【综合应急】单机取证

原创 已于 2025-12-03 17:40:28 修改 · 659 阅读 · 4 ·
CC 4.0 BY-SA版权
CC BY-NC 4.0
文章标签:

#应急响应 #单机取证 #CTF #Solar应急响应 #密码破解 #sqlserver

于 2025-12-03 17:39:41 首次发布

文档说明

本文作者:SwBack
创作时间:‎2025年‎12‎月03日,17:40:30
知乎:https://www.zhihu.com/people/back-88-87
优快云:https://blog.youkuaiyun.com/qq_30817059
百度搜索: SwBack
转载请备注来源

题目说明

起因:某某文化有限公司的服务器被攻击了,领导说找不出来原因就炒小王鱿鱼,请你拯救小王的运维生涯。

本题目来源于2025年Solar应急响应2月月赛
链接: https://pan.baidu.com/s/1M7qxyoNsifSAPdjbA1edGg?pwd=vvcb 提取码: vvcb
单机取证题目附件解压密码:yFdmQzFGuk
VMDK修复题目附件解压密码:8YQ5r8N7fj

解题过程

题目格式转换

  1. 下载下来是e01文件,通过FTK转换为raw
  2. 通过qemu 转化为vmdk ,虚拟机打开

题目一:攻击者利用的漏洞编号

帮助小王找到是什么漏洞导致了小王的运维生涯受到了打击?(回答攻击者利用的漏洞编号)
服务器密码:Admin!@#45lko
flag格式为:flag{CNVD-20xx-12xxx}

打开桌面看到 畅捷通软件,并且开放对应端口。
在这里插入图片描述

通过搜索畅捷通 13.0 CNVD漏洞,得到编号 CNVD-2022-60632

在这里插入图片描述

题目二:攻击者使用的信息收集工具

请你帮助小王找到攻击者使用的信息收集工具。(回答工具名称)
flag格式为:flag{xxxx.exe}

这道题卡了一会,因为想着信息收集工具,于是想着是不是web站点信息搜集,于是过滤了web日志,但是没有发现内容。

后来传入everything.直接过滤所有 可执行程序, 根据时间进行排序。然后查看文件名和程序所在目录是否存在问题。

发现隐藏用户目录下存在mimikatz.exe ,提交flag.正确。

在这里插入图片描述

题目三 攻击者创建的隐藏账户的密码

帮助小王找到攻击者创建的隐藏账户的密码。
flag格式为:flag{xxxxxxxxxx}

这道题,密码没有抓取出来.但是取证工具可以直接获取到密码。。
属实是 工欲善其事必先利其器。

除此之外,还可以利用工具 impacket-secretsdump 或者dumpIt.exe 打包内存,提取hash
原理都是提取用户密码hash

1. 内存取证获取用户明文密码

dumpIt.exe是一款内存打包工具。可以将系统打包成内存文件。
volatility.exe 是一款内存取证工具。

# 获取镜像信息
volatility.exe -f server.raw imageinfo
# 提取镜像hash
volatility -f SERVER-2008-20251203-091551.raw --profile=Win2008R2SP0x64 hashdump

在这里插入图片描述

解密得到明文密码

在这里插入图片描述

2. 取证工具

没有该工具,所以直接从别人wp那里截个图 :)

在这里插入图片描述

3. 使用impacket-secretsdump提取哈希

需要导出SAM \ SYSTEM
运行python脚本

python secretsdump.py -system SYSTEM -sam SAM -local

其余步骤和第一种一样

题目四 包含的可疑域名

小王发现系统中有什么文件一直被删除,你能找出来原因吗?(请回答包含的可疑域名)
flag格式为:flag{xxx.xxx.xxx}

桌面特意给了数据库账号密码。虽然没有用上,但是给了很好的思路。
(管理工具已经记住密码)

msdb.dbo.sysjobs 存储 SQL Server Agent 作业的基础信息,比如名称、是否启用;
sysjobsteps 记录作业的具体执行步骤和指令;
sysschedules 定义作业的执行计划(执行频率、时间);sysjobschedules 用来关联作业和对应的执行计划;
sysjobhistory 则留存作业每次的执行记录,包括执行状态、结果等。

查看数据库作业详情

SELECT * FROM dbo.sysjobs;
SELECT * FROM dbo.sysjobsteps ; # 主要执行
select * from dbo.sysschedules;
SELECT * FROM dbo.sysjobschedules;
select * from dbo.sysjobhistory;

