又是拖队友后腿的一集，给磕了orzorzorz

现在根据网上有的一些答案复现一下吧，以及记录一些题我的做法，争取下次不再拖后腿了orzorzorz

由于至今不会逆向，“ APK程序分析 ”“ 二进制程序分析”两部分就不复现了（（

“数据分析”部分也不复现了~~，做这部分题全靠AI（~~

服务器取证

重建服务器集群

将四个镜像分别仿真起来，然后配到192.168.50.*的网段下

查看所有pod

访问kubernetes的dashboard

1	kubectl create token dashboard-admin --namespace kube-system

获取到token，登录进去，看到pods是有问题的状态

去第四台机器上关一下防火墙

1	systemctl stop firewalld

redis活了

master上有mysql80的配置文件，可从中得知存储目录叫mysql80

可以在第四台机器上通过暴力搜索mysql80这个文件夹找到/data/k8s_data/default/mysql80，数据还在，因此我们创建一下pod

回到master新建pvc卷

1	kubectl apply -f mysql80-pvc.yaml

创建mysql的pod

1	kubectl apply -f mysql-d.yaml

至此mysql的pod恢复完毕

继续恢复发卡网站，看起来网站源码已经被删除，但是pvc中仍有这个卷

第四台机器上有这个网站的源码备份

解压后移动至原目录下

回到master，查看php-nginx-deployment.yaml

发现除了master都没有webdevops/php-nginx:7.4这个镜像，因此打包传给node1和node2

创建pod

1	kubectl apply -f php-nginx-deployment.yaml

报错缺少configmap

创建configmap

1	kubectl apply -f dujiaoka-c.yam

仍然有报错，是连接不到dockerhub，那么看来是镜像名字有问题导致的

修改一下镜像的tag

1	docker tag ac0 webdevops/php-nginx:7.4

captcha-bot由于没有联网所以显示有问题，这无需处理

网站访问成功

至此服务器集群恢复完毕

1

node1节点的磁盘设备SHA256值前六位是？(字母全大写，答案格式：AAAAAA)

7C9A34

2

集群配置了多少个node节点？（答案格式：1）

3

嫌疑人于什么时间修改master节点的root密码？（使用双位数格式，答案格式：00:00:00）

看日志可以找到

09:35:59

4

Docker的安装日期是？（使用双位数格式，答案格式：01月01日）

1	cat /var/log/yum.log

04月08日

5

Docker通过配置守护进程以使用全局代理，该代理地址的端口是？（答案格式：1）

1	cat /lib/systemd/system/docker.service

6

发卡网站使用的Mysql数据库对外访问端口是？（答案格式：1）

由前面的重建过程知

30627

7

发卡网站部署使用的镜像名称是？（答案格式：root/root）

由前面的重建过程知

webdevops/php-nginx

8

当前Telegram群管机器人使用的容器ID的前六位是？（答案格式：123abc）

8fadf5

9

发卡网站使用的缓存数据库是？（答案格式：mysql）

由前面的重建过程知

redis

10

集群中配置的发卡网站代码运行所在的物理目录是？（答案格式：/root/root）

由前面的重建过程知

/data/k8s_data/default/dujiaoka

11

Telegram群管机器人配置的API代理域名是？（答案格式：www.xxx.com）

在第四台机器上找到配置文件/data/k8s_data/default/captchaBot/config/config.toml

kk.xilika.cc

12

嫌疑人在Telegram上创建的群名称是？（答案格式：比武群）

在前面的网站上看到了“交流群唯一地址”，访问一下

西门庆交流群

13

统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为？（答案格式：1）

查看之前我们重建的数据库的pod，可以看到数据库的密码

连接上数据库

按要求查询人数

1	SELECT count(*) FROM captchabot.user_captcha_record AS ucr WHERE captcha_status = 1 AND captcha_success_time >= '2025-06-01 00:00:00';

14

据嫌疑人交代曾在发卡网上删除过一条订单数据，请找出该删除订单的订单号是？（答案格式：请按实际值填写）

找到/data/k8s_data/default/mysql80，导出整个目录，丢给数据库取证工具

binlog.000002的最后一条就是

4V8XNK8Q02MD5D2R

15

发卡网站上2025年6月之后订单交易成功的总金额是？忽略被删除的数据（答案格式：1）

1	select sum(actual_price) from `orders` where `status` = 4 and updated_at >= '2025-06-01 00:00:00';

295202

16

发卡网站的后台访问路径是？（答案格式：/root）

查看网站根目录的.env文件

/admin

17

计算出用户密码算法中Salt的值，并进行Base64编码，结果是？（答案格式：请按实际值填写）

去/data/k8s_data/default/dujiaoka/vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher.php查看加密函数

