2025平航杯团队赛
计算机取证
分析起早王的计算机检材,起早王的计算机插入过usb序列号是什么(格式:1) |
---|
分析起早王的计算机检材,起早王的便签里有几条待干(格式:1) |
分析起早王的计算机检材,起早王的计算机默认浏览器是什么(格式:Google) |
分析起早王的计算机检材,起早王在浏览器里看过什么小说(格式:十日终焉) |
分析起早王的计算机检材,起早王计算机最后一次正常关机时间(格式:2020/1/1 01:01:01) |
分析起早王的计算机检材,起早王开始写日记的时间(格式:2020/1/1) |
分析起早王的计算机检材,SillyTavern中账户起早王的创建时间是什么时候(格式:2020/1/1 01:01:01) |
分析起早王的计算机检材,SillyTavern中起早王用户下的聊天ai里有几个角色(格式:1) |
分析起早王的计算机检材,SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式:xxxxx-xxxxxxx.xxxx) |
分析起早王的计算机检材,电脑中ai换脸界面的监听端口(格式:80) |
分析起早王的计算机检材,电脑中图片文件有几个被换过脸(格式:1) |
分析起早王的计算机检材,最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式:xxxxxxxxxxx.xxxx) |
分析起早王的计算机检材,neo4j中数据存放的数据库的名称是什么(格式:abd.ef) |
分析起早王的计算机检材,neo4j数据库中总共存放了多少个节点(格式:1) |
分析起早王的计算机检材,neo4j数据库内白杰的手机号码是什么(格式:12345678901) |
分析起早王的计算机检材,分析neo4j数据库内数据,统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式:1) |
分析起早王的计算机检材,起早王的虚拟货币钱包的助记词的第8个是什么(格式:abandon) |
分析起早王的计算机检材,起早王的虚拟货币钱包是什么(格式:0x11111111) |
分析起早王的计算机检材,起早王请高手为倩倩发行了虚拟货币,请问倩倩币的最大供应量是多少(格式:100qianqian) |
分析起早王的计算机检材,起早王总共购买过多少倩倩币(格式:100qianqian) |
分析起早王的计算机检材,起早王购买倩倩币的交易时间是(单位:UTC)(格式:2020/1/1 01:01:01) |
分析起早王的计算机检材,起早王的计算机插入过usb序列号是什么(格式:1)

F25550031111202
分析起早王的计算机检材,起早王的便签里有几条待干(格式:1)

5
分析起早王的计算机检材,起早王的计算机默认浏览器是什么(格式:Google)

Edge
分析起早王的计算机检材,起早王在浏览器里看过什么小说(格式:十日终焉)


道诡异仙
分析起早王的计算机检材,起早王计算机最后一次正常关机时间(格式:2020/1/1 01:01:01)

2025/4/10 11:15:29
分析起早王的计算机检材,起早王开始写日记的时间(格式:2020/1/1)
仿真找到存储笔记的软件------rednotebook
笔记还挺有意思的,哈哈,里面是一些关于IOT安全的牛马(黑客)日常

注明了一些密码

虚拟钱包助记词

另外爆搜也可以做

2025/3/3
分析起早王的计算机检材,SillyTavern中账户起早王的创建时间是什么时候(格式:2020/1/1 01:01:01)
启动SillyTavern

使用上面一题的密码登录即可------qzwqzw114


2025/3/10 18:44:56
分析起早王的计算机检材,SillyTavern中起早王用户下的聊天ai里有几个角色(格式:1)

4
分析起早王的计算机检材,SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式:xxxxx-xxxxxxx.xxxx)
保存在平台目录的文件里

Tifa-DeepsexV2-7b-Cot-0222-Q8
分析起早王的计算机检材,电脑中ai换脸界面的监听端口(格式:80)
bitlocker密码

找到换脸启动器


7860
分析起早王的计算机检材,电脑中图片文件有几个被换过脸(格式:1)

3
分析起早王的计算机检材,最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式:xxxxxxxxxxx.xxxx)
日志文件里找到记录

inswapper_128_fp16
分析起早王的计算机检材,neo4j中数据存放的数据库的名称是什么(格式:abd.ef)

