山东招标网官方网站,响应式网站开发原理,企业网站制作的方法,财务公司经营范围2025平航杯团队赛
计算机取证
分析起早王的计算机检材#xff0c;起早王的计算机插入过USB序列号是什么(格式#xff1a;1)分析起早王的计算机检材#xff0c;起早王的便签里有几条待干(格式#xff1a;1)分析起早王的计算机检材#xff0c;起早王的计算机默认浏览器是什…2025平航杯团队赛
计算机取证
分析起早王的计算机检材起早王的计算机插入过USB序列号是什么(格式1)分析起早王的计算机检材起早王的便签里有几条待干(格式1)分析起早王的计算机检材起早王的计算机默认浏览器是什么(格式Google)分析起早王的计算机检材起早王在浏览器里看过什么小说(格式十日终焉)分析起早王的计算机检材起早王计算机最后一次正常关机时间(格式2020/1/1 01:01:01)分析起早王的计算机检材起早王开始写日记的时间(格式2020/1/1)分析起早王的计算机检材SillyTavern中账户起早王的创建时间是什么时候(格式2020/1/1 01:01:01)分析起早王的计算机检材SillyTavern中起早王用户下的聊天ai里有几个角色(格式1)分析起早王的计算机检材SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式xxxxx-xxxxxxx.xxxx)分析起早王的计算机检材电脑中ai换脸界面的监听端口(格式80)分析起早王的计算机检材电脑中图片文件有几个被换过脸(格式1)分析起早王的计算机检材最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式xxxxxxxxxxx.xxxx)分析起早王的计算机检材neo4j中数据存放的数据库的名称是什么(格式abd.ef)分析起早王的计算机检材neo4j数据库中总共存放了多少个节点(格式1)分析起早王的计算机检材neo4j数据库内白杰的手机号码是什么(格式12345678901)分析起早王的计算机检材分析neo4j数据库内数据统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式1)分析起早王的计算机检材起早王的虚拟货币钱包的助记词的第8个是什么(格式abandon)分析起早王的计算机检材起早王的虚拟货币钱包是什么(格式0x11111111)分析起早王的计算机检材起早王请高手为倩倩发行了虚拟货币请问倩倩币的最大供应量是多少(格式100qianqian)分析起早王的计算机检材起早王总共购买过多少倩倩币(格式100qianqian)分析起早王的计算机检材起早王购买倩倩币的交易时间是(单位UTC)(格式2020/1/1 01:01:01)
分析起早王的计算机检材起早王的计算机插入过usb序列号是什么(格式1) F25550031111202 分析起早王的计算机检材起早王的便签里有几条待干(格式1) 5 分析起早王的计算机检材起早王的计算机默认浏览器是什么(格式Google) Edge 分析起早王的计算机检材起早王在浏览器里看过什么小说(格式十日终焉) 道诡异仙 分析起早王的计算机检材起早王计算机最后一次正常关机时间(格式2020/1/1 01:01:01) 2025/4/10 11:15:29 分析起早王的计算机检材起早王开始写日记的时间(格式2020/1/1)
仿真找到存储笔记的软件——rednotebook
笔记还挺有意思的哈哈里面是一些关于IOT安全的牛马黑客日常 注明了一些密码 虚拟钱包助记词 另外爆搜也可以做 2025/3/3 分析起早王的计算机检材SillyTavern中账户起早王的创建时间是什么时候(格式2020/1/1 01:01:01)
启动SillyTavern 使用上面一题的密码登录即可——qzwqzw114 2025/3/10 18:44:56 分析起早王的计算机检材SillyTavern中起早王用户下的聊天ai里有几个角色(格式1) 4 分析起早王的计算机检材SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式xxxxx-xxxxxxx.xxxx)
保存在平台目录的文件里 Tifa-DeepsexV2-7b-Cot-0222-Q8 分析起早王的计算机检材电脑中ai换脸界面的监听端口(格式80)
bitlocker密码 找到换脸启动器 7860 分析起早王的计算机检材电脑中图片文件有几个被换过脸(格式1) 3 分析起早王的计算机检材最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式xxxxxxxxxxx.xxxx)
日志文件里找到记录 inswapper_128_fp16 分析起早王的计算机检材neo4j中数据存放的数据库的名称是什么(格式abd.ef) 在xmind里可以看到账号密码——neo4j/secretqianqian graph.db 分析起早王的计算机检材neo4j数据库中总共存放了多少个节点(格式1)
启动neo4j服务——参考在Windows环境中安装Neo4j_windows安装neo4j-CSDN博客 账号密码输入即可登录 17088 分析起早王的计算机检材neo4j数据库内白杰的手机号码是什么(格式12345678901)