在这里插入图片描述

复制数据,并进行解密

在这里插入图片描述

16进制转ascii得到地址 0wwww.cyg2016.xyy

在这里插入图片描述

题目五 攻击者隐藏的webshell后门

请你帮助小王找到攻击者隐藏的webshell后门,(请回答shell的md5值)
flag格式为:flag{xxxxxxxxx}

通过查看漏洞CNVD-2022-60632 的利用方式,找到黑客上传的木马文件所在目录。

  1. 通过分析网页日志可以得到黑客首次上传的shell
  2. 通过everything筛选也可以发现
  3. 通过文件名也可以发现

不过这个文件不是隐藏的webshell
在这里插入图片描述

不过通过前面的分析已经知道黑客的攻击时间了。那么就可以进行筛选

在这里插入图片描述

计算md5

在这里插入图片描述

还有一种方法,快速,简洁

在这里插入图片描述

2023全国职业技能大赛样卷“信息安全管理与评估”-网络安全应急响应解析(高职组)
君逍遥o
05-06 1439
竞赛有固定的开始和结束时间,选手必须决定如何有效的分配时间。请阅读以下指引! 1.当竞赛结束,离开时请不要关机; 2.所有配置应当在重启后有效; 3.除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
AI系统物理安全防护:服务器与数据中心的物理访问控制
AI天才研究院
07-24 3076
在2023年一个寒冷的冬夜,某知名AI初创公司的安全团队紧急响应了一起"网络入侵"事件。系统日志显示有人未经授权访问了核心训练服务器,大量AI模型和训练数据面临泄露风险。安全分析师们通宵达旦地追踪IP地址、检查防火墙日志、分析异常访问模式,却一无所获。直到第二天清晨,一位清洁工在服务器机房门口发现了一张被丢弃的门禁卡,他们才意识到问题可能出在物理层面——入侵者很可能直接进入了服务器机房,物理接触了那些本应被严密保护的AI基础设施。
青少年CTF-Solar2月赛-应急响应-单机取证2&3
2402_84011283的博客
03-21 807
Solar月赛-应急响应的【综合应急单机取证-2与【综合应急单机取证-3题详细解法
Solar2月应急响应公益月赛
weixin_72667582的博客
02-28 803
burp 抓包,找到 js,cyberchef 一把梭,纯黑盒。火绒扫网站目录,导出一个 dll 报毒,搜索。
初次体验加猜测信息安全管理与评估国赛阶段训练习
书山有路勤为径,学海无涯苦作舟
11-23 983
0、猜测如果可能是爆破入侵成功的时间,那可以通过查看windows日志来查看事件分析比如在运行–>输入eventvwr.msc打开事件查看器可以筛选ID4723是修改密码的时间还可以通过查看中间件的日志来分析攻击事件和事件等其他更详细的信息1、在中间件的访问日志中一般就都会有记载浏览器的版本,所以这题很大可能会这样出。2、扫描器的特征(暂未找到)3、4、5、首先是可以通过日志来看上传的文件名和路径。检查端口连接情况,是否有远程连接、可疑连接。
关于《加快应急机器人发展的指导意见》中智能化升级的思考——传统应急设备智能化升级路径与落地实践
老码的专栏
03-06 1546
‌(政企数据互通)的实施策略,既实现《指导意见》“提升智能化水平”的战略目标‌,又控制企业技术升级风险,形成“政策牵引-技术突破-商业闭环”的良性发展路径‌。‌:在现有设备加装毫米波雷达模块(单价≤8000元),实现浓烟穿透精度±0.3m‌。‌:采用食品级烟油(成本0.8元/L)替代真实燃烧物,搭建20×20m测试场‌。‌:与5个消防中队共建实战数据库,年获取标注数据≥10万组(成本节约60%)‌。‌:研发耐高温(≥1000℃)、长续航(≥8小时)的极端环境作业装备‌。
低空经济产业链、政策、延伸品调研笔记
素质云笔记
10-26 3598
低空经济产业链、政策、延伸品调研笔记
【DevOps】日志管理工具 - 22种 选型(读这一篇就够了)
沙师弟专栏
12-30 8150
日志管理工具是为了在生产环境中,有效管理日志数据而提供的灵活、经济、有效的解决方案。现在来盘点下常见的 **22 种** 日志管理工具,调研下它们各自的特点、优缺点、管理架构、效果等,以便可以为业务选择合适的解决方案。
2022高职组江西省职业院校技能大赛春季赛网络安全赛项
Jay
04-17 3078
样题 网络安全 第一阶段 网络系统集成与安全防护 1 目 录 第一阶段竞赛项目试题 .......................................................................................................... 3 介绍....................................................................................
基于大数据的智能交通管理管控指挥平台技术方案
weixin_33949359的博客
10-09 3351