在xmind里可以看到账号密码------neo4j/secretqianqian

graph.db
分析起早王的计算机检材,neo4j数据库中总共存放了多少个节点(格式:1)
启动neo4j服务------参考:[在Windows环境中安装Neo4j_windows安装neo4j-CSDN博客](https://blog.csdn.net/xianyu120/article/details/122721683#:~:text=本文详细介绍在Windows环境下安装及配置Neo4j图形数据库的过程,包括安装Java JRE、配置环境变量、安装Neo4j软件、调整配置文件、设置网络连接、启动服务等步骤,并演示了如何使用Neo4j内置浏览器创建节点与关系。 摘要生成于 C知道,,由 DeepSeek-R1 满血版支持, 前往体验 >)

账号密码输入即可登录

17088
分析起早王的计算机检材,neo4j数据库内白杰的手机号码是什么(格式:12345678901)
MATCH (p:person) WHERE p.name STARTS WITH '白杰' RETURN p.mobile

13215346813
分析起早王的计算机检材,分析neo4j数据库内数据,统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式:1)
参考官方WP
sql
MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE
l.time < datetime('2025-04-14')
AND ip.city <> u.reg_city
AND NOT (u)-[:TRUSTS]->(d)
WITH
u,
collect(DISTINCT ip.city) AS 异常登录城市列表,
collect(DISTINCT d.device_id) AS 未授权设备列表,
count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN
u.user_id AS 用户ID,
u.real_name AS 姓名,
异常登录城市列表,
未授权设备列表,
异常登录次数
ORDER BY 异常登录次数 DESC;

2
分析起早王的计算机检材,起早王的虚拟货币钱包的助记词的第8个是什么(格式:abandon)
前面日记有提示,去微软输入法里找找
设置------语言------简体中文(选项)------微软输入(选项)------词库和自学习------编辑

draft
分析起早王的计算机检材,起早王的虚拟货币钱包是什么(格式:0x11111111)
插件里可以看到钱包地址

0xd8786a1345cA969C792d9328f8594981066482e9
分析起早王的计算机检材,起早王请高手为倩倩发行了虚拟货币,请问倩倩币的最大供应量是多少(格式:100qianqian)
浏览器历史记录找到交易网站,本机访问输入地址就可以看到交易记录

1000000qianqian
分析起早王的计算机检材,起早王总共购买过多少倩倩币(格式:100qianqian)
同上amount可以看到
521qianqian
分析起早王的计算机检材,起早王购买倩倩币的交易时间是(单位:UTC)(格式:2020/1/1 01:01:01)
同上计算一下时间
2025/3/24 2:08:36
AI取证
分析crack文件,获得flag1(格式:flag1{123456}) |
---|
分析crack文件,获得flag2(格式:flag2{123456}) |
分析crack文件,获得flag3(格式:flag3{123456}) |
分析crack文件,获得flag4(格式:flag4{123456}) |
分析crack文件,获得flag1(格式:flag1{123456})
在电脑检材中导出

运行这个环境需要python3.10以上,而且需要安装PyArmor依赖(被PyArmor加密了),不然会有语法错误
也可以使用工具------https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot
核心功能
✅ 将Pyarmor 8.0-9.1.5加密的Python脚本静态转换为:
- 准确的反汇编代码(支持Python 3.7-3.13)
- 实验性源代码(存在不完整性,需人工校验)
技术突破
🔧 混合技术栈:
- 基于[Decompyle++](<弹窗>知名Python反编译框架)深度改造
- 新增AST抽象语法树修改模块
- 跨平台支持(Linux/Windows/macOS)
⚠️ 安全优势:
- 无需执行可疑脚本(规避恶意代码风险)
- 自动识别
pyarmor_runtime
动态库解密逻辑


然后打开解密后的start.py.1shot.cdc.pyu,搜flag

flag1
分析crack文件,获得flag2(格式:flag2{123456})

flag2
分析crack文件,获得flag3(格式:flag3{123456})

flag3
分析crack文件,获得flag4(格式:flag4{123456})

flag4
exe逆向
分析GIFT.exe,该程序的md5是什么(格式:大写md5) |
---|
GIFT.exe的使用的编程语言是什么(格式:C) |
解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01) |
分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111) |
分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5) |
分析GIFT.exe,为对哪些后缀的文件进行加密: A.doc B.xlsx C.jpg D.png E.ppt |
分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档) |
分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx}) |
分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64) |
分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx}) |
分析GIFT.exe,该程序的md5是什么(格式:大写md5)

5A20B10792126FFA324B91E506F67223
GIFT.exe的使用的编程语言是什么(格式:C)

