Sep's Blog

服务器取证先把检材仿真，起来，由于master和node的节点已经写好了，于是不尝试修改这几个机子的ip，直接修改nat的网段为50 可以正常连接，也可以ping通root、 1. node1节点的磁盘设备SHA256值前六位是？(字母全大写，答案格式：AAAAAA) FC9A34 node1节点是第二个镜像，xwf计算 2. 集群配置了多少个node节点？（答案格式：1） 2 kubectl get nodes 3.嫌疑人于什么时间修改master节点的root密码？（使用双位数格式，答案格式：00:00:00） 09:35:59 .bash_history里有和修改密码相关的，但是没有时间 于是去日志中看看 得到时间 4. Docker的安装日期是？（使用双位数格式，答案格式：01月01日） 04月08日 centos的系统，在history中也能看到是用yum下载的， 直接看yum的历史记录 5. Docker通过配置守护进程以使用全局代理，该代理地址的端口是？（答案格式：1） 4780 查看守护进程的配置文件 6....

Signin 直接修改分为100 RCTF{W3lc0m3_T0_RCTF_2025!!!} Speak Softly LoveChallenge 1: Video ID Even with the limited hardware of that era, this small player could still produce surprisingly gentle melodies. Please help me locate the ID of the original upload of this piece. 附件是一个视频，打开看看 根据题目要找到视频的id，尝试关键词搜索 得到id8ssDGBTssUI Challenge 2: Code Revision The developer behind it has quietly maintained his corner of the net for many years. Please help me locate the version entry in the...

签到123：）附件的压缩包中有个gif文件。请尝试从这个文件中提取flag。 直接用随波逐流分解gif，然后再用他的合并图片功能合并个7-8张就好了 猜猜旗1234567下发的口令验证系统采用了一种特殊的检查，只有输入正确的 flag 才能通过验证。你的任务： 根据验证系统的响应，找出唯一正确的 flag。 直接输入正确的 flag 完成挑战。下发文件：handout.zip（内含验证机制相关程序，可辅助理解响应）本题需要使用赛前准备中强调的python3.12+linux环境，否则可能无法运行验证系统！ flag{Whose_y0u_1s_Th3_b0ss?!#@} pyarmor 打包的文件，直接用 https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot 一把梭就行了。 谁真正远程执行了命令？123456789101112131415161718192021数字王国“皇家档案”网站遭遇海量攻击，安全团队导出了最近的 10000 条 Web...

Ciallo_Encrypt有意思的题 首先需要根据网站的信息找到项目的github地址 根据网站下方名字可以找到Yu2ul0ver/Ciallo_Encrypt0r: This is a custom-developed encryption tool based on the Ciallo framework. 能找到客户端的源码，同时在commit中，发现了对源码的更改 可以得知账号和密码的来源 在closed的issues中可以找到作者的qq号， 可以尝试使用qq邮箱3517508570@qq.com，密码为md5(Ciallo_Encrypt0r)=f42e16b836b22e83fd3818b603c75dc6，可以成功登录管理端 在管理端的日志中发现之前被加密过的密文，猜测为flag，根据仓库中的app.py所以需要找到加密算法的代码 根据网站中的一段base64可得5qC45b+D5Luj56CB5oiR5bey5bCG5YW25pS+6L+b5LqGZm9ya+eahOengeS6uuS7k+W6k+mHjA== -->...

带*号的为复现（呜呜呜） Personal Vault直接搜索flag{得到 flag{personal_vault_seems_a_little_volatile_innit} The_Interrogation_Room找到必胜策略 1234567891011121314151617Q01: ( ( S1 ) == S4 ) == 0Q02: ( ( ( ( S0 ) == S6 ) == 0 ) == S7 ) == 0Q03: ( ( ( ( ( ( S1 ) == S2 ) == 0 ) == S6 ) == 0 ) == S7 ) == 0Q04: ( ( S2 ) == S5 ) == 0Q05: ( ( ( ( ( ( S2 ) == S3 ) == 0 ) == S4 ) == 0 ) == S7 ) == 0Q06: ( ( ( ( ( ( ( ( ( ( S0 ) == S2 ) == 0 ) == S3 ) == 0 ) == S4 ) == 0 ) == S5 ) == 0 ) == S7 ) == 0Q07: ( ( S5 )...

电子数据分析-aipowah1.服务器rootfs采用的文件系统格式（全小写，如：apfs） flag{xfs} 2.AI诈骗站点的域名。 flag{y8fmin.wf941021.org} 3.服务器运维人员的主机名（全小写，如：web01）。 flag{akiyamachine} 一开始以为是机器的hostname，其实不是，是运维人员的主机的主机名 在ssh的authorized_keys中发现 4.用于诈骗聊天的AI模型名称（如：DeepSeek-V3.1-Terminus）。 flag{Qwen3-30B-A3B-Instruct-2507} 在用户的下载中看到网站的源码，但是压缩包有密码 那么仿真之后，尝试进入docker（注：仿真后需要使用sudo dhclient -v ens33申请ip） cat...

2024 网鼎杯 半决赛 安全运营挑战赛 威胁分析题目提供了以下附件 dump.mem disk.ad1 disk.ad1.txt 其中，文件 disk.ad1.txt 的内容为 123456789101112131415161718192021222324252627282930313233343536Created By AccessData® FTK® Imager 4.7.1.2Case Information:Acquired using: ADI4.7.1.2Case Number:Evidence Number:Unique Description:Examiner:Notes:--------------------------------------------------------------Information for C:\Users\skills\Desktop\disk.ad1:[Custom Content Sources] F:\:NONAME [NTFS]|[root]|Windows|*(Wildcard,Consider...

Silent Visitor牢死了www 12345678A user reported suspicious activity on their Windows workstation. Can you investigate the incident and uncover what really happened?一位用户报告了其 Windows 工作站上的可疑活动。您能调查此事件并查明真相吗？author: Enigma522https://drive.google.com/file/d/1-usPB2Jk1J59SzW5T_2y46sG4fb9EeBk/view?usp=sharingnc foren-1f49f8dc.p1.securinets.tn 1337 只给了一个test.ad1文件 1.What is the SHA256 hash of the disk image...

Master of DFIR - Coffee1234567题目描述随着调查的深入你发现情况比你预想得要复杂很多, 你逐步发现了更多入侵的痕迹"看起来不能这么早就休息了" 于是你继续投身于下一步的调查中你需要继续完成题目帮助饥渴 C 猫发掘所有的真相 task1：(1)受害者主机名是什么? 示例: DESKTOP-J6QZVBD DESKTOP-28DGVAU (2)受害者操作系统是什么版本? 以 C2 回显为准 示例: Microsoft Windows 7 专业版 Microsoft Windows 10 教育版 得知AES密钥后即可解密流量中的通信 在流四中，解密这一条可以得到 task2：(1). 控制端ClientId是多少? 示例:c723d01b-5dc1-2601 a55330f4-83c2-4081 (2). 受害者主机的systemId是多少?...

玄机靶场-第一章 应急响应-Linux日志分析1234567账号root密码linuxrzssh root@IP1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割3.爆破用户名字典是什么？如果有多个使用","分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户，用户名是多少 1.有多少IP在爆破主机ssh的root帐号，如果有多个使用”,”分割 小到大排序 例如flag{192.168.200.1,192.168.200.2} flag{192.168.200.2,192.168.200.31,192.168.200.32} 首先进入/var/log下查看auth.log文件，发现并没有什么东西，只有一个登录成功的日志 遂去查看auth.log.1，题目要求是爆破主机root账号的，直接过滤Failed password for root...