前言:做的很差,算是低谷。

手机

分析手机镜像 ,请问机身的Wi-Fi 信号源的物理地址是什么? [标准格式:01:02:03:04:05:06]

02:00:00:00:00:00

分析手机镜像 ,请问张大的手机号码尾号是3807的手机号码是多少? [标准格式: 15599005009]

全局搜3807

quot;15680193807“,”

分析手机镜像 ,分析手机镜像 ,其通讯录中号码归属地最多的直辖市是哪里? [标准格式 :天津市]

一眼北京

分析手机镜像 ,嫌疑人最近卸载过的的一款小说APP的名字是什么? [标准格式 :com.tencent.mm]

分析手机镜像 ,嫌疑人使用“逐浪小说”应用最近一次搜索小说书名叫什么? [标准格式 :斗破苍穹]

分析手机镜像 ,嫌疑人曾使用“QQ浏览器”使用过的搜索关键词有几个? [标准格式: 1个]

分析手机镜像 ,嫌疑人曾经安装过的一款AI软件登录的用户名是什么? [标准格式 :用户123456]

接上问 ,嫌疑人在此AI软件中最后一次提问的内容是什么? [按照实际值填写]

继续生成一个

分析手机镜像 ,嫌疑人花费多少元购买小说网站源码? [标准格式 :2000]

接上问 ,嫌疑人购买的小说网站源码的MD5值后六位是什么? [标准格式: 12a34b]分析手机镜像 ,嫌疑人的虚拟钱包地址是什么? [按照实际值填写]

分析手机镜像 ,嫌疑人购买视频网站源码花费了多少USDT? [标准格式: 500]

分析手机镜像 ,其接受过一个远控木马程序( exe) ,请问其MD5值后六位是多少? [标准格式: 12a34b]

e4a090

接上题 ,该exe使用了哪种压缩方式? [标准格式 :TAR]

zip

接上题 ,该exe使用的压缩方式修改了几处特征? [标准格式: 5]

接上题 ,该exe外联的端口号是多少? [标准格式: 3306]

4444

接上题 ,该exe会搜索并加密几种类型的文件? [标准格式: 5]

接上题 ,该exe会释放一个新的exe ,请问新的exe是用哪种编程语言编写的? [标准格式: php]

接上题 ,释放出的exe使用的邮件服务器的授权码是? [标准格式 :scxcsaafas]

分析手机镜像 ,嫌疑人发布的抖音作品是参考哪篇文学巨著生成的? [标准格式 :三国演义]

钢铁是怎样炼成的

分析手机镜像 ,嫌疑人通过抖音发布了几个作品? [标准格式 :6]

5

接上题 ,作品ID为 7564293625007115554 的观众浏览量为几次? [标准格式: 12345]

分析手机镜像,嫌疑人相册中的图片为其非法所得(不考虑重复),请分析其总收益为多少元?[标准格式:12345]

1
2
a=74+41+35+68+74+36+35+17+33+25+42+68+15+92+76+15+36+42+35+74+89+95+94+63+28+43+72+25+18+50+78+56+56+94+12+93+56+89+42+17+78+56+38+93+47+35+56+19+69+67+22+35+32+88+63+74+41+78+63+89+97+56+67+22+88+19+35+97+42+15+50+43+72+94+12+63+18+56+27+78+94+12+56+56+89+93+42+93+38+56+78+94+56+89+25+93+56+56+89+89+42+17+38+42+27+69+68+42+94+78+27+47+67+12+83+42+78+53
print(a)

6577

分析手机镜像 ,嫌疑人电脑的开机密码是多少? [按照实际值填写]

qwe321@@@

计算机

分析Windows检材 , PowerShell中多少个命令关联URL地址(不去重)? [标准格式: 123]

5

qwe123!@#

分析Windows检材 ,VeraCrypt加密容器密码是什么? [标准格式 :v10.1.1]