这里要吐槽一下,很多比赛题目表述不清楚,要么固定大小写,要么明确格式,不要像这题一样就写给C,做下来不少人会写成PYTHON/python,答案只能判定为错
Python
解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)
python打包的exe转py------参考:https://blog.csdn.net/qq_41273999/article/details/139420400
工具:pyinstxtractor(exe转pyc)+pycdc(pyc转py)
pyinstxtractor运行命令:python pyinstxtractor.py xxx.exe

pycdc运行命令:pycdc.exe test.pyc>test.py
下载链接------https://github.com/extremecoders-re/decompyle-builds/releases/tag/build-16-Oct-2024-5e1c403

可以找到解密密码,下面的base64加密是释放的文件,可以用在线网站解密后打包转为文件
在沙箱里运行一下,输入密码

文件释放在C:\Users\起早王\AppData\Local\Temp\gift_extracted里面


微步里面跑一下

2025/4/8 09:59:40
分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)
运行一下love2.exe

46.95.185.222:6234
分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)


733FC4483C0E7DB1C034BE5246DF5EC0
"分析GIFT.exe,为对哪些后缀的文件进行加密:A.doc B.xlsx C.jpg D.png E.ppt"
创建各个类型的文件,运行love2.exe即可看到对哪些加密

ABE
分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)

LOVE Encrypted File
分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx})
工具链接:https://www.52pojie.cn/thread-1980917-1-1.html

Flag3
分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
导出同目录下的照片

存有RSA解密密钥

RSA
分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx})
这题比较难,参考一下大佬的WP
加密算法:RSAES-RKCS1-V1_5
python
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from typing import Optional
def decrypt(
encrypted_file_path: str,
private_key_path: str,
decrypted_file_path: str,
chunk_size: Optional[int] = None
) -> bool:
"""使用RSA私钥解密文件
Args:
encrypted_file_path: 加密文件路径
private_key_path: PEM格式私钥文件路径
decrypted_file_path: 解密输出路径
chunk_size: 解密块大小(根据密钥长度自动计算)
"""
try:
with open(encrypted_file_path, 'rb') as f:
encrypted_data = f.read()
with open(private_key_path, 'rb') as key_file:
private_key = serialization.load_pem_private_key(
key_file.read(),
password=None,
)
# 根据密钥长度自动计算块大小
key_size = private_key.key_size
optimal_chunk_size = key_size // 8 if not chunk_size else chunk_size
dec_data = bytearray()
for i in range(0, len(encrypted_data), optimal_chunk_size):
chunk = encrypted_data[i:i + optimal_chunk_size]
try:
dec_chunk = private_key.decrypt(
chunk,
padding.PKCS1v15()
)
dec_data.extend(dec_chunk)
except Exception as e:
print(f"块解密失败:{str(e)}")
return False # 遇到解密错误立即终止
with open(decrypted_file_path, 'wb') as f:
f.write(dec_data)
return True
except Exception as e:
print(f"解密过程异常:{str(e)}")
return False
def main() -> None:
encrypted_file_path = r"G:\2025平航杯\新建文件夹\test.love"
private_key_path = r"G:\2025平航杯\新建文件夹\私钥.txt"
decrypted_file_path = r"G:\2025平航杯\新建文件夹\test.love.dec"
if decrypt(encrypted_file_path, private_key_path, decrypted_file_path):
print(f"文件解密成功,已保存到: {decrypted_file_path}")
else:
print("解密失败")
if __name__ == "__main__":
main()
解出来是个ppt


flag4
服务器取证
该电脑最早的开机时间是什么(格式:2025/1/1 01:01:01) |
---|
服务器操作系统内核版本(格式:1.1.1-123) |
除系统用户外,总共有多少个用户(格式:1) |
分析起早王的服务器检材,Trojan服务器混淆流量所使用的域名是什么(格式:xxx.xxx) |
分析起早王的服务器检材,Trojan服务运行的模式为:A、foward B、nat C、server D、client |
关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用,正确的是: A. 代理流量转发到外部互联网服务器 B. 将流量转发到本地的 HTTP 服务(如Nginx) C. 用于数据库连接 D. 加密流量解密后的目标地址 |
分析网站后台登录密码的加密逻辑,给出密码sbwyz1加密后存在数据库中的值(格式:1a2b3c4d) |
网站后台显示的服务器GD版本是多少(格式:1.1.1 abc) |
网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式:1) |
在网站购物满多少免运费(格式:1) |
分析网站日志,成功在网站后台上传木马的攻击者IP是多少(格式:1.1.1.1) |
攻击者插入的一句话木马文件的sha256值是多少(格式:大写sha256) |
攻击者使用工具对内网进行扫描后,rdp扫描结果中的账号密码是什么(格式:abc:def) |
对于每个用户,计算其注册时间(用户表中的注册时间戳)到首次下单时间(订单表中最早时间戳)的间隔,找出间隔最短的用户id。(格式:1) |
统计每月订单数量,找出订单最多的月份(XXXX年XX月) |
找出连续三天内下单的用户并统计总共有多少个(格式:1) |
该电脑最早的开机时间是什么(格式:2025/1/1 01:01:01)

