2023盘古石决赛复现

2023盘古石决赛复现

VC容器密码2ej)!,[JN-U;wm19J=d9sZt_L6#bf+}[

这套题做起来感觉非常不舒服，学习到许多，菜是原罪。
感谢各位佬的博文指点。

流量分析

计算流量包文件的SHA256值是？[答案格式：字母小写]

2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9

流量包长度在“640-1279”之间的数据包总共有多少？[答案格式：100]

179 统计-分组长度

黑客使用的计算机操作系统是？[答案格式：windows7 x32]

windows10 x64

在统计捕获出看os，可以得到是64-bit Windows (22H2), build 22621。

有key.log在首选项中配置TLS秘钥解密得到http流，在随便一个流量包中的user-agent得到操作系统版本。

黑客上传文件到哪个网盘？[答案格式：xx网盘]

百度网盘

netA可以梭到网盘域名

黑客上传网盘的中间件是？[答案格式：xxxx]

nginx

看server部分

黑客首次登陆网盘时间是？[答案格式：2000-01-01 01:00:33]

筛选pan.baidu.com第一条流量包便是登录网盘，但是追踪http流返现是404。在后面879条处有相似流量包

2023-05-11 12:03:52

黑客上传到网盘的txt文件的md5值是？[答案格式：字母小写]

筛选.txt文件，找到发送了dic.txt，对筛选出的最后一个流量包追踪http流，可以找到，同时有md5值，当然在导出http中也可以找到交互的流量包。

6a5aff7bec78dd1e4fc23e571b664b50

黑客上传到网盘的txt文件第8行的内容是？[答案格式：XXX]

$$

第一行存在空格。

被入侵主机的计算机名是？[答案格式：XXXXXXXXXXX]

WIN-BFA1TO8PTNP

找是dhcp流量，拿到主机名。

NBNS流量也可以找到，同时拿到受攻击方的ip为192.168.100.139

被入侵电脑的数据回传端口是？[答案格式：11]

把导出来的木马丢到微步上看到，回传端口是8000。

8000

在流量中也可以看到。Gh0st开头的文件可能是Gh0st远程控制软件的客户端或服务器端程序可以用于远程控制计算机，窃取敏感信息，以及进行其他恶意活动，所有判断应该是8000端口为数据回传端口。

流量包中ftp服务器的用户密码是？[答案格式：abcd]

ftp

netA可以梭出来，官方答案不是这个。

流量包中ftp服务器中的木马文件的md5值是？[答案格式：字母小写]

2a49a00a1f0b898074be95a5bbc436e3

netA导出来的md5值不对，去找原始数据。

木马文件伪造的软件版本是？[答案格式：0.0.0.0]

7.5.0.1039

netA 可以直接导出木马，虽然md5值不对。

黑客上传到网盘的压缩包解压密码是？[答案格式：XXXXXXXXXXX]

可以找到黑客通过网盘上传了一个pass.jpg和flag.rar。

rar加密。

是steghide隐写，puzzle好像解不了，安装 stegseek，爆破得到解压密码。

密码是莫斯密电。

今天天气不错

黑客上传到网盘的压缩包内文件的内容是？[答案格式：xxxxxxx]

打开拿到flag。

flag{dfaefdgegr$$%463}

分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份账号是？[答案格式：13039456655]

13012341234

仿真后找到test.taz，用fiddler打开，在URL与login相关的那条解码得到。

，分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份密码是？[答案格式：b3039456655]

a12345678

分析技术人员电脑内的手机流量包，分析技术人员的看过几段短视频？[答案格式：3]

6

看流量类型为mp4的数量。

分析技术人员电脑内的手机流量包，分析技术人员最后打开的软件的程序名称是？[答案格式：微信]

在864包中拿到包名com.zhjhsy.ksws04.ucbiao，在对应模拟器中找到为狂神无双

分析技术人员电脑内的手机流量包，分析安全防护的服务器地址是？[答案格式：127.0.0.1]

