检材1
在仿真软件里可以直接看到
CentOS Linux release 7.6.1810 (Core)
在弘连里直接看,但要注意答题的格式要与参考格式一致
3.10.0
可以仿真到虚拟机里用linux命令查看,也可以直接在软件里查看
2099200
使用网探连接
32000
还是用网探,可以看到是三个
3
192.168.99.3
使用last查看曾经登陆过的ip地址
有两个可疑的ip地址,但是192.168.99.222解压后面的检材成功
192.168.99.222
可以看到代理服务在本机的8091端口
但看端口发现并没有打开这个端口0.0
之前看history发现这个服务器是存在docker的,可能是在docker里,先打开docker
还真有
进入该docker
看一手docker里的历史命令
进入到nginx的配置文件里提示存在*.conf
追进去,终于看到了真正的ip地址0.0
192.168.1.176
web方式,浏览器登陆么,这题不是很会。。
发现在打开docker后8091端口才打开
用docker里的日志看看
但是数完发现比通配符算出来的少1
17
检材2
| 警方找到了嫌疑人使用的个人 PC(检材 2.zip),请使用第 7 题的答案作为密码解压检材 2,分析并回答下列问题 | header |
|---|---|
 |
2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37
仿真完可看到
18363.1082
2020-09-22 13:15:34
这个是VM的安装程序
2020-09-18 17:54:44
8
同时这个ip地址应该也是服务器的原始ip地址,对应第六题
8091
之前有看到过
docker-proxy
端口还是8091,应该就是这个域名了
www.sdhj.com
电脑上没有带微信,猜测存在手机的备份
还真有
添加检材查看
wxid_06f01lnpavn722
这里可以看到用的是小飞机(telegram)
不得不说小飞机其实挺好玩的,好多好康的(
telegram
用的狗狗币(官方说因为bitcoin太贵了,hhh
Dogecoin
怕二维码被和谐,就不放图了,地址在二维码下面
DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvfDPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf
这道题和下面的一道题去相关网站上输入地址查询就可以了,不过时间太久已经查不到了。。
见上题,略
也就是说在虚拟机里还有一个虚拟机文件,这个文件里藏着一些秘密,但需要爆破出来
简单找一下就可以看到该文件夹
我导出来了,这里可以去网上搜索VM加密怎么办
这里放上链接
所以直接破
出了
zzzxxx
将上题的虚拟磁盘文件装到VM里,将密码设为不设置密码,再使用弘连的仿真工具开起来
同时可以在这里看到图片的附件
cc7ea3ab90ab6b28417e08c715c243ce58ea76d71fd141b93f055a58e9ba561a
2020-09-20 12:53
honglian7001
那应该是xshell了
xshell
qwer1234!@#$
检材3
| 请使用第 8 题的答案作为密码解压检材 3,分析并回答下列问题 | header |
|---|---|
 |
FF593FCCB3770B8845A3334631F8E80807638EE722C5AA7B34E877589857C3BA
Windows Server 2008 HPC Edition
仿真一下看看
看到了IIS,有希望
card
C:\inetpub\wwwroot\v7w
80
直觉上是dl,但其实涉及重定向,浏览web配置文件可得
dllogin.aspx
去看dllogin.aspx文件
OvO
App_Web_dllogin.aspx.7d7c2f33.dll
这里就比较难直接看出来了,涉及反编译知识
aspx文件,就是基于.Net编写的文件
下面这个软件可以很好的逆向.Net文件
反编译上一题的动态资源文件
看到了AES加密
AESEncrypt
感觉比较考验代码审计和分析的能力qaq
这行比较可疑
检材4
| 请使用第 39 题的答案作为密码解压检材 4,分析并回答下列问题 | header |
|---|---|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
原文地址:http://www.cnblogs.com/perfectcqf/p/16811096.html