MATCH (p:person) WHERE p.name STARTS WITH 白杰 RETURN p.mobile 13215346813 分析起早王的计算机检材分析neo4j数据库内数据统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式1)
参考官方WP
MATCH (u:User)-[:HAS_LOGIN]-(l:Login)-[:FROM_IP]-(ip:IP)
MATCH (l)-[:USING_DEVICE]-(d:Device)
WHERE
l.time datetime(2025-04-14)
AND ip.city u.reg_city
AND NOT (u)-[:TRUSTS]-(d)
WITH
u,
collect(DISTINCT ip.city) AS 异常登录城市列表,
collect(DISTINCT d.device_id) AS 未授权设备列表,
count(l) AS 异常登录次数
WHERE size(异常登录城市列表) 2
RETURN
u.user_id AS 用户ID,
u.real_name AS 姓名,
异常登录城市列表,
未授权设备列表,
异常登录次数
ORDER BY 异常登录次数 DESC; 2 分析起早王的计算机检材起早王的虚拟货币钱包的助记词的第8个是什么(格式abandon)
前面日记有提示去微软输入法里找找
设置——语言——简体中文选项——微软输入选项——词库和自学习——编辑 draft 分析起早王的计算机检材起早王的虚拟货币钱包是什么(格式0x11111111)
插件里可以看到钱包地址 0xd8786a1345cA969C792d9328f8594981066482e9 分析起早王的计算机检材起早王请高手为倩倩发行了虚拟货币请问倩倩币的最大供应量是多少(格式100qianqian)
浏览器历史记录找到交易网站本机访问输入地址就可以看到交易记录 1000000qianqian 分析起早王的计算机检材起早王总共购买过多少倩倩币(格式100qianqian)
同上amount可以看到 521qianqian 分析起早王的计算机检材起早王购买倩倩币的交易时间是(单位UTC)(格式2020/1/1 01:01:01)
同上计算一下时间 2025/3/24 2:08:36 AI取证
分析CRACK文件获得FLAG1(格式FLAG1{123456})分析crack文件获得flag2(格式flag2{123456})分析crack文件获得flag3(格式flag3{123456})分析crack文件获得flag4(格式flag4{123456})
分析crack文件获得flag1(格式flag1{123456})
在电脑检材中导出 运行这个环境需要python3.10以上而且需要安装PyArmor依赖被PyArmor加密了不然会有语法错误
也可以使用工具——https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot 核心功能 ✅ 将Pyarmor 8.0-9.1.5加密的Python脚本静态转换为 准确的反汇编代码支持Python 3.7-3.13 实验性源代码存在不完整性需人工校验 技术突破 混合技术栈 基于Decompyle深度改造 新增AST抽象语法树修改模块 跨平台支持Linux/Windows/macOS ⚠️ 安全优势 无需执行可疑脚本规避恶意代码风险 自动识别pyarmor_runtime动态库解密逻辑 然后打开解密后的start.py.1shot.cdc.pyu搜flag flag1{you_are_so_smart} 分析crack文件获得flag2(格式flag2{123456}) flag2{prompt_is_easy} 分析crack文件获得flag3(格式flag3{123456}) flag3{no_question_can_kill_you} 分析crack文件获得flag4(格式flag4{123456}) flag4{You_have_mastered_the_AI} exe逆向
分析GIFT.EXE该程序的MD5是什么(格式大写MD5)GIFT.exe的使用的编程语言是什么(格式C)解开得到的LOVE2.exe的编译时间(格式2025/1/1 01:01:01)分析GIFT.exe该病毒所关联到的ip和端口(格式127.0.0.1:1111)分析GIFT.exe该病毒修改的壁纸md5(格式大写md5)分析GIFT.exe为对哪些后缀的文件进行加密 A.doc B.xlsx C.jpg D.png E.ppt分析GIFT.exe病毒加密后的文件类型是什么(格式DOCX文档)分析GIFT.exe壁纸似乎被隐形水印加密过了请找到其中的Flag3(格式flag3{xxxxxxxx})分析GIFT.exe病毒加密文件所使用的方法是什么(格式Base64)分析GIFT.exe请解密test.love得到flag4(格式flag4{xxxxxxxx})
分析GIFT.exe该程序的md5是什么(格式大写md5) 5A20B10792126FFA324B91E506F67223 GIFT.exe的使用的编程语言是什么(格式C) 这里要吐槽一下很多比赛题目表述不清楚要么固定大小写要么明确格式不要像这题一样就写给C做下来不少人会写成PYTHON/python答案只能判定为错 Python 解开得到的LOVE2.exe的编译时间(格式2025/1/1 01:01:01)