分析Windows检材 ,加密容器中“密码本.txt”文件的SHA-256哈希值后6位是多少? [标准格式 :全大写]根据实际值填写]

分析Windows检材 ,接上题 ,分析其账单数据中哪个类别的金额最多? [标准格式 :根据实际值填写]

分析Windows检材 , Bit locker的恢复密钥前6位是什么? [标准格式: 123456]

541079

分析Windows检材 ,嫌疑人使用的Windows激活工具的版本是什么? [标准格式 :v10.1.1]

v4.2.8

分析Windows检材 ,嫌疑人电脑中安装的加密软件(非VeraCrypt)版本是多少? [标准格式: 1.2.3]

5.6.0

分析Windows检材 ,接上题 ,该加密软件恢复秘钥文件最后一个单词是什么? [标准格式 :根据实际值填写]

diagnosis

分析Windows检材 , mysql的数据库路径是什么? [标准格式 :C:\MySQL5.7.26\data]

分析Windows检材,数据库中novel_id为3的爬虫代码其爬取的网站域名地址是什么?[标准格式:https://www.baidu.com]

分析Windows检材 ,对比数据库与爬去小说数据 ,数据库中缺少的小说其共有多少章节? [标准格式: 123]

分析Windows检材 ,嫌疑人爬取的小说共有多少汉字(包括繁体汉字 ,不计标点符号) ? [标准格式: 123]

分析Windows检材 ,嫌疑人为躲避侵权 ,将爬取文本中多个不同汉字分别替换成另一些汉字(如“我”→“窝 ”) , 分析共有多少个不同汉字被替换(相同字仅计一次) ? [标准格式: 123]

式 :第0001章.txt]

分析Windows检材 ,对比爬取数据与替换数据 ,是否存在完全没有汉字被替换的文件?若存在 ,请给出文件的数量;若不存在 ,请直接填写“否”。 [标准格式: 123 或者 否]

分析Windows检材 ,嫌疑人使用的默认浏览器名称是什么? [标准格式: Microsoft Edge]

分析Windows检材 ,嫌疑人使用的AI网站的端口是多少? [标准格式: 123]

18480

分析Windows检材 ,嫌疑人使用的AI网站登录密码是多少? [标准格式 :根据实际值填写]

g123123

分析Windows检材 ,嫌疑人利用在线AI模仿创作的小说 ,其第五章标题是什么? [标准格式 :根据实际值填写]

长安的回响

分析Windows检材 ,终点小说初步要求嫌疑人赔偿的经济损失金额为多少万元人民币? [标准格式: 123]

10万元

分析Windows检材 ,根据律师函要求 ,嫌疑人最晚须于几月几日(含当日)前向终点小说提交经审核同意的书面致歉函? [标准格式: 10月12日]

10月29日

分析Windows检材 ,嫌疑人NAS映射的盘符是什么? [标准格式 :C]

分析Windows检材 ,嫌疑人当时正在阅读的小说叫什么名字? [标准格式 :三国演义]分析Windows检材 ,接上题 ,嫌疑人当前看到该小说的第几章? [标准格式 :第一章]

服务器取证

请分析Exsi虚拟化平台是什么时候安装的? [标准格式 :20250102-101258 ,年月日-时分秒 ,北京时间]

20251109-033148 UTC

请分析Exsi虚拟化平台虚拟机使用的ISO镜像大小是多少? [标准格式 :2.58 ,单位 :Gigabyte]

321.75

请分析nas服务器samba应用完整版本标识为? [标准格式: 1.18.26-10.el6_5]

请分析nas服务器samba应用共享目录允许访问的用户名为? [标准格式 :gys666]式:/var/soft/wegame]

某用户在“2025-10-21 18:40:53(北京时间) ”向本地AI模型提问 ,请问其一共提问了几次? [标准格式: 5]接上题 ,第二轮交互总计Token Consumption(令牌消耗)多少个? [标准格式: 10]

请分析AI模型在创建时注册的管理员账号的头像显示的数字是? [标准格式: 15]