8.218.119.134

流量包中的502状态ip结合安全防护apk中的ip推断。

移动终端取证

如果有盘古石授权，很多都很easy了。

分析卡农手机，给出手机的SDK版本？[答案格式：28]

30

在deviceinfo中查看即可。

分析卡农手机，给出手机最近开机的时间？[答案格式：2023-05-18-19:09:59]

2023-05-15 10:09:29

分析卡农手机，给出高德地图关联的手机号是？[答案格式：13011221234]

18317041122

分析卡农手机，给出卡农内部聊天工具的昵称是？[答案格式：李多余]

先在版本的火眼甚至野火都分析不出来。

这里就当做是找到了，野火的数据库是加密的，考虑直接在模拟器中仿真查看（该方法可以适用于秘钥非根据设备动态生成的app）。

钱彩燕

分析卡农手机，给出卡农的真实名字可能是？[答案格式：李多余]

拿盘古石授权看支付宝，支付宝实名。徐鹏坤

计算机取证

黑客计算机系统安装时间是？[答案格式：2000/01/01 01:00:01]

2023/05/10 13:31:47

黑客计算机磁盘0的总磁道数？[答案格式：数字中无标点]

3328770

系统信息-组件-存储-磁盘

黑客计算机的产品密钥是？[答案格式：字母大写]

VK7JG-NPHTM-C97JM-9MPGT-3V66T

黑客计算机共有几次卷影拷贝服务关闭事件？[答案格式：1]

1

在事件日志里查找vss，只有1次。

黑客计算机的vc容器解密密码是？[答案格式：字母小写]

RSA秘钥解密，解析pub_key拿到n，之后就是正常的RSA解密了。

byebyedisco

黑客计算机加密容器中共有几个docx文件？[答案格式：x]

VC加密的事E盘

3

黑客计算机加密容器中记录的bt币地址有几个？[答案格式：x]

4

xls中并有记录地址，传Rstduio进去恢复删除的文件，可以恢复出一个.tmp文件。

格式是zip文件，改后缀即可。

黑客计算机加密容器中记录的受害人共有多少人？[答案格式：xx]

29

黑客计算机中win7虚拟机中www用户的登陆密码是？[答案格式：xxxxxxxx]

在disk1镜像中可以找到win7.7z，passware爆破密码（字典是流量分析中的找到的）得到zymogenesis。之后解压丢火眼分析拿到密码。

12345678，本质上就是跑注册表sam文件。

黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是？[答案格式：xx]

admin123!@#

分析技术人员电脑，请给出电脑系统安装时间（UTC-0）?[答案格式：20000-01-01 00:00:00]

2023-04-19 06:10:50

分析技术人员电脑，请给出电脑内用户John的SID？[答案格式：x-x-x-x-x-x-x-x]

S-1-5-21-2950582214-2327523445-121360615-1001

据技术人员交代，其电脑连接过nas服务器，请给出该nas服务器的iqn名称？[答案格式：iqn.xxx]

搜索“iscsi发起程序”，发现存在两个iqn名称。

打开Windows日志，查看发现只有Windows那个iqn成功过，target的那个都是失败。

iqn.2005-10.org.freenas.ctl:windows

分析技术人员电脑，请给出该技术人员使用的隐写工具名称？[答案格式：xx]

oursecret

接上题，请给出使用该隐写工具隐写文件所使用的密码？[答案格式：xx]

caiwu

据技术人员交代，其电脑内存过一个名为“财务流水.rar”的文件，请给出该文件的SHA-1?[答案格式：字母小写]

猜测文件存储在NAS中。

ac6d658f42915bda02c13f890e47bc08b6736a24

这里是服务器基本搞好后，在John电脑中可以访问E盘后，可以通过对CWLS.mp4进行解密后得到rar文件。

APK分析

分析技术人员的模拟手机，给出安全防护的验证码是？[答案格式:11226655]

110110110

hook一下即可。

分析技术人员的模拟手机，给出安全防护的推送服务的调证值是？[答案格式:11226655]