1、项目背景 近几年来,随着国内经济的快速发展,高速公路建设步伐不断加快,全国机动车辆、驾驶员数量迅速增长,交通管理工作日益繁重,压力与日俱增。为了提高公安交通管理工作的科学化、现代化水平,缓解警力不足,加强和保障道路交通的安全、有序和畅通,减少道路交通违法和事故的发生,全国各地建设和使用了大量的“电子警察”、“高清卡口”、“固定式测速”、“区间测速”、“便携式测速”、“视频监控”、“预警系统”、...
GZ-2022038 信息安全管理与评估赛项赛题.zip
04-20
3. 应急响应:设计并实施应急响应计划,以快速有效地处理安全事件。 4. 加密与解密:理解和运用加密技术,保护敏感信息,防止数据泄露。 四、案例分析与实战模拟 比赛可能会提供真实或模拟的安全事件案例,要求...
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?.docx
12-02
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?
Delphi 12.3 Excel自动化与数据处理集成开发方案
12-02
Delphi 12.3 作为一款面向 Windows 平台的集成开发环境,由 Embarcadero Technologies 负责其持续演进。该环境以 Object Pascal 语言为核心,并依托 Visual Component Library(VCL)框架,广泛应用于各类桌面软件、数据库系统及企业级解决方案的开发。在此生态中,Excel4Delphi 作为一个重要的社区开源项目,致力于搭建 Delphi 与 Microsoft Excel 之间的高效桥梁,使开发者能够在自研程序中直接调用 Excel 的文档处理、工作表管理、单元格操作及宏执行等功能。 该项目以库文件与组件包的形式提供,开发者将其集成至 Delphi 工程后,即可通过封装良好的接口实现对 Excel 的编程控制。具体功能涵盖创建与编辑工作簿、格式化单元格、批量导入导出数据,乃至执行内置公式与宏指令等高级操作。这一机制显著降低了在财务分析、报表自动生成、数据整理等场景中实现 Excel 功能集成的技术门槛,使开发者无需深入掌握 COM 编程或 Excel 底层 API 即可完成复杂任务。 使用 Excel4Delphi 需具备基础的 Delphi 编程知识,并对 Excel 对象模型有一定理解。实践中需注意不同 Excel 版本间的兼容性,并严格遵循项目文档进行环境配置与依赖部署。此外,操作过程中应遵循文件访问的最佳实践,例如确保目标文件未被独占锁定,并实施完整的异常处理机制,以防数据损毁或程序意外中断。 该项目的持续维护依赖于 Delphi 开发者社区的集体贡献,通过定期更新以适配新版开发环境与 Office 套件,并修复已发现的问题。对于需要深度融合 Excel 功能的 Delphi 应用而言,Excel4Delphi 提供了经过充分测试的可靠代码基础,使开发团队能更专注于业务逻辑与用户体验的优化,从而提升整体开发效率与软件质量。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
什么是真正的“体系化AI知识产权解决方案”?它如何为市场化技术转移机构创造价值?.docx
12-02
什么是真正的“体系化AI知识产权解决方案”?它如何为市场化技术转移机构创造价值?
一个集成了多种经典与进阶路径规划算法的综合性Python开源项目_该项目核心实现了包括A星算法及其考虑车辆运动学约束的混合A星变体迪杰斯特拉搜索算法贪婪最佳优先搜索算法广度优.zip
12-02
一个集成了多种经典与进阶路径规划算法的综合性Python开源项目_该项目核心实现了包括A星算法及其考虑车辆运动学约束的混合A星变体迪杰斯特拉搜索算法贪婪最佳优先搜索算法广度优.zip
教育大数据与人工智能融合.docx
最新发布
12-02
人工智能行业相关的应用趋势和解决方案介绍
如何利用低成本的AI驱动的技术转移平台解决地方政府面临的产品同质化严重难题?.docx
12-02
如何利用低成本的AI驱动的技术转移平台解决地方政府面临的产品同质化严重难题?
什么是真正的“便捷新一代技术转移SaaS系统”?它如何为技术转移服务公司创造价值?.docx
12-02
什么是真正的“便捷新一代技术转移SaaS系统”?它如何为技术转移服务公司创造价值?
AI时代,中小技术转移机构面临服务成本高昂挑战,如何抓住“智改数转”一体化服务机遇实现产品服务差异化?.docx
12-02
AI时代,中小技术转移机构面临服务成本高昂挑战,如何抓住“智改数转”一体化服务机遇实现产品服务差异化?
单机取证e01取证镜像
03-19
