avatar
文章
79
标签
42
分类
11
主页
博文
  • 归档
  • 更新
  • 分类
  • 标签
社交
  • 留言板
  • 友链
关于
落殷回的博客【雨蓝】私密比赛1 返回首页
搜索
主页
博文
  • 归档
  • 更新
  • 分类
  • 标签
社交
  • 留言板
  • 友链
关于

【雨蓝】私密比赛1

发表于2025-10-25|更新于2026-01-15|雨蓝
|总字数:10|阅读时长:1分钟|浏览量:
文章作者: luoyinhui
文章链接: https://luoyinhui.github.io/posts/a694b80f/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 落殷回的博客!
wp电子取证
赞助
  • 微信
    微信
  • 支付宝
    支付宝
cover of previous post
上一篇
【雨蓝】保密归档
cover of next post
下一篇
【笔记】电子取证常识笔记
赛前准备 思路拓展 bitlocker window cmd管理员 window 自带计算哈希 win+R 输入 recent 进入最近访问的文件 VMware Tools 传输缓存目录 后缀 微信 记录数据库 手机 真实的IMEI是15位 手机的型号——搜Model 手机SIM卡序号——搜SimSerialNumber 安卓 版本号Build Number IOS 电脑 共用 mac 图片 通用唯一标识符UUID/GUID 苹果实况照片 后置摄像镜头拍摄 数据库中文件类型判断 火眼 Apple ID 电话卡集成电路卡标识符ICCID/手机网络运营商公司的名称 微信账号 搜索 应用安装时间 软件技巧 vscode 格式化json Xways 右键属性 特殊属性 SSID 已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量 已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian) 已删除文件的第一个运行偏移量(Run Offset) 已删除的文件的第一个运...
相关推荐
cover
2025-10-01
【比赛】第三届长安杯笔记
鸣谢 感谢sq学长和cty学姐的帮助和教导!!! 第一个大型比赛复刻学习结束了,好累(。し_し。)但是继续出发(≧▽≦)哈哈哈 2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包–zhibo.apk(检材一),请各位回答下列问题:(题目中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021) 1. 请计算检材一Apk的SHA256值: 1)直接将apk拖入hashcal计算 2)雷电APP智能分析直接出,但注意SHA256的主体是检材 3)window自带工具:certutil -hashfile 检材一-zhibo.apk sha256 2. 该APK的应用包名为 1)使用jadx反编译,查看AndroidManifest.xml,pack...
cover
2025-10-06
【刷题】SPC新生讲座题目wp
鸣谢 感谢sq,xc学长和cty学姐的帮助和教导!!! 除了大头像放后面做其他也是完结了,第一次wp磕磕绊绊做出来了嘻嘻 曼波曼波曼波 倒转的base,翻转脚本: # 读取 txt 文件并翻转内容def reverse_txt_file(input_path, output_path): try: with open(input_path, 'r', encoding='utf-8') as file: content = file.read() reversed_content = content[::-1] with open(output_path, 'w', encoding='utf-8') as file: file.write(reversed_content) print(f"成功!原文件: {inpu...
cover
2025-10-20
【刷题】ctfshow-web合集wp
web入门 信息搜集 web1 使用浏览器自带的审计功能F12可以查看网站源代码. 前端的HTML(超文本标记语言)中,如果想要添加注释,需要使用 注释标签。该标签用来在源文档中插入注释,注释不会在浏览器中显示。 在URL前可以通过添加 view-source:URL 实现绕过前端限制显示网页源码. web2 JavaScript实现禁用代码审计 js前台拦截完全就是无效操作 因为js前台拦截可以有三种方法获取 禁用js: 直接ctrl+u 抓包 直接在url前边加view-source: web3 自带工具直接抓包 web4 提示了robot题型 web5 phps源码泄露 PHPS 文件是 PHP 源代码文件,通常用于通过 Web 浏览器直接查看 PHP 代码内容。然而,这种文件可能导致源码泄露,带来安全隐患。 法一:使用工具:dirsearch http状态码 法二: php语言编写网站的主页文件是index.php web6 题目 解压源码到当前目录,测试正常,收工 考察代码泄露。直接访问url/ww...