<?php

namespace Illuminate\Hashing;

use Illuminate\Contracts\Hashing\Hasher as HasherContract;
use RuntimeException;

class BcryptHasher extends AbstractHasher implements HasherContract
{
    /**
     * The default cost factor.
     *
     * @var int
     */
    protected $rounds = 10;

    /**
     * Indicates whether to perform an algorithm check.
     *
     * @var bool
     */
    protected $verifyAlgorithm = false;

    /**
     * Create a new hasher instance.
     *
     * @param  array  $options
     * @return void
     */
    public function __construct(array $options = [])
    {
        $this->rounds = $options['rounds'] ?? $this->rounds;
        $this->verifyAlgorithm = $options['verify'] ?? $this->verifyAlgorithm;
    }

    /**
     * Hash the given value.
     *
     * @param  string  $value
     * @param  array  $options
     * @return string
     *
     * @throws \RuntimeException
     */
    public function make($value, array $options = [])
    {
	$value .= $this->getSalt();
        $hash = password_hash($value, PASSWORD_BCRYPT, [
            'cost' => $this->cost($options),
        ]);

        if ($hash === false) {
            throw new RuntimeException('Bcrypt hashing not supported.');
        }

        return $hash;
    }

    /**
     * Check the given plain value against a hash.
     *
     * @param  string  $value
     * @param  string  $hashedValue
     * @param  array  $options
     * @return bool
     *
     * @throws \RuntimeException
     */
    public function check($value, $hashedValue, array $options = [])
    {
	$value .= $this->getSalt();
        if ($this->verifyAlgorithm && $this->info($hashedValue)['algoName'] !== 'bcrypt') {
            throw new RuntimeException('This password does not use the Bcrypt algorithm.');
        }

        return parent::check($value, $hashedValue, $options);
    }

    /**
     * Check if the given hash has been hashed using the given options.
     *
     * @param  string  $hashedValue
     * @param  array  $options
     * @return bool
     */
    public function needsRehash($hashedValue, array $options = [])
    {
        return password_needs_rehash($hashedValue, PASSWORD_BCRYPT, [
            'cost' => $this->cost($options),
        ]);
    }

    /**
     * Set the default password work factor.
     *
     * @param  int  $rounds
     * @return $this
     */
    public function setRounds($rounds)
    {
        $this->rounds = (int) $rounds;

        return $this;
    }

    /**
     * Extract the cost value from the options array.
     *
     * @param  array  $options
     * @return int
     */
    protected function cost(array $options = [])
    {
        return $options['rounds'] ?? $this->rounds;
    }
	

    protected function getSalt()
    {
	$a = 'sdahjklhl212jkljass';
        $b = hash('sha256', $a, true);
        $c = substr($b, 0, 16);
        $d = base64_decode('xPfGJQaE1zE5d+8=');
        $e = '';
        for($i=0;$i<strlen($d);$i++) {
            $e .= chr(ord($d[$i]) ^ ord($c[$i]));
        }
        return $e;
    }

}

稍作修改后运行得到结果

<?php
function getSalt()
    {
	$a = 'sdahjklhl212jkljass';
        $b = hash('sha256', $a, true);
        $c = substr($b, 0, 16);
        $d = base64_decode('xPfGJQaE1zE5d+8=');
        $e = '';
        for($i=0;$i<strlen($d);$i++) {
            $e .= chr(ord($d[$i]) ^ ord($c[$i]));
        }
        return $e;
    }
echo base64_encode(getSalt());
?>

lAID2ktDeRlGbcg=

18

发卡网站配置的邮件发送人地址是？（答案格式：abc@abc.com）

对上题的文件稍作修改，这样就可以任意密码登录

在后台可以查看到邮箱

ituzz@qq.com

19

当前发卡网站首页仪表盘中显示的发卡网站版本为？（答案格式：1.1.1）

2.0.5

20

当前发卡网站中绑定的订单推送Telegram用户id为（答案格式：请按实际值填写）

6213151597

流量包分析

21

黑客攻击的目标路由器SSID为(答案格式:请按实际值填写)

过滤eapol，看到黑客捕获的wpa协议包

对mac地址过滤，看到ssid

laozhaoWIFI

22

黑客成功捕获了WIFI中WPA协议握手包，其中有效握手包组数为(完整握手为一组)(答案格式:1)

由上题顾虑的eapol可见，有四个有效握手包组

23

黑客爆破得出的WiFi密码为(提示:密码由小写英文字母和数字组成)(答案格式:abcd1234)

