我什么东西都看不到，所以我们去解析这个，直接爆破奖励，好像是有一个什么五位数密码提示来着，但是爆破manifest.plist文件我记得确实一直都比较慢，我的4060最快146个每秒，还好这次出题方比较良心，就出5位数。20、检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

说一下这题的一个难点，如果时间去爆搜的话，会有很多结果，浏览器记录也有，什么都有，这题应该去理解，做法是去查找ip地址，然后去找ssh密匙文件，文件对应的时间才是最早的时间，如果盲目去看浏览器记录，最多得到2019-07-13 16:21:35 肯定是不对的。（这里要强调，时间输入后，点一下全部，或者personal那个才会生效，我搞了半天才搞懂，希望闭坑）题目不大，10G，我非常建议大家下载下来做一做，所有题目我都会认真写解答，题目很简单，我试试看能不能多解，给大家多种方案。看不到，要导出虚拟机。..

这份练习来自项师兄，我们湖南警官的新一代大佬向专家，我就向师兄讨要了检材一份，然后自己练习一下在csdn写一下我的刷题经历，如有错误，还请指正，另外可以看向师兄的微信公众号2023某省电子取证比武wp“ 参加比赛侥幸拿下第一，发一发复盘wp，大佬勿喷，如有错误请指出，祝大家中秋节\x26amp;\x26amp;国庆节快乐。”本文中的思这是师兄写的wp，水平当当然是比我高很多的，那么现在就开始练习了。

刚刚打完比赛，准备晚上写一下wp，刚好整理一下题目，ctf的题目一般都有，取证不一定，这里还是要感谢蓝猫，大规模取证题目，让警校大大获利，更加方便晋级。

目录前言：资源一次性分享 手机+电脑+exe+内存四个模块，我自己在网上也找了很久，才把资源找齐全，题目我也整理在这里，方便大家训练。四：网站取证模块。

每天的8：00-20：00，每隔30分钟赋予子目录chmod 755/var/opt/gl/下的bac.sh文件755权限,每天的8：00-20：00，每隔31分钟执行一次/var/opt/gl/bac.sh。看到xise webshell后门管理软件，看来这个人有很多网站的后门，然后我们去默认分组看一下，因为这里看到的都不是真正的，题目是问入侵这个网站。案例中，镜像为嫌疑人陈某的笔记本电脑硬盘镜像，虚拟机为该网站后台服务器，请对镜像和服务器进行分析，固定嫌疑人在离职前后的可疑痕迹。

进入服务器模块，这是一个kali，我们需要对kali系统进行解析，这个虚拟机无法直接打开，显示确实了文件，然后火眼也没解析，有一个源虚拟机，有一个快照，然后火眼可以仿真，但是仿真之后仿真的是快照，所以这个廖师兄本意想考文件结构，对kali系统文件结构是否了解决定了我们是否可以做出这个题目。这里虚拟机提示是少一个文件，然后我比赛时候的做法是把这个文件补进去，然后把虚拟机修好了，其实师兄的建议是直接把快照删了，因为本来就是没有快照的，就是把vmsd删掉，就可以正常打开了。因此，计算机上一个簇的确切大小。

经询问，张某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终张某不堪重负，选择了报警；我这个是连接ssh的，操作方便很多，在虚拟机里面搞事情过于麻烦，不知道怎么连接，可以看我的另一博文，清楚讲述了怎么连接。当然这个链接鬼问题也很多，我个人建议多尝试一下，大不了重开，就会找到好办法的，多试试代码就全部背下来的。使用宝塔链接就ok，在宝塔链接的时候，我建议修改密码，改成123456，因为不知道为什么，用原来的密码我就是进不去，心态崩了。

1：BOOTPROTO那个如果后面是steady就说明网卡会严格按照此处ip进行访问，为了让我们可以连接上，一般都是吧bootroto后改成dhcp。查看inet地址，这个地址修改完成后就是你电脑的ip，稍微变化一点，如果没有修改前不是这样的。这个改好后的地址，等会链接ssh要。其实到这里就可以链接了，但是为了保险起见，我们可以关闭防火墙和打开ssh两个操作。如果链接不来，就点击新建会话，（就是链接名字）多点几次就会跳出来登录界面。3：GATEWAY代表了，我也不知道，但是就是要删掉，注释掉#

很多时候passware的默认爆破我认为是存在一点问题的，就是字典添加问题，虽然passware还是可以很灵敏的爆破很多组合，是世界上最好用的爆破软件，但是想自己添加字典还是有一点问题的，所以在我摸索了很久之后，我在这里分享一下我添加字典的教程。第四部：点击增加字典，选择第三，complie from file。第六步：可以使用自己的字典 ，找到字典，新建攻击就可以啦。第五步：所有√都不要，就打keep的√。第一步：选择第三种恢复方式，自定义设置。第三部：选择打开字典管理器。然后一路下一项就可以了。

赵某是某国家重要机关技术人员，由于沉迷网络赌博，被境外敌特份子利用将工作中技术文档转卖到境外非法获利数千元。2020年11月份被抓获，从其所随身携带的电脑中获得一个硬盘镜像。据掌握的嫌疑人聊天内容知，案件相关数据分散在电脑中的各个位置，现需要调查员对该嫌疑人电脑进行勘察，找到相关线索（竞赛中以FLAG形式留存在电脑中）。PS:警方从嫌疑人所持手机中，发现了案件相关的聊天记录，具体内容如下：B：是赵老嘛？我是寒号鸟。Z：鸟哥好。B：听说你最近需要用钱，什么事可以跟哥讲。

由于题目特殊，内部试题，检材必须私信我才能给，见谅见谅，真的是没办法，抱歉抱歉。案情一：警方收到受害者 A 报案称，其电脑感染勒索病毒，重要文件被病毒加密；经询问，A 称他在上网时，发现了一个帖子，其中有教程和“梯子”工具可以让他很方便的浏览境外网站，当他安装完成后，通过浏览器打开 google 网站后跳转到了一个色情网站，没有禁受住诱惑，A 点击了网站上的视频，播放视频需要下载播放器，当他下载完成并运行后，发现电脑重要文件被加密；