cover
2025-10-15
【刷题】ctfshow-pwn合集wp
致谢 感谢sq学长、My6n、Ambb1、Claire_cat的笔记 感谢sq学长的帮助 pwn入门 Test_your_nc pwn0【待】 通过打开容器后获得命令,在finalshell通过手动输入信息成功ssh连上 注意:虚拟机开启NAT模式才能连上,更改模式后重启才生效 pwd指令查看当前目录 ls发现当前目录下没东西 cd /回到上一级目录 ls发现当前目录下有文件ctfshow_flag cat ctfshow_flag得到 flag pwn1 chmod 777 pwn给附件加权限 checksec pwn查看附件信息,64 位 wp要ida看但其实试运行一遍还有题目都提示nc链接,容器给的命令直接复制黏贴就好了 pwn2 加权限-查信息-运行-nc连接-shell输入代码 system(bin/sh)就是给shell?? pwn4 反编译程序理解-shell获得 前置基础 pwn5 题目: 运行此文件,将得到的字符串以ctfshow{xxxxx}提交。 如:运行文件后 输出的内容为 Hello_World 提交的...
cover
2025-11-21
【比赛】2025美亚个人复盘
致谢 感谢sq学长的wp 资料 VC密码: 个人赛:FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h 团体赛:ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9 学习西电 (怎么这么厉害我嘞个豆)(存档下) 来源:https://forensics.xidian.edu.cn/wiki/MeiyaCup2025Individual/ 在检材中的 /var 目录中存储着 Info.plist Manifest.plist Manifest.db Status.plist 和文件扩展名添加了 _DEC 的 4 个文件: 文件名包含 _DEC 的是提取工具生成的解密后的文件, 因此使用这些解密后的文件覆盖原始加密的文件, 并使用 Plist Editor 将 Manifest.plist 中将备份是否加密的标志改为 false 即可得到未加密的检材文件. 之后即可将该目录作为文件集合挂载在火眼取证中进行分析了. 或者, 也可以不对文件进行覆盖, 而是只删除 Manifest.db 并对 Menifest.plist 中的加密标志进...
cover
2026-01-13
【比赛】2026-furryCTF
持续更新中...
评论
avatar
luoyinhui
记录踩坑与瞎折腾,由Hexo+Github搭建
文章
79
标签
42
分类
11
Follow Me订阅RSS
公告
欢迎来到我的博客!
目录
  1. 第五届全国刑事技术技能大赛实操 · 电子物证-手机部分
    1. 1. 根据华为手机备份分析,手机型号是什么?
    2. 2. 根据小米手机备份分析,手机 IMEI 是多少?【错题】
    3. 3. 根据华为手机备份分析,使用的“备份(localBackup)”APP 的版本号是多少?【错题】
    4. 4. 根据华为手机备份分析(备份密码为:a1B2C3D4#),通讯录中“耗子”的手机号码是多少?
    5. 5. 根据华为手机备份分析,机主设置了在哪一天“给‘耗子’送‘鱼’”这个提醒?
    6. 6. 根据小米手机备份分析,机主的家庭地址所在省份是什么?
    7. 7. 根据小米手机备份分析,请给出 WIFI SSID 为“work_5G”的密码是多少?
    8. 8. 根据小米手机备份分析,在其相册中有一张照片使用 photoshop 篡改过,请给出这张照片的名称是什么?【错题】
    9. 9. 同上,请分析出此照片使用 photoshop 的修改时间是?【错题】
    10. 10. 根据小米手机备份分析,手机中登录过几个 QQ 号?
    11. 11. 根据小米手机备份分析,微信好友“wxid_8gmzat7zjnmf22(SunShine)”发给嫌疑人的“membership_commission.sql”脚本文件的 SM3 后六位是多少?
    12. 12. 同上,通过“membership_commission.sql”脚本文件,请给出会员级别为“gold”的会员人数是多少?
    13. 13. 同上,通过“membership_commission.sql”脚本文件,请给出会员级别为“silver”且消费金额高于同级别会员(silver)平均消费金额的会员数量是多少?