过滤http流，在其中发现了路由器的密码

password1110

24

黑客成功连接Wifi后，发现路由器操作系统为?(答案格式:请按实际值填写)

在流量里可以看到是ImmortalWrt

ImmortalWrt

25

黑客对路由器后台进行爆破攻击，该路由器后台密码为(答案格式:请按实际值填写)

networkminer一把梭

password

26

黑客通过修改路由器设置，将被劫持的域名为（答案格式：www.xxx.com）

过滤dns流，发现www.qq.com被解析为了一个内网地址，说明其被劫持

www.qq.com

27

黑客在路由器管理后台发现FTP服务配置，FTP登录密码为?(答案格式:请按实际值填写)

过滤ftp流就能看到密码

mast

28

黑客通过FTP上传了一个压缩包文件，该文件内容为(答案格式:请按实际值填写)

可以看到通过ftp上传了一个压缩包

爆破得到这个压缩包的密码

code:123456789

29

黑客通过路由器执行she1l脚本，反弹shell的监听端口为(答案格式:1)

tcp流量中可以看到是4445

4445

30

黑客通过反弹she1l成功控制目标路由器后，总共执行了多少条命令(答案格式:1)

从ftp传压缩包的流量往后开始找tcp流

先后执行了ifconfig、uname -a、cd /root、ls

计算机取证

41

操作系统的Build版本号是？（答案格式：1）（）

19044.1381

42

操作系统设置的账户密码最长存留期为多少天？（答案格式：1）

仿真一下找

43

用户2登录密码NT哈希值后六位是？（字母全大写，答案格式：AAAAAA）

A9C708

44

蓝牙mac地址是多少？（答案格式：AA-AA-AA-AA-AA-AA）

9C-B6-D0-04-C9-CC

45

SafeImager的产品序列号后四位是？（字母全大写，答案格式：AAAAAA）

09C4

46

123.VHD所处的结束扇区是？

查看123.vhd尾部的标识性字节

用xwf搜到这一段

一个簇8个扇区，因此还得逻辑扇区号+7

27445255

47

用户在BitLocker加密分区最后修改的文件是?（答案格式：abcd.txt）

把提取出来的1.vhd挂起来，在里面发现了bitlocker密钥

对磁盘进行解密，按修改时间排序文件

资料1.txt

48

用户连接 192.168.114.129 时用的会话名称是？（答案格式：按照实际情况填写）

连接阿里云

49

用户创建存储虚拟币钱包地址页面的时间是？（使用双位数格式，答案格式：01 月 01 日）

仿真看到桌面有个叫anytype的类似备忘录的软件，打开可以看到一篇笔记

10月07日

50

用户的虚拟币钱包地址是？（答案格式：按照实际情况填写）

文档中有hint说是总共34个字母，拿出来多解几次base64正好得到

3HrdpWM8ZrBVw9yu8jx1RoNNK6BZxwsHd9

51

用户 VC 加密容器的密码是？（答案格式：按照实际情况填写）

解密磁盘后重新分析，可以看到foxmail中有三个附件

以及解压密码

另外还有两部分，用户LXM的回收站里有一部分，用户2的文档中有一部分

解压出来有个联系人.docx，把整个文档标红可以看到VC密码

SHUZHENGBEIctzy2025

52

用户在生活中使用的代号是？（答案格式：按照实际情况填写）

桌面有个代号.wav，拿出来扔进audicity看频谱图就能看到代号

53

李安东的银行卡归属哪个银行？（答案格式：农业银行）

有个银行卡6位纯数字.xls，爆破其密码

交通银行

54

请分析某市 10 月 6 日最高气温是？（答案格式：1）

找到气温加密.zip，实际上是伪加密

55

用户的 BitLocker 密码是？（答案格式：按照实际情况填写）

foxmail中还有传过一个附件叫扬帆起航.png

这个图片存在隐写，要用administrator下载过的这个工具才能提取

SZBJSJTM2025

56

用户办公室的门禁密码是？（答案格式：按照实际情况填写）

之前挂载的123.vhd中有个secretNew，用之前解得的VC密码挂载，里面有个办公室密码锁.jpg.enc

用前面得到的DecryptionTool.exe对其进行解密

图片后面跟了密码

147963258

57

用户使用的以 D 开头的解密程序的 MD5 值后六位是？（字母全大写，答案格式：AAAAAA）

3A892E

58

木马程序运行至系统断点前加载了几个动态链接库？（答案格式：1）

不会逆向，但交给逆向手调试看日志是5个

59

木马产生的程序名称是什么？（答案格式：abcd.txt）