2022/02/23 12:23:49
服务器操作系统内核版本(格式:1.1.1-123)

3.10.0-1160.119.1.el7.x86_64
除系统用户外,总共有多少个用户(格式:1)

3
分析起早王的服务器检材,Trojan服务器混淆流量所使用的域名是什么(格式:xxx.xxx)

分析起早王的服务器检材,Trojan服务运行的模式为:A、foward B、nat C、server D、client
配置文件里是you guess,比对一下example文件夹里的文件,发现只有nat和配置文件最像

B
关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用,正确的是:
A. 代理流量转发到外部互联网服务器
B. 将流量转发到本地的 HTTP 服务(如Nginx)
C. 用于数据库连接
D. 加密流量解密后的目标地址

A
分析网站后台登录密码的加密逻辑,给出密码sbwyz1加密后存在数据库中的值(格式:1a2b3c4d)


f8537858eb0eabada34e7021d19974ea
网站后台显示的服务器GD版本是多少(格式:1.1.1 abc)

2.1.0 compatible
网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式:1)

导出数据库/www/wwwroot/www.tpshop.com/backup/www_TPshop_com1.sql,并导入Navicat查看
编写SQL查询语句
sql
SELECT COUNT(*)
FROM tp_order
WHERE add_time >= UNIX_TIMESTAMP('2016-04-01 00:00:00')
AND add_time <= UNIX_TIMESTAMP('2025-04-01 00:00:00');

在网站购物满多少免运费(格式:1)
从这一题开始重构网站------在网站看信息方便一点
修改mysql数据库密码------参考https://blog.csdn.net/ibsfn/article/details/88963040
1.关闭防火墙
systemctl stop firewalld
systemctl disable firewalld

2.绕过+修改密码
要启用 skip-grant-tables ,需要修改 MySQL 的配置文件(如 my.cnf 或 my.ini ),在 [mysqld] 部分添加以下内容:
mysqld
skip-grant-tables

然后重启 MySQL 服务------systemctl restart mysqld
登录 MySQL------mysql -u root -p
切换到 mysql 数据库------USE mysql;
修改 root 用户的密码------UPDATE user SET password = PASSWORD('newpassword') WHERE user = 'root';
刷新权限------FLUSH PRIVILEGES;
退出 MySQL------EXIT;
修改完密码后,记得将配置文件中的 skip-grant-tables 删除或注释掉,并重启 MySQL 服务,以恢复正常的权限验证

发现数据库为空,将备份里的SQL文件导入即可

修改host文件------配置 IP + www.tpshop.com
访问www.tpshop.com即可

后台路径------http://www.tpshop.com/index.php/Admin/Admin/login.html
在navicat里将admin的密码替换为第7题的sbwyz1的加密值
后台进入成功

可以看到满100000免运费

100000
分析网站日志,成功在网站后台上传木马的攻击者IP是多少(格式:1.1.1.1)



222.2.2.2
攻击者插入的一句话木马文件的sha256值是多少(格式:大写sha256)


870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF
攻击者使用工具对内网进行扫描后,rdp扫描结果中的账号密码是什么(格式:abc:def)
在/www/wwwroot/www.tpshop.com/application找到渗透工具------PwnKit
result.txt保存了扫描结果


administrator:Aa123456@
对于每个用户,计算其注册时间(用户表中的注册时间戳)到首次下单时间(订单表中最早时间戳)的间隔,找出间隔最短的用户id。(格式:1)
后面就是通过数据库进行数据分析了,看了一些WP答案大同小异,因为官方也没有发布答案,只能说仁者见仁智者见智
交给AI(ds-R1)编写查询代码
sql
SELECT
u.user_id,
TIMESTAMPDIFF(SECOND, FROM_UNIXTIME(u.reg_time), FROM_UNIXTIME(MIN(o.add_time))) AS reg_to_first_order_seconds
FROM tp_users u
JOIN tp_order o ON u.user_id = o.user_id
GROUP BY u.user_id
ORDER BY reg_to_first_order_seconds ASC
LIMIT 1;

