Sep's Blog

2025长城杯国赛半决赛 应急响应小路是一名网络安全网管，据反映发现公司主机上有异常外联信息，据回忆前段时间执行过某些更新脚本（已删除），现在需要协助小路同学进行网络安全应急响应分析，查找木马，进一步分析，寻找攻击源头，获取攻击者主机权限获取 flag...

2024-数证杯初赛-复现计算机取证1.对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44） BDBE1073 ESP (EFI System Partition) 是一个小型的、格式化为 FAT32 的特殊磁盘分区，它是 UEFI 启动电脑的核心组成部分。 故这里的分区二即为esp分区，计算其sm3值可得0F996FF3689734140D027383B87CA400FBB1083EB813E1A687D931C8BDBE1073 2.对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） 2024-10-25...

R3CTF2025-Forensics-复现The R3 Pig Problem 数据传输间隔隐写（更像misc 提取tcp流，发现没两个包之间的时间查有规律，随提取，大于0.1s的记为1，小于0.1，在0.02附近的记为0 另存为，然后写代码转化 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748import reimport sysdef main(): # 从命令行参数获取文件名 if len(sys.argv) < 2: print("请将txt文件拖到脚本上执行") return filename = sys.argv[1] result_bits = [] try: with open(filename, 'r') as file: for line in file: ...

NepCTF-MISC-WP客服小美12025年的一个午后，客服小美满怀期待地点开了那封标题为“关于2025年部分节假日安排”的邮件，结果嘛……你懂的，套路来了！作为应急响应界的“技术侦探”，现在轮到你出手啦！你的任务是找出被控机器的用户名、揪出那个偷偷通信的钓鱼木马地址，顺便看看有没有啥敏感信息被顺走。快来动动脑，展现你破案如神的本领吧！flag格式例如：NepCTF{xiaomei_8.8.8.8:11451_secret} 中规中矩的内存取证+流量分析题 在系统信息中得知被控机器的用户名 JohnDoe 根据题目描述可知,应该是点击了恶意软件导致的，查找网络连接信息，得知钓鱼木马地址为192.168.27.132:12580 这俩很快就能找到，偷走的敏感信息估计在流量中 打开流量文件，根据流量特征和GET路由/TJvI判断为Cobalt...

L3AKCTF(复现)Ghost In The Dark123456789A removable drive was recovered from a compromised system. Files appear encrypted, and a strange ransom note is all that remains.The payload? Gone.The key? Vanished.But traces linger in the shadows. Recover what was lost.Password to open zip - L3akCTF 给了一个GhostInTheDark.001 的文件，rstudio打开发现 有这些文件貌似和flag有关，其中被删的文件中，loader.ps1包含一段代码 12345678910111213141516171819$key = [System.Text.Encoding]::UTF8.GetBytes("0123456789abcdef")$iv =...

2024-美亚个人案情于 2024 月 8 月某日, 警方接获一名本地女子 Emma 报案, 指她的姊姊 Clara 失联多天, 希望报告一宗失踪人口的案件. 现在你被委派处理这宗案件. 于处理该案件期间, 你在 Emma 的同意下提取了她手机的资料, 并且协助警方对 Clara 及其丈夫 David 的电子装备进行取证工作. 请分析以下的资料, 还原事件经过. 资料: Emma 的 iOS 手机镜像档案 (Emma_Mobile_Image.zip) Clara 的安卓手机镜像档案 (Clara_Smartphone.bin) David 的 Windows 系统计算器镜像档案 (David_Laptop_64GB.e01) David 的 8GB U 盘镜像档案 (David_USB_8GB.e01) David 的安卓手机镜像档案 (David_Smartphone_1.zip) David 的 Windows 系统计算器内存档案 (RAM_Capture_David_Laptop.raw) Emma 的手机 Emma 已经几天没有收到她姐姐 Clara 的消息了,...

从群里得知了，scu校赛的事情，可惜已经结束了，从aura那里拿到了misc的题，做做看。 [BOSS😱]Broken CentOS1000 pts作者 @Aura 难度 BOSS 本题改编自真实事件。这是一个出现异常的CentOS，在登录系统时，无论用户名和密码是否正确，你都无法进入系统，请你通过技术手段，找到导致此问题的核心原因。答对全部问题可获得本题flag。 本题需要 nc 连接，如果出现乱码，请输入 chcp 65001 初始用户名和密码： 123root123456# 保证用户名和密码绝对正确！ wp：这题有点意思，尝试登录显示login incorrect 进入单用户模式，cat /var/log/secure查看登录记录， 可以看到我们没登录之前，是可以正常登录的，登录后 显示，pam_tally2(login:auth): bad number supplied: deny=和pam_succeed_if(login:auth): requirement "uid >= 1000" not met by user...

[案件背景]2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。 在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。 接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。 手机取证11234561、嫌疑人李某的手机型号是？ A. Xiaomi MI 2s B. Xiaomi MI 4 C. Xiaomi MI 6 D. Xiaomi MI...

...

在一起涉网诈骗案件中，办案机关扣押了嫌疑人的电脑以及调取了涉案相关的服务器数据，要求对其数据进行检验分析。 介质与手机11请计算计算机的磁盘SHA256值 取证大师计算 1234[2025-05-15 09:06]名称: D:\Desktop\CTF_study\2022didctf_qz_fx\磁盘镜像.E01; 设备类型: 磁盘镜像; 大小: 111.79 GB; 扇区数: 234,441,648; 计算扇区数: 234441648; 起始扇区: 0; 结束扇区: 234441647; 设备序列号: ; SHA-256值: 2B18B049698C725E42BCF9A8ED04B6D206F9473FC5D23571EAEC3F1E1E71BF9E...