python打包的exe转py——参考Python3.9及以上Pyinstaller 反编译教程(exe转py)-CSDN博客
工具pyinstxtractorexe转pycpycdcpyc转py
pyinstxtractor运行命令python pyinstxtractor.py xxx.exe pycdc运行命令pycdc.exe test.pyctest.py
下载链接——https://github.com/extremecoders-re/decompyle-builds/releases/tag/build-16-Oct-2024-5e1c403 可以找到解密密码下面的base64加密是释放的文件可以用在线网站解密后打包转为文件
在沙箱里运行一下输入密码 文件释放在C:\Users\起早王\AppData\Local\Temp\gift_extracted里面 微步里面跑一下 2025/4/8 09:59:40 分析GIFT.exe该病毒所关联到的ip和端口(格式127.0.0.1:1111)
运行一下love2.exe 46.95.185.222:6234 分析GIFT.exe该病毒修改的壁纸md5(格式大写md5) 733FC4483C0E7DB1C034BE5246DF5EC0 分析GIFT.exe为对哪些后缀的文件进行加密A.doc B.xlsx C.jpg D.png E.ppt
创建各个类型的文件运行love2.exe即可看到对哪些加密 ABE 分析GIFT.exe病毒加密后的文件类型是什么(格式DOCX文档) LOVE Encrypted File 分析GIFT.exe壁纸似乎被隐形水印加密过了请找到其中的Flag3(格式flag3{xxxxxxxx})
工具链接盲水印工具WaterMark.exe - 吾爱破解 - 52pojie.cn Flag3{20241224_Our_First_Meet} 分析GIFT.exe病毒加密文件所使用的方法是什么(格式Base64)
导出同目录下的照片 存有RSA解密密钥 RSA 分析GIFT.exe请解密test.love得到flag4(格式flag4{xxxxxxxx})
这题比较难参考一下大佬的WP
加密算法RSAES-RKCS1-V1_5
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from typing import Optional
def decrypt(encrypted_file_path: str,private_key_path: str,decrypted_file_path: str,chunk_size: Optional[int] None
) - bool:使用RSA私钥解密文件
Args:encrypted_file_path: 加密文件路径private_key_path: PEM格式私钥文件路径decrypted_file_path: 解密输出路径chunk_size: 解密块大小根据密钥长度自动计算try:with open(encrypted_file_path, rb) as f:encrypted_data f.read()
with open(private_key_path, rb) as key_file:private_key serialization.load_pem_private_key(key_file.read(),passwordNone,)
# 根据密钥长度自动计算块大小key_size private_key.key_sizeoptimal_chunk_size key_size // 8 if not chunk_size else chunk_size
dec_data bytearray()for i in range(0, len(encrypted_data), optimal_chunk_size):chunk encrypted_data[i:i optimal_chunk_size]try:dec_chunk private_key.decrypt(chunk,padding.PKCS1v15())dec_data.extend(dec_chunk)except Exception as e:print(f块解密失败{str(e)})return False # 遇到解密错误立即终止
with open(decrypted_file_path, wb) as f:f.write(dec_data)return True
except Exception as e:print(f解密过程异常{str(e)})return False
def main() - None:encrypted_file_path rG:\2025平航杯\新建文件夹\test.loveprivate_key_path rG:\2025平航杯\新建文件夹\私钥.txtdecrypted_file_path rG:\2025平航杯\新建文件夹\test.love.dec