单位 :小时 , 四舍五入]

请分析卡密网站后台管理员登录成功后多少小时内无需重新登录? [标准格式 :8 ,单位 :小时]请分析卡密网站微信接口配置的Appsecret是? [标准格式 :字符串 ,全小写]

请分析卡密网站管理员注册了一个商户账号 ,请问商户编号是? [标准格式: 10000]接上题 ,请分析该商户掌灵付微信扫码设置的费率是多少? [标准格式: 1%]

位 :人民币]

嫌疑人将卡密网站的数据定时备份至远程服务器 ,请问远程服务器IP为? [标准格式 :8.8.8.8]

嫌疑人供述web虚拟机储存了一本名为“活在明朝”的小说 ,已经删除忘记怎么恢复了 ,请找到该小说并分析一共有多少章? [标准格式: 100]

接上题 ,小说是什么时候删除的? [标准格式 :20250102-101258 ,年月日-时分秒 ,北京时间]串 ,全小写]

接上题 ,媒体系统管理员最后登录的时间为? [标准格式 :20250102-101258 ,年月日-时分秒 ,北京时间]请分析小说网站“升迁之路”小说第47章叫什么名字? [标准格式 :你好呀]

请分析小说网站小说后台采集来源地址是? [标准格式: baidu.com]

请分析小说网站某用户评论“好东西大家顶”是哪篇小说? [标准格式 :苏大强]

请分析小说网站对接的第三方支付接口的商户密钥是? [标准格式 :完整字符串 , 区分大小写]式:www.baidu.com]

嫌疑人曾在web服务器中备份整套面板数据 ,请问面板备份数据包SHA256值为? [标准格式 :全小写]

流量包

参考:

2025龙信杯流量部分

攻击机的ip是多少? [标准格式: 111.111.111.111]

第14到19号数据包中,IP地址 192.168.111.1在极短的时间内向目标IP 192.168.111.179的多个服务端口发送了TCP SYN包。这是一种典型的TCP SYN端口扫描行为,目的是探测目标主机(192.168.111.179)开放了哪些端口和服务

192.168.111.1

被攻击网站服务器开放端口数量是多少? [标准格式: 1]

CTF-NET-A统计一下

3个

攻击者对参数fuzzing成功数量是多少? [标准格式: 1]

攻击者对目标服务器(192.168.111.179)进行参数模糊测试(Fuzzing)的成功数量,需通过分析HTTP/S请求的异常响应来判断:

HTTP 响应中状态码为 200 或 500是什么意思?

  • 200 OK = 成功:服务器成功处理了请求,并返回了请求的内容。
  • 500 Internal Server Error = 服务器内部错误:服务器遇到了一个意外情况,导致它无法完成请求。

ip.src == 192.168.111.179 && ip.dst == 192.168.111.1 && http.response.code == 200

来源、目的ip定好,状态码=200即可

攻击者在网站服务器上传了一个恶意文件 ,进行了创建文件操作 ,新文件名是什么? [标准格式 :a.txt]

要找出攻击者上传的恶意文件的新文件名,需要通过分析流量包中的 HTTP POST 请求 来定位文件上传操作:http.request.method == "POST" && ip.dst == 192.168.111.179

追踪对应的http流:

views.php

攻击者对网站内容进行了修改,添加恶意链接是什么? [标准格式: http://www.baidu.com/index.php]

在流量包中找有“http”或者“https”的字符串,同时过滤掉本机ip“192.168.111.179”:

strings "lxb.pcapng" | grep -Eo 'http[s]?://[^[:space:]]+' | grep -v "192.168.111.179"

