2024强网杯Master of DFIR-Phishing
Master of DFIR - Phishing:123456题目内容:饥渴C猫是一个刚刚入职的员工,但是最近他发现自己的电脑变得越来越奇怪。可能由于是之前他接受的一封奇怪的邮件,于是饥渴C猫找到了你,他希望你作为取证-应急响应大师可以帮忙。你可以完成调查到底发生了什么并且填写相关的调查报告。提示:第六问指得是解密完载荷后可以看到一个s******s的函数(*不代表正确长度) 然后你需要去提交该函数的参数,这个参数是需要解字符串混淆后的一段字符串 并且将这段字符放到cyberchef MD5一下第12问的最终载荷指得是RAT的载荷 java的马和本题目毫无关系 task1:(1).攻击者的邮箱是什么? (注意:MD5(攻击者邮箱),以cyberchef的为准) 示例:9b04d152845ec0a378394003c96da594 a8cd5b4ba47e185d4a69a583fde84da5 (2). 受害者的邮箱是什么? (注意:MD5(受害者邮箱),以cyberchef的为准)...
2025solar应急响应9月月赛
solar应急响应月赛-9月赛特洛伊挖矿木马事件排查1你是一名初级安全工程师,运维团队报告,公司的一台核心开发服务器(Ubuntu 22.04 LTS)出现CPU使用率异常飙高告警及安全设备检出外联挖矿事件。现在,你需要登录该服务器,排查并处置这一安全事件,并最终找出问题的根源。账号:root,密码:P@ssw0rd 任务11234567任务名称:提交挖矿文件的绝对路径任务分数:100.00任务类型:静态Flag提交挖矿文件的绝对路径,最终以flag{/xxx/xxx}格式提交 /tmp/kworkerds root下进行top命令没有反应,更改solar用户密码进入solar用户执行top命令 发现正运行的进程中kworkerds反常,猜测这个是恶意挖矿程序,netstat -nlpt确定一下 find / -name...
2025陇剑杯初赛-siem
siemflag1:攻击者的ip是什么 192.168.41.143 首先释放虚拟机后,登录虚拟机,可以发现是一个wazuh的服务器,遂查看网络端口详情 虽然题目中给了http://ip:80,但实际上确是https://ip:443 进入平台后,发现有三台机器 名为app的ubuntu机器运行着服务,查看其日志 进入Threat...
2025陇剑杯-决赛-复现(持续更新)
第三届“陇剑杯”网络安全大赛-RHG人工智能赛第1轮webshell应急响应...
2025WMCTF-GitHacker
2025WMCTFGitHackerflag第一部分首先使用git reflog查看历史操作记录 123456793ab7b9 HEAD@{1}: reset: moving to HEAD~1d504bbf HEAD@{2}: commit: encryptedFile93ab7b9 HEAD@{3}: commit: change password6ec92bc HEAD@{4}: reset: moving to HEAD~1a026274 HEAD@{5}: commit: password6ec92bc HEAD@{6}: commit: encryptedFile6b6285c HEAD@{7}: commit (initial):...
2022安徽网安比武k8s服务器
2022年 AHWA比武题...
2023陇剑杯初赛复现
数据分析-HW哥斯拉 流量分析 hard_web_11服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83) 80,888,8888 首先进去,后找到http流量,可以得知服务器ip为192.168.162.180 TCP连接:SYN ACK RST UTG PSH FIN三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。 所以如果成功建立连接的话,服务器会发送一个synack字段 所以我们可以筛选 1ip.dst == 192.168.162.188 and...
2025长城杯-半决赛-应急响应
2025长城杯国赛半决赛 应急响应小路是一名网络安全网管,据反映发现公司主机上有异常外联信息,据回忆前段时间执行过某些更新脚本(已删除),现在需要协助小路同学进行网络安全应急响应分析,查找木马,进一步分析,寻找攻击源头,获取攻击者主机权限获取 flag...
2024数证杯初赛(复现)
2024-数证杯初赛-复现计算机取证1.对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44) BDBE1073 ESP (EFI System Partition) 是一个小型的、格式化为 FAT32 的特殊磁盘分区,它是 UEFI 启动电脑的核心组成部分。 故这里的分区二即为esp分区,计算其sm3值可得0F996FF3689734140D027383B87CA400FBB1083EB813E1A687D931C8BDBE1073 2.对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00) 2024-10-25...