5cfdec7f570df35073000f03

雷电可以直接找到sdk服务商，或jadx中搜appkey

分析技术人员的模拟手机，给出老板的联系方式是？[答案格式:11226655]

13812341234

野火里

分析技术人员的模拟手机，给出办公场所是？[答案格式:北京市朝阳区中山路25555号]

上海市闵行区合川路18888号

分析技术人员的模拟手机，给出技术人员聊天工具的用户ID是？[答案格式:QN11AATT]

QN63ANIT

傅夏盔就是技术人员。

物联取证

分析扫地机器人数据，robot1.bin采用的压缩算法是？[答案格式：xxxx]

binwalk可以查看

LZMA

扫地机器人使用的软件版本是？[答案格式：0.0.0]

3.1.0

第二个镜像中，xway直接搜version即可找到。

扫地机器人id是？[答案格式：21243245838790]

3144460861838790

搜id

扫地机器人云证书的前6位是？[答案格式：sdfead]

MIIDnj

扫地机器人连接过的wifi的ssid是（channel 1）？[答案格式：xx_xx_xx]

ELPASO_TPLINK_C04A00BD0769

换了个xway爆搜ssid到了，最后的U^a有点类似于分隔符。

扫地机器人连接过的wifi的密码是（channel 1）？[答案格式：xxxx]

admin123

上题的下一行即可找到。

扫地机器人的时区是？[答案格式：xx/xx]

America/Denver

搜索timezone

扫地机器人的名称是？[答案格式：xxxxx]

VTORoomba

搜索name

无人机飞行纬度前两位是？[答案格式：xx]

31

无人机的快门速度是？[答案格式：x/xxx]

1/400

分析智能门锁数据包，请给出用户“wonderful”首次开门时间？[答案格式：2000-01-01 00:00-00:00]

2023-02-17 18:56:38

直接看数据库

分析智能门锁数据包，请给出智能门锁MAC地址？[答案格式：字母大写]

E8:BD:63:D0:6F:AD

在IOT.zip配置文件lockinfo.json中看到。

二进制文件分析

分析黑客电脑，控制端程序传输协议是什么协议？[答案格式:http]

拿到控制端.exe，一眼py打包的exe，反编译。

直接在线反编译了，我的本地有一connect函数分析不出来。

tcp

connect函数

分析黑客电脑，控制端程序接收数据缓冲区大小是多少？[答案格式:100]

1000000

分析黑客电脑，控制端程序接收并判断几种指令？[答案格式:1]

5

分析黑客电脑，控制端程序连接结束指令是什么？[答案格式:xxx]

end

分析黑客电脑，控制端程序配置文件解密函数是什么?[答案格式:x_x]

decrypt_config

分析黑客的木马程序，该程序控制端ip是？[答案格式:127.0.0.1]

192.168.100.141

微步

分析黑客的木马程序，程序在地址0x00410CA4处调用了Sleep函数，请问该函数会暂停几秒？[答案格式:3]

单位是ms，5

分析黑客的木马程序，该程序“png”型资源下有两张图片，程序图标对应图片的MD5值是？[答案格式:字母小写]

resource hacker查看

ae755aad5abaa7926a691a5d94e84ea2

分析黑客的木马程序，哪个函数直接调用了HOST型资源？[答案格式:sub_1234]

搜HOST

sub_405570

分析黑客的木马程序，该程序会绕过哪个杀毒软件？[答案格式:腾讯]

金山

服务器取证

建议仿真的时候将内存开大，我开的是16G，4核，一开始开小了非常难受。

请分析服务器，给出NAS服务器系统账号密码？[答案格式：xx@xx]

John电脑中浏览器有存密码

P@88w0rd

请分析服务器，给出NAS服务器的版本信息？[答案格式：xx-xx-xx]

起仿真，NAT模式，改到91网段。

ifconfig得到NASip在131（和John电脑中的历史记录ip不同），登录truenas看信息。

TrueNAS-13.0-U4

请分析服务器，给出NAS服务器内用户SMB的邮箱？[答案格式：xx@xx]

smb@paofen.com

请分析服务器，给出NAS服务器系统告警服务使用的邮箱？[答案格式：xx@xx]