  • **grep -E**:使用扩展正则表达式
  • **-o**参数:只输出匹配到的部分(不是整行)
  • -v:去除包含对应内容的条目

看见其中有很多min.io的网页\adobe\youtube等等网页筛选一下

min.io是什么:一个开源的对象存储服务(类似AWS S3),这可能是网站正常使用的存储服务。

1
strings "lxb.pcapng" | grep -Eo 'http[s]?://[^[:space:]]+' | grep -v "192.168.111.179" | grep -v "min.io" | grep -v "localhost" | sort -u | grep -v "unpkg" | grep -v "youtube" | grep -v "ytimg" | grep -v "w3.org" | grep -v "adobe" | grep -v "images"
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
http://192.168.111.167:9000
http://192.168.111.167:9000/
http://192.168.111.167:9000/browser/pic
http://192.168.111.167:9000/browser/pic/PentestWindows.png
http://192.168.111.167:9000/login
http://".concat(t))}if(i.tryConvertEncoding)try{t=decodeURIComponent(escape(t))}catch(n){}}const
http://crl.usertrust.com/UTN-DATACorpSGC.crl0*
http://example.com
http://fb.me/use-check-prop-types");thr
http://fb.me/use-check-prop-types");throw
http://jsf34.com/
http://ns.attribution.com/ads/1.0/'>
http://purl.org/dc/elements/1.1/"
http://purl.org/dc/elements/1.1/'>
http://r12.c.lencr.org/83.crl0
http://r12.i.lencr.org/0U
https://bit.ly/3cXEKWf")}function
https://blog.
https://blog.min
https://blog.min.
https://blog.min.i
https://d
https://developer.mozilla.org/en-US/docs/Web/API/File_System_Access_API
https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types/Common_types
https://docs.m
https://docs.min.
https://en.wikipedia.org/wiki/Free_and_open-source_software"),"
https://etcd.io/","body":"etcd
https://fb.m
https://fb.me/react-async-component-lifecycle-hooks")}if("function"===typeof
https://fb.me/react-async-component-lifecycle-hooks")}if("function"==typeof
https://github.com/remarkjs/react-markdown/blob/main/changelog.md","#").concat(e.id,">
https://github.com/wojtekmaj/react-pdf#support-for-annotations"),(0
https://github.com/wojtekmaj/react-pdf#support-for-annotations"),(0,s.useEffect)((function(){S({type:"RESET"})}),[S,g]),(0,s.useEffect)((function(){if(!g)return;const
https://github.com/wojtekmaj/react-pdf#support-for-text-layer"),(0,s.useEffect)((function(){y({type:"RESET"})}),[u,y]),(0,s.useEffect)((function(){if(!u)return;const
https://git.io/JUIaE#"+e+"
https://google.com
https://html.spec.whatwg.org/multipage/parsing.html#parse-error-"+t,r(a)}function
https://i
https://i.
https://image
https://m
https://reactjs.org/docs/error-decoder.html?invariant="+e,n=1;n<arguments.length;n++)t+="&args[]="+encodeURIComponent(arguments[n]);return"Minified
https://reactrouter.com/v6/upgrading/future#v7_fetcherpersist"),void
https://reactrouter.com/v6/upgrading/future#v7_normalizeformmethod"),void
https://reactrouter.com/v6/upgrading/future#v7_partialhydration"),void
https://reactrouter.com/v6/upgrading/future#v7_relativesplatpath"),t&&(void
https://reactrouter.com/v6/upgrading/future#v7_skipactionerrorrevalidation"))}(r||(r=n.t(o,2))).startTransition;function
https://reactrouter.com/v6/upgrading/future#v7_starttransition"),void
https://redux.js.org/Errors?code="+e+"
https://w
https://ww
https://www.
https://www.fsf.org/"),"
https://www.gnu.org/licenses/agpl-3.0.en.html"),"
https://www.gnu.org/licenses/agpl-3.0.html",rel:"noopener",className:"link-text",children:"https://www.gnu.org/licenses/agpl-3.0.html."})]}),(0,d.jsxs)(f.azJ,{sx:{paddingBottom:"23px"},children:["Please
https://www.gnu.org/licenses/gpl-faq.en.html#MereAggregation"),"."]}),(0,d.jsx)("p",{}),(0,d.jsx)("h2",{children:"Talking
https://www.linuxfoundation.o
https://www.linuxfoundation.org/hs-fs/hubfs/trademark-kubernetes-icon-correct-140x140-1.png?width=124&name=trademark-kubernetes-icon-correct-140x140-1.png","title":"What
https://www.yo
https://www.yout
https://www.youtu
http://sxh67.com/download.html
http://www.ibm.com/data/dtd/v11/ibmxhtml1-transitional.dtd"===t.toLowerCase())return
http://www.redbooks.ibm.com/Redbooks.nsf/RedbookAbstracts/sg247798.html?Logout&RedirectTo=http://example.com
http://www.usertrust.com1
http://www.videolan.org/x264.html
http://www.w3.
http://x1.c.lencr.org/0
http://x1.i.lencr.org/0
http://xxx&t=js