if decrypt(encrypted_file_path, private_key_path, decrypted_file_path):print(f文件解密成功已保存到: {decrypted_file_path})else:print(解密失败)
if __name__ __main__:main()
解出来是个ppt flag4{104864DF-C420-04BB5F51F267} 服务器取证
该电脑最早的开机时间是什么(格式2025/1/1 01:01:01)服务器操作系统内核版本(格式1.1.1-123)除系统用户外总共有多少个用户(格式1)分析起早王的服务器检材Trojan服务器混淆流量所使用的域名是什么(格式xxx.xxx)分析起早王的服务器检材Trojan服务运行的模式为A、foward B、nat C、server D、client关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用正确的是 A. 代理流量转发到外部互联网服务器 B. 将流量转发到本地的 HTTP 服务如Nginx C. 用于数据库连接 D. 加密流量解密后的目标地址分析网站后台登录密码的加密逻辑给出密码sbwyz1加密后存在数据库中的值(格式1a2b3c4d)网站后台显示的服务器GD版本是多少(格式1.1.1 abc)网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式1)在网站购物满多少免运费(格式1)分析网站日志成功在网站后台上传木马的攻击者IP是多少(格式1.1.1.1)攻击者插入的一句话木马文件的sha256值是多少(格式大写sha256)攻击者使用工具对内网进行扫描后rdp扫描结果中的账号密码是什么(格式abc:def)对于每个用户计算其注册时间用户表中的注册时间戳到首次下单时间订单表中最早时间戳的间隔找出间隔最短的用户id。格式1统计每月订单数量找出订单最多的月份XXXX年XX月找出连续三天内下单的用户并统计总共有多少个格式1
该电脑最早的开机时间是什么(格式2025/1/1 01:01:01) 2022/02/23 12:23:49 服务器操作系统内核版本(格式1.1.1-123) 3.10.0-1160.119.1.el7.x86_64 除系统用户外总共有多少个用户(格式1) 3 分析起早王的服务器检材Trojan服务器混淆流量所使用的域名是什么(格式xxx.xxx) wyzshop1.com 分析起早王的服务器检材Trojan服务运行的模式为A、foward B、nat C、server D、client
配置文件里是you guess比对一下example文件夹里的文件发现只有nat和配置文件最像 B 关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用正确的是
A. 代理流量转发到外部互联网服务器
B. 将流量转发到本地的 HTTP 服务如Nginx
C. 用于数据库连接
D. 加密流量解密后的目标地址 A 分析网站后台登录密码的加密逻辑给出密码sbwyz1加密后存在数据库中的值(格式1a2b3c4d) f8537858eb0eabada34e7021d19974ea 网站后台显示的服务器GD版本是多少(格式1.1.1 abc) 2.1.0 compatible 网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式1) 导出数据库/www/wwwroot/www.tpshop.com/backup/www_TPshop_com1.sql并导入Navicat查看
编写SQL查询语句
SELECT COUNT(*)
FROM tp_order
WHERE add_time UNIX_TIMESTAMP(2016-04-01 00:00:00)
AND add_time UNIX_TIMESTAMP(2025-04-01 00:00:00); 在网站购物满多少免运费(格式1)
从这一题开始重构网站——在网站看信息方便一点
修改mysql数据库密码——参考MySql 中的skip-grant-tables跳过权限验证的问题-CSDN博客
1.关闭防火墙
systemctl stop firewalld
systemctl disable firewalld 2.绕过修改密码
要启用 skip-grant-tables需要修改 MySQL 的配置文件如 my.cnf 或 my.ini在 [mysqld] 部分添加以下内容
[mysqld]
skip-grant-tables 然后重启 MySQL 服务——systemctl restart mysqld
登录 MySQL——mysql -u root -p
# 切换到 mysql 数据库——USE mysql;
# 修改 root 用户的密码——UPDATE user SET password PASSWORD(newpassword) WHERE user root;
# 刷新权限——FLUSH PRIVILEGES;
# 退出 MySQL——EXIT;
修改完密码后记得将配置文件中的 skip-grant-tables 删除或注释掉并重启 MySQL 服务以恢复正常的权限验证 发现数据库为空将备份里的SQL文件导入即可 修改host文件——配置 IP www.tpshop.com