扔进微步云沙箱就能看到

wins.exe

60

木马尝试访问的域名是什么？（答案格式：按照实际情况填写）

微步云沙箱神力

edu-image.nosdn.127.net

61

分析计算机内存检材，此内存镜像制作时的系统时间是？（使用双位数格式，答案格式：01 月 01 日）

直接lovelymem梭了

10月16日

62

分析计算机内存检材，用户 Yiyelin 的用户表示后 4 位是？

由上图

1002

63

分析计算机内存检材，计算机的 CPU 型号是什么？（答案格式： i9-1110U）

由上图

i7-1165G7

64

分析计算机内存检材，wps.exe 的 PID 是？

5888

65

分析计算机内存检材，此计算机开机自启动的远控软件名称是？

SunloginClient.exe

物联网取证

66

打印机的主机名称是什么？

67

打印文件存储在哪个目录？(答案格式：/root/root)

查看打印机的配置文件

/var/spool/cups

68

同一天，打印两份文件的用户是谁？(答案格式：root)

查看日志

alice

69

分析物联网检材，木马运行后，自身产生的进程 ID 是多少？（答案格式：1）

查看系统日志

2177

70

分析物联网检材，系统中存在一个非标定时任务，这个任务每隔多少分钟执行？（答案格式：1）

71

分析物联网检材，木马程序会窃取文档暂存在隐藏目录，这个目录的绝对路径？（/root/root/）

根据上题找到木马文件

文件开头有个base32是hint

找到STAGING_DIR

/tmp/.cache/

72

分析物联网检材，木马程序将数据上传到的服务器的 IP 地址是多少？（答案格式：1.1.1.1）

由69题

185.199.108.153

73

根据木马程序，它监视的关键字是什么？（答案格式：按照实际情况填写）

对木马中WATCHED_KEYWORD解密

Project Dragonfire

移动终端取证

74

分析检材中微信ID:wxid_f4s0jmpvrc522对应的手机号后四位为（答案格式：1111）

8390

75

分析检材中“华为应用市场”第一次安装日期为（使用双位数格式，答案格式：01月01日）

09月24日

76

找出检材中钱包APP，请列出该APP中ETH地址后六位是（字母全大写，答案格式：AAAAAA）

3FE61F

77

分析出检材中包含“南昌西站”的图片，计算该图片的MD5后六位？（字母全大写，答案格式：AAAAAA）

85A51D

78

手机相册中有张“imtoken助记词1.PNG”图片被破坏，请修复该图片，列出该图片中第三个单词。（答案格式：按照实际情况填写）

随波逐流一把梭

boost

79

找出一张PNG图片，该图片上显示“助记词2”，请列出该图片上显示的第二个单词。（答案格式：按照实际情况填写）

delay

80

找出检材中显示“助记词3”的文档，列出该文档中记录的第三个助记词单词。（答案格式：按照实际情况填写）

直接全局搜索

quarter

81

分析出该组助记词正常顺序中最后一个单词（已知助记词1、助记词2、助记词3中的单词顺序有被调整）。（答案格式：按照实际情况填写）

用工具梭

segment

82

分析出邮箱中收件人 QQ 号为 “850563586” 的姓名（答案格式：按照实际情况填写）

刘佳雨

83

得知机主通过某个应用给 HHshAL 发送了一个文档，该应用的数据包名是什么？（答案格式：com.test）

看到一个特殊软件，可合理猜测

dingtong.saichuang

84

接上题，该应用聊天记录数据库的打开密码是什么？（答案格式：按照实际情况填写）

把上面这个程序的base.apk拿出来逆向一下，全局搜索dingtong.db，找到密码

@1@#!aajsk1*JKJ

85

接上题，机主发送的这个加密文档，打开密码是什么？（答案格式：按照实际情况填写）

解密数据库，在其中可以找到密码

QWERT666

86

厉明的身份证地址登记的门牌号是多少？（答案格式：1）

在mxt.db中找到密码

在密信通中找到身份证文件

后缀名改为zip输入密码解压，找到身份证

四川省成都市武侯区益州大道中段722号复城国际

87

分析出 “important1.xlsx” 文件中体现的 “金达欣” 银行卡后六位？（答案格式：111111）

前面数据库中找到的密码另一个就是这个表格的密码

935629

88

接上题，保存“important1.xlsx”打开密码数据的应用，该应用的启动密码是什么？

不懂逆向（但是大概思路就是安装下来这个apk然后去调试

1596