    14. 14. 根据小米手机备份分析,微信中“客户信息.xls”有密码保护,已知密码为 4 位数字,请给出这个文件的密码是多少?
    15. 15. 根据小米手机备份分析,请统计“客户信息.xls”中“电话”列不为空且“城市”为“北京”的数据总共有多少条?
    16. 16. 根据小米手机备份分析,app“umanager”使用 Sqlite 数据库存储数据,其中记录用户信息的表“users”数据已被删除,请分析用户名为“uUser_eelum”的电话号码是多少?【错题】
    17. 17. 同上,在“umanager”app 中有一个配置文件 config.json.enc,但此文件使用 AES 对称加密,请分析此加密密钥是什么?
    18. 18. 同上,在配置文件 config.json.enc 中记录了管理员 admin 的密码,请给出其密码是什么?
    19. 19. 根据小米手机备份分析,“umanager”app 中有一个 transactions.json 文件记录了每个用户收入与支出,请统计用户 ID 为 1512 的总收入是多少?【错题】
    20. 20. 根据小米手机备份分析,在 app“v2rayNG”中类型为“VLESS”的代理有多少个?
  • 第五届全国刑事技术技能大赛实操 · 电子物证-计算机部分
    1. 1. U 盘的第几 M 存在不稳定扇区(编号从 0 开始)?
    2. 2. 这个不稳定扇区影响了哪个文件?(请给出文件名)
    3. 3. 按相同思路对 disk#2.dd 计算 MD5 列表哈希,最终 MD5 哈希值的后 6 位是多少(字母大写)?
    4. 4. ID 为 S006 的销售人员 2024 年第 3 季度的销售额是多少?
    5. 5. 这个电子邮箱的用户名是什么?
    6. 6. 程序运行时需要依赖的一个 .pem 的文件名称叫什么?
    7. 7. 程序运行时需要访问的注册表键值中,用到了 HKCR 下某个文件扩展名的子键值(如:HKCR.bat\CombinedValidation 的 REG_SZ 值)。该哈希字符串值的最后 6 个字符是什么(字母大写)?
    8. 8. 使用用户名 admin,密码 trek2025 登录系统,程序仿真运行后,ID 为 1014 的用户其提成总计是多少?
    9. 9. ID 为 1066 的用户,其提成总计是多少?
    10. 10. ID 为 1042 的用户,其提成总计是多少?
    11. 11. ID 为 1082 的用户,其提成总计是多少?
    12. 12. ID 为 1066 的用户,其提成总计是多少?
    13. 13. ID 为 1062 的用户,其提成总计是多少?
    14. 14. C14\data.pdf 文件无法打开,怀疑进行了简单的加密。请分析文件结构,尝试解密文件,并回答文件第一页中记录的密码是什么?
    15. 15. 问题 1:这个文件的头部位于磁盘的哪个扇区?(扇区大小:512 字节,扇区编号从 0 开始)
    16. 16. 问题 2:这个文件的尾部位于磁盘的哪个扇区?(扇区大小:512 字节,扇区编号从 0 开始)
    17. 17. 问题 3:文件中记录的 bitlocker 恢复密钥的后 6 位是什么?