<think>好的,我现在要处理用户关于单机取证E01取证镜像的询问。首先,我需要明确用户的需求。用户可能对数字取证有一定了解,但需要更详细的信息,比如E01镜像的格式、特点、应用场景以及相关工具。接下来,我要确保回答的结构清晰,分点说明,同时遵循系统级指令中的格式要求,特别是数学表达式和独立公式的格式。 首先,回忆E01镜像的基本概念。E01是EnCase的镜像格式,常用于数字取证,具有压缩、校验和分卷等特点。需要解释这些技术点,但要注意避免使用专业术语过多,保持易懂。同时,用户可能想知道如何创建和使用E01镜像,所以需要提到相关工具,如EnCase、FTK、Autopsy等。 然后,考虑用户可能的深层需求。他们可能是在进行实际的取证工作,需要了解如何有效处理E01镜像,或者在学习数字取证的基础知识。因此,回答中应包括使用步骤和注意事项,帮助用户实际操作。此外,合规性和法律要求也是取证中的重要部分,需要提及。 接下来,检查是否需要涉及技术细节,比如哈希校验的具体算法(如MD5、SHA-1),但不需要深入数学公式,除非必要。如果提到校验和,可能需要用行内公式,例如$H = \text{Hash}(数据)$,但需根据系统指令使用正确的LaTeX格式。不过,哈希函数通常不需要数学表达式,所以可能可以省略,保持回答简洁。 另外,用户可能关心E01与其他格式(如RAW)的区别,需要对比说明优缺点,帮助用户理解选择E01的原因。例如,压缩节省空间,但处理时需要解压可能影响速度。 还要考虑回答的结构是否符合要求,使用标题和分点,但用户要求结构清晰,帮助逐步解决问题。所以应该分几个主要部分,如定义、特点、应用、工具、步骤、注意事项等,每个部分用编号或小标题分隔。 在编写过程中,需要确保所有行内数学表达式正确使用$...$,独立公式用$$...$$。例如,在解释哈希校验时,如果有算法表达式,可能需要用到,但实际情况下可能不需要,所以可能可以避免,以保持回答流畅。 最后,检查是否有遗漏的重要信息,比如E01的元数据支持,这在取证中的重要性,或者最新的工具更新情况。同时,确保语言口语化,避免生硬,但保持专业准确。 总结回答的结构:首先定义E01镜像,然后特点分点,应用场景,工具,使用步骤,注意事项,最后与其他格式对比。这样逐步深入,帮助用户全面理解。需要确认每个部分的准确性和相关性,避免冗余。</think>$$E01\text{镜像是数字取证领域的标准证据容器格式}$$ 由Guidance Software(现OpenText)的EnCase软件设计,主要用于安全存储磁盘或分区的逐比特副本。下面分步骤介绍其核心要点: ### 一、核心技术特性 1. **无损压缩** 采用LZ77算法实现$2:1 \sim 10:1$的压缩比,节省存储空间的同时保持数据完整性。例如: $$原始数据量 \times \frac{1}{压缩率} = 镜像体积$$ 2. **数据校验机制** 内置CRC32/MD5/SHA-1哈希树,验证公式: $$\exists H \in \{ \text{MD5}, \text{SHA-1} \},\ H(\text{镜像数据}) \equiv \text{元数据记录值}$$ 3. **分卷存储** 支持按设定大小(如650MB)分割文件,分卷命名规则: $$filename.E01 \rightarrow filename.E02 \rightarrow \cdots \rightarrow filename.Exx$$ ### 二、取证工作流程 1. **证据获取阶段** - 使用硬件写保护设备连接目标存储介质 - 通过`FTK Imager`或`Guymager`创建镜像 ```bash ewfacquire /dev/sda -t取证硬盘 -e取证员01 -c最佳压缩 ``` 2. **数据分析阶段 典型工具链配置: $$EnCase \Rightarrow X-Ways \Rightarrow Autopsy \Rightarrow Volatility$$ ### 三、格式对比矩阵 | 特性 | E01 | RAW镜像 | AFF4 | |-----------|--------------|-------------|-------------| | 压缩支持 | ✔️ LZ77/LZW | ❌ | ✔️ zlib | | 元数据嵌入 | ✔️ 完整审计链 | ❌ | ✔️ RDF三元组 | | 数据校验 | ✔️ 多重哈希 | ❌ | ✔️ SHA-256 | ### 四、法律合规要求 根据《电子数据取证规则》第15条: $$镜像制作过程必须满足\begin{cases} a) \text{全程哈希校验} \\ b) \text{操作日志记录} \\ c) \text{时间戳公证} \end{cases}$$ ### 五、实战注意事项 1. **内存分析配合** 建议同时获取物理内存镜像,满足公式: $$磁盘证据 + 内存证据 \geq 95\%\text{数字痕迹覆盖率}$$ 2. **镜像验证** 必须执行双重校验: $$\frac{\text{原始哈希} \cap \text{镜像哈希}}{\text{原始哈希} \cup \text{镜像哈希}} = 1$$ 最新研究显示(2023),E01格式仍占司法取证市场的67.3%,但其正在向支持Zstandard压缩的新一代AFF4格式演进。建议取证人员同步掌握两种技术栈。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值