385
统计每月订单数量,找出订单最多的月份(XXXX年XX月)
sql
SELECT
DATE_FORMAT(FROM_UNIXTIME(change_time), '%Y-%m') AS month,
COUNT(log_id) AS order_count
FROM
tp_account_log
WHERE
`desc` LIKE '%下单消费%'
GROUP BY
month
ORDER BY
order_count DESC
LIMIT 1;

2016年3月
找出连续三天内下单的用户并统计总共有多少个(格式:1)
sql
SELECT COUNT(DISTINCT user_id) AS consecutive_users
FROM (
SELECT
user_id,
order_date,
@prev_date := IF(user_id = @prev_user, @prev_date, NULL) AS prev_date_reset,
@seq := IF(order_date = @prev_date + INTERVAL 1 DAY AND user_id = @prev_user, @seq + 1, 1) AS seq,
@prev_user := user_id,
@prev_date := order_date
FROM (
SELECT DISTINCT
user_id,
DATE(FROM_UNIXTIME(add_time)) AS order_date
FROM tp_order
ORDER BY user_id, order_date
) AS distinct_dates
CROSS JOIN (SELECT @prev_user := NULL, @prev_date := NULL, @seq := 0) AS vars
) AS sequence
WHERE seq >= 3;

1
手机取证
该检材的备份提取时间(UTC)(格式:2020/1/1 01:01:01) |
---|
分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx) |
分析手机内Puzzle_Game拼图程序,请问最终拼成功的图片是哪所大学(格式:浙江大学) |
分析倩倩的手机检材,木马app是怎么被安装的(网址)(格式:http://127.0.0.1:1234/) |
分析倩倩的手机检材,检材内的木马app的hash是什么(格式:大写md5)) |
分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式:Baidu)) |
分析倩倩的手机检材,检材内的木马app的使用什么加固(格式:腾讯乐固) |
分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式:127.0.0.1:1111) |
该木马app控制手机摄像头拍了几张照片(格式:1) |
木马APP被使用的摄像头为(格式:Camera) |
分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式:JobStore) |
分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里(格式:北京市西城区) |
此手机检材的IMEI号是多少(格式:1234567890) |
该检材的备份提取时间(UTC)(格式:2020/1/1 01:01:01)

2025/04/15 18:11:18
分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
方法一:
逆向反编译------AI分析
成功后输出flag的代码,发现涉及AES加密函数

根据加密函数编写解密代码,得到flag

python
from Crypto.Cipher import AES
import binascii
生成白盒密钥
MAGIC_NUMBERS = [113, 99, 92, 106, 89, 98, 54, 113, 104, 89, 117, 100, 113, 127, 124, 89]
key_bytes = bytes([b ^ 6 for b in MAGIC_NUMBERS]) # weZl_d0wn_sbwyz_
预设的密文字节数组 (来自hexStringToByteArray的异常处理)
cipher_bytes = bytes([
0x50, 0xCC, 0x04, 0x31, 0x35, 0x06, 0x80, 0xC3,
0x0A, 0x5E, 0xC5, 0x19, 0x52, 0x73, 0x6D, 0x0C
])
使用AES-ECB模式解密
cipher = AES.new(key_bytes, AES.MODE_ECB)
decrypted = cipher.decrypt(cipher_bytes)
去除PKCS#7填充
pad_len = decrypted[-1]
flag = decrypted[:-pad_len].decode('utf-8')
print("Decrypted flag:", flag)

方法二:
hook函数,直接输出/修改时间为无限,完成拼图


flag
分析手机内Puzzle_Game拼图程序,请问最终拼成功的图片是哪所大学(格式:浙江大学)
根据hint和便签中的樱花大道猜测是杭州市(滨江区),可以社工查询是"浙江中医药大学"微信公众号上的图片

浙江中医药大学
分析倩倩的手机检材,木马app是怎么被安装的(网址)(格式:http://127.0.0.1:1234/)


分析倩倩的手机检材,检材内的木马app的hash是什么(格式:大写md5)