着重看这种域名很奇怪的这种:

http://jsf34.com/

http://sxh67.com/download.html

前者只是跳转到对应的域名,后者可能是直接的下载域名,所以是后者[http://sxh67.com/download.html](http://sxh67.com/download.html)

分发恶意文件域名是什么? [标准格式: baidu.com]

接上题:

sxh67.com

1
tshark -r "lxb.pcapng" -Y "http.response or http.request"  -T fields -e http.host | grep -v "192.168.111" | grep -v '^$' | grep -v "239.255.255.250"

  • read lxb.pcapng

  • -Y:显示过滤器。它只让符合条件的数据包显示出来。"http.response or http.request":过滤条件,意思是“只显示 HTTP 请求或 HTTP 响应的数据包”。

  • -T fields:指定输出格式为“字段”,即只输出你明确指定的信息。

  • -e http.host-e代表“提取”,这里指定提取每个数据包中的 http.host字段(即 HTTP 请求头中的 Host信息,如 jsf34.com)。

  • grep -v '^$'表示不输出空行。

被控(访问了被修改后的网站)主机ip是什么? [标准格式: 111.111.111.111]

1
2
3
4
5
6
7
tshark -r "lxb.pcapng" \
  -T fields \
  -e frame.number \
  -e ip.src \
  -e ip.dst \
  -e http.host \
  | grep -i "sxh67.com"

-e frame.number这里加了一个帧序号

触发下载恶意文件(setup.exe

所以是主机去下载即source是主机:

192.168.111.167

?攻击者的license-id是什么? [标准格式 :请填写实际值]

1
2
3
4
5
6
7
8
9
10
└─$ strings lxb.pcapng \
  | grep -oE '([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12})' \
  | sort -u \
  | while read uuid; do
      tshark -r lxb.pcapng -Y "frame contains \"$uuid\"" \
        -T fields -e frame.number -e ip.src -e ip.dst \
      | awk -v u="$uuid" '{print $1"\t"$2"\t"$3"\t"u}'
    done
257527  192.168.111.167 192.168.111.1   c35e0431-d430-4606-8412-0ed3854224f4
257527  192.168.111.167 192.168.111.1   d57d7f52-5911-49ad-afc5-1df06e38d7cd

攻击者的秘密是什么? [标准格式 :六位小写字母_六位数字]

密钥在tcp.stream eq 130648流里,16进制复制然后用厨子解密即可得到密钥,将其放到neta里cs流量解密即可

保存好设置对应路径

hahaha_114514

被控主机运行的存储服务 ,及其端口是什么? [标准格式 :amazon_s3:114]

接第5题:

因为筛选网址之后 看到很多min.io,

被控主机运行的 所以是dst的ip是被攻击机

1
tshark -r lxb.pcapng -Y 'http contains "minio"' -T fields -e frame.number -e ip.src -e ip.dst -e tcp.dstport | sort -u

amazon_s3:9000

被控主机最终向远控主机发送心跳包时间间隔是多少? [标准格式: 1s]

被控主机存储桶中文件md5值是什么? [标准格式: 32位小写数字字母]