Sep's Blog

2024 网鼎杯 半决赛 安全运营挑战赛 威胁分析题目提供了以下附件 dump.mem disk.ad1 disk.ad1.txt 其中，文件 disk.ad1.txt 的内容为 123456789101112131415161718192021222324252627282930313233343536Created By AccessData® FTK® Imager 4.7.1.2Case Information:Acquired using: ADI4.7.1.2Case Number:Evidence Number:Unique Description:Examiner:Notes:--------------------------------------------------------------Information for C:\Users\skills\Desktop\disk.ad1:[Custom Content Sources] F:\:NONAME [NTFS]|[root]|Windows|*(Wildcard,Consider...

Silent Visitor牢死了www 12345678A user reported suspicious activity on their Windows workstation. Can you investigate the incident and uncover what really happened?一位用户报告了其 Windows 工作站上的可疑活动。您能调查此事件并查明真相吗？author: Enigma522https://drive.google.com/file/d/1-usPB2Jk1J59SzW5T_2y46sG4fb9EeBk/view?usp=sharingnc foren-1f49f8dc.p1.securinets.tn 1337 只给了一个test.ad1文件 1.What is the SHA256 hash of the disk image...

Master of DFIR - Coffee1234567题目描述随着调查的深入你发现情况比你预想得要复杂很多, 你逐步发现了更多入侵的痕迹"看起来不能这么早就休息了" 于是你继续投身于下一步的调查中你需要继续完成题目帮助饥渴 C 猫发掘所有的真相 task1：(1)受害者主机名是什么? 示例: DESKTOP-J6QZVBD DESKTOP-28DGVAU (2)受害者操作系统是什么版本? 以 C2 回显为准 示例: Microsoft Windows 7 专业版 Microsoft Windows 10 教育版 得知AES密钥后即可解密流量中的通信 在流四中，解密这一条可以得到 task2：(1). 控制端ClientId是多少? 示例:c723d01b-5dc1-2601 a55330f4-83c2-4081 (2). 受害者主机的systemId是多少?...

玄机靶场-第一章 应急响应-Linux日志分析1234567账号root密码linuxrzssh root@IP1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割3.爆破用户名字典是什么？如果有多个使用","分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户，用户名是多少 1.有多少IP在爆破主机ssh的root帐号，如果有多个使用”,”分割 小到大排序 例如flag{192.168.200.1,192.168.200.2} flag{192.168.200.2,192.168.200.31,192.168.200.32} 首先进入/var/log下查看auth.log文件，发现并没有什么东西，只有一个登录成功的日志 遂去查看auth.log.1，题目要求是爆破主机root账号的，直接过滤Failed password for root...

Master of DFIR - Phishing:123456题目内容：饥渴C猫是一个刚刚入职的员工，但是最近他发现自己的电脑变得越来越奇怪。可能由于是之前他接受的一封奇怪的邮件，于是饥渴C猫找到了你,他希望你作为取证-应急响应大师可以帮忙。你可以完成调查到底发生了什么并且填写相关的调查报告。提示：第六问指得是解密完载荷后可以看到一个s******s的函数(*不代表正确长度) 然后你需要去提交该函数的参数,这个参数是需要解字符串混淆后的一段字符串 并且将这段字符放到cyberchef MD5一下第12问的最终载荷指得是RAT的载荷 java的马和本题目毫无关系 task1:(1).攻击者的邮箱是什么? (注意:MD5(攻击者邮箱),以cyberchef的为准) 示例:9b04d152845ec0a378394003c96da594 a8cd5b4ba47e185d4a69a583fde84da5 (2). 受害者的邮箱是什么? (注意:MD5(受害者邮箱),以cyberchef的为准)...

solar应急响应月赛-9月赛特洛伊挖矿木马事件排查1你是一名初级安全工程师，运维团队报告，公司的一台核心开发服务器（Ubuntu 22.04 LTS）出现CPU使用率异常飙高告警及安全设备检出外联挖矿事件。现在，你需要登录该服务器，排查并处置这一安全事件，并最终找出问题的根源。账号：root，密码：P@ssw0rd 任务11234567任务名称：提交挖矿文件的绝对路径任务分数：100.00任务类型：静态Flag提交挖矿文件的绝对路径，最终以flag{/xxx/xxx}格式提交 /tmp/kworkerds root下进行top命令没有反应，更改solar用户密码进入solar用户执行top命令 发现正运行的进程中kworkerds反常，猜测这个是恶意挖矿程序，netstat -nlpt确定一下 find / -name...

siemflag1:攻击者的ip是什么 192.168.41.143 首先释放虚拟机后，登录虚拟机，可以发现是一个wazuh的服务器，遂查看网络端口详情 虽然题目中给了http://ip:80,但实际上确是https://ip:443 进入平台后，发现有三台机器 名为app的ubuntu机器运行着服务，查看其日志 进入Threat...

第三届“陇剑杯”网络安全大赛-RHG人工智能赛第1轮webshell应急响应...

2025WMCTFGitHackerflag第一部分首先使用git reflog查看历史操作记录 123456793ab7b9 HEAD@{1}: reset: moving to HEAD~1d504bbf HEAD@{2}: commit: encryptedFile93ab7b9 HEAD@{3}: commit: change password6ec92bc HEAD@{4}: reset: moving to HEAD~1a026274 HEAD@{5}: commit: password6ec92bc HEAD@{6}: commit: encryptedFile6b6285c HEAD@{7}: commit (initial):...

2022年 AHWA比武题...