访问www.tpshop.com即可 后台路径——http://www.tpshop.com/index.php/Admin/Admin/login.html
在navicat里将admin的密码替换为第7题的sbwyz1的加密值
后台进入成功 可以看到满100000免运费 100000 分析网站日志成功在网站后台上传木马的攻击者IP是多少(格式1.1.1.1) 222.2.2.2 攻击者插入的一句话木马文件的sha256值是多少(格式大写sha256) 870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF 攻击者使用工具对内网进行扫描后rdp扫描结果中的账号密码是什么(格式abc:def)
在/www/wwwroot/www.tpshop.com/application找到渗透工具——PwnKit
result.txt保存了扫描结果 administrator:Aa123456 对于每个用户计算其注册时间用户表中的注册时间戳到首次下单时间订单表中最早时间戳的间隔找出间隔最短的用户id。格式1
后面就是通过数据库进行数据分析了看了一些WP答案大同小异因为官方也没有发布答案只能说仁者见仁智者见智
交给AIds-R1编写查询代码
SELECT u.user_id,TIMESTAMPDIFF(SECOND, FROM_UNIXTIME(u.reg_time), FROM_UNIXTIME(MIN(o.add_time))) AS reg_to_first_order_seconds
FROM tp_users u
JOIN tp_order o ON u.user_id o.user_id
GROUP BY u.user_id
ORDER BY reg_to_first_order_seconds ASC
LIMIT 1; 385 统计每月订单数量找出订单最多的月份XXXX年XX月
SELECT DATE_FORMAT(FROM_UNIXTIME(change_time), %Y-%m) AS month,COUNT(log_id) AS order_count
FROM tp_account_log
WHERE desc LIKE %下单消费%
GROUP BY month
ORDER BY order_count DESC
LIMIT 1; 2016年3月 找出连续三天内下单的用户并统计总共有多少个格式1
SELECT COUNT(DISTINCT user_id) AS consecutive_users
FROM (SELECT user_id,order_date,prev_date : IF(user_id prev_user, prev_date, NULL) AS prev_date_reset,seq : IF(order_date prev_date INTERVAL 1 DAY AND user_id prev_user, seq 1, 1) AS seq,prev_user : user_id,prev_date : order_dateFROM (SELECT DISTINCT user_id, DATE(FROM_UNIXTIME(add_time)) AS order_date FROM tp_orderORDER BY user_id, order_date) AS distinct_datesCROSS JOIN (SELECT prev_user : NULL, prev_date : NULL, seq : 0) AS vars
) AS sequence
WHERE seq 3; 1 手机取证
该检材的备份提取时间UTC(格式2020/1/1 01:01:01)分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)分析手机内Puzzle_Game拼图程序请问最终拼成功的图片是哪所大学(格式浙江大学)分析倩倩的手机检材,木马app是怎么被安装的网址(格式http://127.0.0.1:1234/)分析倩倩的手机检材,检材内的木马app的hash是什么(格式大写md5))分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式Baidu))分析倩倩的手机检材,检材内的木马app的使用什么加固(格式腾讯乐固)分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式127.0.0.1:1111)该木马app控制手机摄像头拍了几张照片(格式1)木马APP被使用的摄像头为(格式Camera)分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式JobStore)分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里格式北京市西城区此手机检材的IMEI号是多少(格式1234567890)
该检材的备份提取时间UTC(格式2020/1/1 01:01:01) 2025/04/15 18:11:18 分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
方法一
逆向反编译——AI分析