    18. 18. 不稳定 U 盘中存储了 key.zip 和其备份 key.bak.zip,导出后两者都打不开。请修复该压缩文件,回答修复后 zip 文件的 SHA256 哈希后 6 位(大写字母):
    19. 19. 请综合分析 U 盘存储特征,判定被篡改的具体文件,并回答其文件名称。
    20. 20. bak194 目录下哪个密钥是管理者使用?(回答文件名称)
  • 第五届全国刑事技术技能大赛实操 · 电子物证-服务器部分
    1. 1. 以 HMAC 密钥 trek132 计算 s1_2/lzop-1.04.tar.gz 的 HMAC-SM3 哈希值,填写哈希后 6 位(字母大写)
    2. 2. 编译 lzop 源码后对 “s1_2/55932.pem.lzo” 解压,回答解压出的唯一文件的 SHA256 哈希后 6 位(字母大写)
    3. 3. 还原 s3_4/webbak 网站,以 http://admin.trek2025.ngo/ 为域名进行访问,回答登陆界面显示的 build id
    4. 4. 见上题,还原网站后使用 admin 尝试登陆后台,密码输错后页面中显示的密码提示的 5 位数字是什么
    5. 5. exam-allinone-flat.tar.xz 是 Docker 容器导出副本。找到网站“comet”对应的 SIGN.pem 并计算其 SHA1 哈希后 6 位(字母大写)
    6. 6. d3systemd-with-services-flat.tar.xz 是 Docker 容器导出副本。分析容器激活时 4 个网站是否 active,用 0~15 表示。
    7. 7. 该组织架构共有多少层(从某个管理员开始的最深一层为准,管理员记 1 级)
    8. 8. 会员表中 ID 为 7623 的人员位于人员层级的第几层(管理员为第 1 层)
    9. 9. ID 为 7623 的人员,其下层人数的总佣金(分红)为多少(算法:下第 1 层 5%,第 2 层 3%,第 3 层 1%,第 4 层及以下不计算)
    10. 10. 尝试利用 chroot 或单用户模式修改 “s10/bypass_vmware/bypass_case.vmdk” 中 root 口令。执行 passwd 修改为 trek1009 后屏幕输出的 Executive Code 是多少
    11. 11. key-chal_deleted.tar.xz 是 Docker 容器导出副本。恢复其中的 117.pem 文件,并回答其 SHA1 哈希后 6 位(字母大写)
    12. 12. 虚拟机中曾有名为 5b630a9dab1b 的 Docker 容器于 2025/09/01 和 2025/09/02 日频繁重启。找到该日志数据,回答某天 19:51:52 的重启记录里时间戳纳秒部分的后四位数字。
    13. 13. 找出该 Linux 二进制可执行文件,回答其文件名称
    14. 14. 找出该 trek 格式归档包,回答其文件名称
    15. 15. 找出该 sqlite 数据库片断,回答其文件名
    16. 16. set_101.tar.gz 解出的网站 nginx 日志(combined log format),统计 referer 为 “http://www.trek2025.ngo/tcrm/legal-case” 的唯一 IP 地址数量
    17. 17. 分析包含 NTFS 文件系统的 RAID,找出创建 RAID 时的成员硬盘,并按数字从小到大组成类似“1236”的字符串(不能排除掉线盘)
    18. 18. 该包含 NTFS 文件系统的 RAID,其组成结构的 chunk 大小为多少 KB
    19. 19. 该 RAID 的组成方式最为符合下图的哪一种结构(仅指校验模式、数据排列方法,不特指成员盘数量)
    20. 20. 从该 RAID 中恢复 data01.zip 文件,并回答其 SHA256 哈希后 6 位(字母大写)
  • 第五届全国刑事技术技能大赛实操 · 电子物证-物联网部分
    1. 1. 该存储镜像 RAW 格式的 SHA256 哈希值后 6 位(字母大写)为多少
    2. 2. 该路由器后台管理地址是什么
    3. 3. 该路由器主机名称是什么
    4. 4. 该路由器使用了哪种开源 vpn 方案
    5. 5. 该路由器中设置的迅雷下载路径是什么
    6. 6. 该路由器下载了什么电影
    7. 7. 该路由器屏蔽了什么广告域名
    8. 8. 该路由器连接的 IPTV 机顶盒 MAC 地址是什么
    9. 9. 该路由器的上网行为管理中禁止什么应用联网
    10. 10. 该路由器的 wifi 启用计划时间范围是什么
    • 最新文章
    【比赛】2026-vnctf
    【比赛】2026-vnctf2026-01-31
    【比赛】2026-n1ctf
    【比赛】2026-n1ctf2026-01-26
    【比赛】2026-unictf
    【比赛】2026-unictf2026-01-25
    【比赛】2026-LilacCTF
    【比赛】2026-LilacCTF2026-01-24
    【比赛】2024-fic
    【比赛】2024-fic2026-01-22
    © 2025 - 2026 By luoyinhui
    搜索
    本地搜索Algolia
    数据加载中
          Search powered by Algolia