11729369@qq.com

请分析服务器，给出NAS服务器内存储池名？[答案格式：xxx]

vol

请分析服务器，给出NAS服务器内有几个数据集和几个Zvol？[答案格式：0, 0]

判断出volume指的是zvol，filesystem指的是数据集。

2, 3

请分析服务器，给出该NAS服务器存储监听IP和端口？[答案格式：192.168.1.1:8080]

0.0.0.0:3260

请分析服务器，给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID？[答案格式：xx]

2

请分析服务器，给出web服务器连接NAS服务器所使用的iqn？[答案格式：iqn.xxx]

iqn.2005-10.org.freenas.ctl:web

请分析服务器，给出web服务器连接NAS服务器所使用的账号和密码？[答案格式：root/123]

user/202305140921

请分析服务器，给出redis所使用的配置文件？[答案格式：/home/1.conf]

在虚拟机目录中发现四个虚拟机但是无法启动，需要开虚拟化（相当于虚拟机里开虚拟机）。

先关掉nas虚拟机，开启虚拟化。

这里理论上就可以登录上虚拟机了，但是由于一开始NAS的ip是.131，所以我的web虚拟机还是无法启动，需要修改nas的ip到.129即可

取消DHCP，改ip。TrueNAS静态IP设置_truenas设置静态ip-CSDN博客

vnc连接，开始进行绕密。启动页面，按e进入单用户模式。

改动

Ctrl+x，passwd，重新设置root密码为123456

vim /etc/selinux/config将enforcing改成disabled关闭selinux

vim /etc/passwd修改root用户的shell为/bin/bash

重启后，root/123456登录。

/etc/redis.conf

请分析服务器，给出跑分网站后台根目录？[答案格式：/xx/xx]

发现配置文件中有httpd和nginx，存在Apache和NGINX，在nginx目录下找到跑分网站的配置文件。

在admin.paofen.com.conf中看到后台

/www/admin.paofen.com/public

请分析服务器，嫌疑人所使用的跑分系统可能来自哪，请给出网站？[答案格式：www.baidu.com]

直接去查看/www，下面是空的。

查看硬盘信息

很离谱你找不到sdb1，但是网上的wp并没有发现有师傅有个这个问题。

如果挂载到sda1上，是这样的情况。

中间经过了重新仿真，开启iscsi服务（有可能是这个原因？）等操作，然后突然下午发了一会呆就可以找到sdb1了，也有可能是我仿真的内存开小了？

这里就是已经可以访问www目录下内容。

www.98sucai.com

请分析服务器，给出数据库root账号密码？[答案格式：password]

web服务器中只有3w.paofen.db数据库的密码，同样的需要绕密进入DB服务器，目录下有backup.sh被gzexe加密过。

gzexe -d backup.sh

得到密码3W.pa0fen.com

一下几题都可以在sh文件中找到

请分析服务器，给出数据库备份文件存放路径？[答案格式：/xx/xxx]

/data/mysql_back

请分析服务器，给出数据库备份文件解压密码？[答案格式：password]

p@ssw0rd

请分析服务器，给出数据库备份文件间隔多少天会删除？[答案格式：1]

45

请分析服务器，给出数据库每天几点会执行备份操作？[答案格式：00:00]

02:00

请分析服务器，给出跑分网站后台用户余额总计？[答案格式：1000]

同样的，将data挂载，

按照sh文件解压备份文件openssl des3 -d -salt -k p@ssw0rd -in db_backup_20230515.tar.gz| tar -xzv得到paofen.sql

关闭防火墙，开启mysql服务，导入备份数据

service firewalld stop
service mysqld start
mysql -uroot -p paofen < paofen.sql

同时将web虚拟机中的数据库配置改为和DB虚拟机相同。

service nginx start
service php-fpm start
chmod -R 777 admin.paofen.com/
cd /var/log
chmod -R 777 redis/
service redis start