成功后输出flag的代码发现涉及AES加密函数 根据加密函数编写解密代码得到flag from Crypto.Cipher import AES
import binascii
生成白盒密钥
MAGIC_NUMBERS [113, 99, 92, 106, 89, 98, 54, 113, 104, 89, 117, 100, 113, 127, 124, 89]
key_bytes bytes([b ^ 6 for b in MAGIC_NUMBERS]) # weZl_d0wn_sbwyz_
预设的密文字节数组 (来自hexStringToByteArray的异常处理)
cipher_bytes bytes([ 0x50, 0xCC, 0x04, 0x31, 0x35, 0x06, 0x80, 0xC3, 0x0A, 0x5E, 0xC5, 0x19, 0x52, 0x73, 0x6D, 0x0C
])
使用AES-ECB模式解密
cipher AES.new(key_bytes, AES.MODE_ECB)
decrypted cipher.decrypt(cipher_bytes)
去除PKCS#7填充
pad_len decrypted[-1]
flag decrypted[:-pad_len].decode(utf-8)
print(Decrypted flag:, flag) 方法二
hook函数直接输出/修改时间为无限完成拼图 flag{Key_1n_the_P1c} 分析手机内Puzzle_Game拼图程序请问最终拼成功的图片是哪所大学(格式浙江大学)
根据hint和便签中的樱花大道猜测是杭州市滨江区可以社工查询是“浙江中医药大学”微信公众号上的图片 浙江中医药大学 分析倩倩的手机检材,木马app是怎么被安装的网址(格式http://127.0.0.1:1234/) http://192.168.180.107:6262/ 分析倩倩的手机检材,检材内的木马app的hash是什么(格式大写md5) 23A1527D704210B07B50161CFE79D2E8 分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式Baidu) 发现是一款安卓远控软件 Google Service Framework 分析倩倩的手机检材,检材内的木马app的使用什么加固(格式腾讯乐固) 梆梆安全 分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式127.0.0.1:1111)
这一题要通过源码找一键脱壳即可当然也可以手动脱壳——DumpDex/BlackDex 92.67.33.56:8000 该木马app控制手机摄像头拍了几张照片(格式1)
因为木马连接的是服务器所以服务器会记录相关的操作日志——结合服务器取证
导出jadx反编译的源码——没找到
导出服务器/root目录下的AndroRAT文件夹——没找到
导出服务器/var/log文件夹——没找到
所以感觉职业组和学生组的检材有出入第9题和第10题是没办法做的唯一的办法就是自己复现远控的环境
木马地址https://github.com/karma9874/AndroRAT
职业组可以在服务器的/tmp/ratlog.txt中看到日志拍摄了3张图片但图片不在服务器中 3 木马APP被使用的摄像头为(格式Camera)
复现后可以知道控制的摄像头有两个——猜个Front Camera Front Camera 分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式JobStore) jobScheduler 分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里格式北京市西城区 上海市徐汇区 此手机检材的IMEI号是多少(格式1234567890)
爆搜IMEI 865372026366143 流量分析
请问侦查人员是用哪个接口进行抓到蓝牙数据包的格式DVI1-2.1起早王有一个用于伪装成倩倩耳机的蓝牙设备该设备的原始设备名称为什么格式XXX_xxx 具体大小写按照原始内容起早王有一个用于伪装成倩倩耳机的蓝牙设备该设备修改成耳机前后的大写MAC地址分别为多少格式32位小写md5(原MAC地址_修改后的MAC地址) 例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)a29ca3983de0bdd739c97d1ce072a392 流量包中首次捕获到该伪装设备修改自身名称的UTC0时间为格式2024/03/07 01:02:03.123起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包请你找出起早王手机蓝牙的制造商数据格式0x0102030405060708起早王的真名是什么格式Cai_Xu_Kun 每个首字母均需大写 起早王对倩倩的电脑执行了几条cmd里的命令格式1 倩倩电脑中影子账户的账户名和密码为什么格式32位小写md5(账号名称_密码) 例如md5(zhangsan_123456)9dcaac0e4787b213fed42e5d78affc75 起早王对倩倩的电脑执行的最后一条命令是什么格式32位小写md5(完整命令)例如md5(echo qianqianwoaini woshiqizaowang.txt)1bdb83cfbdf29d8c2177cc7a6e75bae2