23A1527D704210B07B50161CFE79D2E8
分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式:Baidu)

发现是一款安卓远控软件

Google Service Framework
分析倩倩的手机检材,检材内的木马app的使用什么加固(格式:腾讯乐固)

梆梆安全
分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式:127.0.0.1:1111)
这一题要通过源码找,一键脱壳即可(当然也可以手动脱壳------DumpDex/BlackDex)



92.67.33.56:8000
该木马app控制手机摄像头拍了几张照片(格式:1)
因为木马连接的是服务器,所以服务器会记录相关的操作日志------结合服务器取证
导出jadx反编译的源码------没找到
导出服务器/root目录下的AndroRAT文件夹------没找到
导出服务器/var/log文件夹------没找到
所以感觉职业组和学生组的检材有出入,第9题和第10题是没办法做的,唯一的办法就是自己复现远控的环境
木马地址:https://github.com/karma9874/AndroRAT
职业组可以在服务器的/tmp/ratlog.txt
中看到日志,拍摄了3张图片,但图片不在服务器中

3
木马APP被使用的摄像头为(格式:Camera)
复现后可以知道控制的摄像头有两个------猜个Front Camera

Front Camera
分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式:JobStore)



jobScheduler
分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里(格式:北京市西城区)


上海市徐汇区
此手机检材的IMEI号是多少(格式:1234567890)
爆搜IMEI

865372026366143
流量分析
请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1) |
---|
起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容) |
起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 ) |
流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123) |
起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708) |
起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 ) |
起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 ) |
倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 ) |
起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 ) |
请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)

COM3-3.6
起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)
导出搜索

发现设备名称是device_name

编写脚本统计总数
python
import re
def extract_device_names(file_path):
# 设备名称的字典(用于统计出现次数)
device_counts = {}
# 正则表达式模式,用于匹配设备名称
pattern = re.compile(r'"btcommon\.eir_ad\.entry\.device_name":\s*"([^"]+)"')
# 打开文件并逐行读取
with open(file_path, 'r', encoding='utf-8') as file:
for line in file:
# 在每一行中查找所有匹配项
matches = pattern.findall(line)
for match in matches:
# 如果设备名称已存在于字典中,增加计数;否则初始化为 1
if match in device_counts:
device_counts[match] += 1
else:
device_counts[match] = 1
# 按照出现次数降序排序
sorted_device_counts = sorted(device_counts.items(), key=lambda x: x[1], reverse=True)
# 保存结果到 1111.txt
output_file_path = '1111.txt'
with open(output_file_path, 'w', encoding='utf-8') as output_file:
output_file.write("设备名称及其出现次数(按次数降序排序):\n")
for name, count in sorted_device_counts:
output_file.write(f"{name}: {count}\n")
print(f"结果已保存到 {output_file_path}")
# 文件路径
file_path = r"2121.json"
extract_device_names(file_path)

原始设备名称大概率是Flipper 123all,而且这个名字出现时间也在前面
搜索知道这是一款物理渗透测试工具(IOT)

因为Flipper在伪装他人蓝牙设备时会先修改名字再修改MAC地址,仔细观察可以发现前面两个的mac地址是一样的,所以是攻击者用flipper截获了蓝牙耳机的MAC,先修改了名字,再修改MAC制作了钓鱼蓝牙

Flipper 123all
起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
直接遍历QQ_WF_SP8OON所有的MAC地址即可
可以找出分别为80:e1:26:33:32:31和52:00:52:10:13:14


97d79a5f219e6231f7456d307c8cac68
流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)
搜索找到QQ_WF_SP8OON第一次出现的时间

Apr 9, 2025 02:31:26.710747000 UTC
2025/4/9 02:31:26
起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)
在最下面有,也可以将含有cracked的数据另存为json文件,导出问AI

0x0701434839313430
起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )
后面是usb流量的取证,大概率是使用flipper zero实现rubber ducky的功能
实质就是USB模拟成键盘,输入指令让电脑执行
工具有很多------https://github.com/p0ise/pcap2text 或者 CTF-NetA


这个有必要吗,害我做错了,暴打出题人

Wang_Qi_Zhao
起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )

7
倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )
同上图片
命令:net user qianqianwoaini$ abcdefghijkImn /add
53af9cd5e53e237020bea0932a1cbdaa
起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )

0566c1d6dd49db699d422db31fd1be8f