成功看到后台。（后台地址在John电脑历史记录中可以找到）

在/www/admin.paofen.com/app/admin/logic/login.php找到登录逻辑进行修改。

成功绕密进入后台。

7459848

请分析服务器，给出跑分平台后天未处理的用户申请有多少个？[答案格式：1000]

24

请分析服务器，给出会员聂鸿熙推荐人的姓名？[答案格式：张三]

针长兴

请分析服务器，给出跑分平台内用户银行卡所属银行共有几家？[答案格式：10]

navicat连接数据库

12

SELECT COUNT(DISTINCT(bank_name)) FROM `ob_user_bank`

接上题，请给出这些银行中用户数最多的银行名称？[答案格式：xx银行]

SELECT COUNT(id),bank_name FROM `ob_user_bank` GROUP BY bank_name ORDER BY COUNT(id) DESC

农业银行

请分析服务器，给出用户“祝虹雨”通过审核的充值总额？[答案格式：10]

366335

select sum(money) from `ob_charge_log` where `name`='祝虹雨' and `status` = 1;

请分析服务器，给出该跑分团队可能的办公大楼有几个？[答案格式：1]

这个问题感觉很突兀了，大概率在其他虚拟机中，打开CMS虚拟机进行绕密。

ssh连接后发现有宝塔服务。把乱七八糟的认证全关掉。

恢复网站

发现没东西，需要导入数据库。

admin/123456就直接进入了，不用绕密了。

2

请分析服务器，给出用户John共提了几次会议预约申请，通过了几个？[答案格式：1，1]

john/123456同样成功登录。

9, 3

接上题，用户John哪个时间段的会议预约申请次数最多？[答案格式：2000-01-01 00:00-00:00]

2023-05-15 16:00-16:59

请分析服务器，给出用户Harvey预约了什么时间的会议？[答案格式：2000-01-01 00:00-00:00]

一样123456登录

2023-05-17 17:00-17:59

会议管理系统的后台登陆地址是[答案格式：www.baidu.com:8080/login.php]

看日志或者在宝塔搜文件判断。

hy.paofen.com:8085/dkewl.php

数据分析

我又菜又懒，就参考各位佬的了。

（首届）第一届奇安信盘古石杯决赛WP(全题解析，少一道你打我）_vc容器解密-CSDN博客

2023盘古石决赛 - WXjzc - 博客园

首届“盘古石杯”全国电子数据取证大赛总决赛参考题解

分析技术人员电脑内银行卡交易流水，给出转入的对手交易卡号有多少？[答案格式：10]

copy *.csv all.csv

数据量非常大，合并后Excel都看不全，网矩跑得和蜗牛一样慢，可以说是被干瘫痪了。

两个思路：一个就是py脚本跑，一个就是导入本地数据库sql查询。

99

分析技术人员电脑内银行卡交易流水，给出转出的对手交易卡号有多少个？[答案格式：1]

9

筛选标志出即可。

分析技术人员电脑内银行卡交易流水，给出卡号"6233542760791453"金额转出比（保留两位有效小数）？[答案格式：10.21%] [提示：注意文件编码]

借用川佬的脚本了

import pandas
card_in = 0
card_out = 0
for i in range(1,2):dataFrame = pandas.read_csv(f"K:\\pgsjs\\财务流水\\财务流水\\45.csv",encoding="UTF-8")for index,row in dataFrame.iterrows():if row['交易是否成功'] == 1:if row['收付标志'] == '进':card_in += row['交易金额']else:card_out += row['交易金额']
print(card_in,card_out,card_out/card_in)

只有45存在该卡号

11.11%

分析技术人员电脑内银行卡交易流水，给出金额转出比最大的卡号？[答案格式：xxxx] [提示：注意文件编码]

6202628427760809

分析技术人员电脑内银行卡交易流水，给出收益最大的卡号？[答案格式：xxxxx] [提示：注意文件编码]

6264488446694651