请问侦查人员是用哪个接口进行抓到蓝牙数据包的格式DVI1-2.1 COM3-3.6 起早王有一个用于伪装成倩倩耳机的蓝牙设备该设备的原始设备名称为什么格式XXX_xxx 具体大小写按照原始内容
导出搜索 发现设备名称是device_name 编写脚本统计总数
import redef extract_device_names(file_path):# 设备名称的字典用于统计出现次数device_counts {}# 正则表达式模式用于匹配设备名称pattern re.compile(rbtcommon\.eir_ad\.entry\.device_name:\s*([^]))# 打开文件并逐行读取with open(file_path, r, encodingutf-8) as file:for line in file:# 在每一行中查找所有匹配项matches pattern.findall(line)for match in matches:# 如果设备名称已存在于字典中增加计数否则初始化为 1if match in device_counts:device_counts[match] 1else:device_counts[match] 1# 按照出现次数降序排序sorted_device_counts sorted(device_counts.items(), keylambda x: x[1], reverseTrue)# 保存结果到 1111.txtoutput_file_path 1111.txtwith open(output_file_path, w, encodingutf-8) as output_file:output_file.write(设备名称及其出现次数按次数降序排序\n)for name, count in sorted_device_counts:output_file.write(f{name}: {count}\n)print(f结果已保存到 {output_file_path})# 文件路径
file_path r2121.json
extract_device_names(file_path) 原始设备名称大概率是Flipper 123all而且这个名字出现时间也在前面
搜索知道这是一款物理渗透测试工具IOT 因为Flipper在伪装他人蓝牙设备时会先修改名字再修改MAC地址仔细观察可以发现前面两个的mac地址是一样的所以是攻击者用flipper截获了蓝牙耳机的MAC先修改了名字再修改MAC制作了钓鱼蓝牙 Flipper 123all 起早王有一个用于伪装成倩倩耳机的蓝牙设备该设备修改成耳机前后的大写MAC地址分别为多少格式32位小写md5(原MAC地址_修改后的MAC地址) 例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)a29ca3983de0bdd739c97d1ce072a392
直接遍历QQ_WF_SP8OON所有的MAC地址即可
可以找出分别为80:e1:26:33:32:31和52:00:52:10:13:14 97d79a5f219e6231f7456d307c8cac68 流量包中首次捕获到该伪装设备修改自身名称的UTC0时间为格式2024/03/07 01:02:03.123
搜索找到QQ_WF_SP8OON第一次出现的时间 Apr 9, 2025 02:31:26.710747000 UTC 2025/4/9 02:31:26 起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包请你找出起早王手机蓝牙的制造商数据格式0x0102030405060708
在最下面有也可以将含有cracked的数据另存为json文件导出问AI 0x0701434839313430 起早王的真名是什么格式Cai_Xu_Kun 每个首字母均需大写
后面是usb流量的取证大概率是使用flipper zero实现rubber ducky的功能
实质就是USB模拟成键盘输入指令让电脑执行
工具有很多——https://github.com/p0ise/pcap2text 或者 CTF-NetA 这个有必要吗害我做错了暴打出题人 Wang_Qi_Zhao 起早王对倩倩的电脑执行了几条cmd里的命令格式1 7 倩倩电脑中影子账户的账户名和密码为什么格式32位小写md5(账号名称_密码) 例如md5(zhangsan_123456)9dcaac0e4787b213fed42e5d78affc75
同上图片
命令net user qianqianwoaini$ abcdefghijkImn /add 53af9cd5e53e237020bea0932a1cbdaa 起早王对倩倩的电脑执行的最后一条命令是什么格式32位小写md5(完整命令)例如md5(echo qianqianwoaini woshiqizaowang.txt)1bdb83cfbdf29d8c2177cc7a6e75bae2 0566c1d6dd49db699d422db31fd1be8f
