2023首届“盘古石杯”全国电子数据取证大赛总决赛流量部分wp

参考文章传送门：流量部分

1、计算流量包文件的SHA256值是？[答案：字母小写][★☆☆☆☆]

2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9 

2、流量包长度在“640-1279”之间的的数据包总共有多少？[答案：100][★☆☆☆☆]

法一：

包长度过滤:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

所以筛选条件为(frame.len >= 640)&&(frame.len 首选项界面，协议里面选择TLS

 就可以看到很多http包了

 随便追踪一个看看

windows10 x64 

4、黑客上传文件到哪个网盘？[答案：xx网盘][★★☆☆☆]

统计-解析后的地址

 很多shifen.com的域名，这是百度以前的域名

盲猜百度云，可以验证一下

百度网盘：pan.baidu.com

夸克网盘：pan.quark.cn

阿里云网盘：www.aliyundrive.com

谷歌网盘：drive.google.com

微软网盘：onedrive.live.com

MEGA：mega.io

一搜就搜出来噜

 百度网盘

5、黑客上传网盘的中间件是？[答案：xxxx][★★☆☆☆]

在后面的题目中找到

6、黑客首次登陆网盘时间是？[答案：2000-01-01 01:00:33][★★☆☆☆]

http contains "pan.baidu.com" && ip.src==192.168.100.141 并找到第一个POST传参的包

 浏览器打开referer确认 

 2023-05-11 12:03:52

7、黑客上传到网盘的txt文件的md5值是？[答案：字母小写][★★★☆☆]

一个个看，最后一个发现传了一个密码字典

下拉，可以看到文本md5 

6a5aff7bec78dd1e4fc23e571b664b50

8、黑客上传到网盘的txt文件第8行的内容是？[答案：XXX][★★★☆☆☆]

$$

 这里易错，正常两段中间隔一行，这里隔两行，说明上面有一个空行

9、被入侵主机的计算机名是？[答案：XXXXXXXXXXX][★★★☆☆]

不太了解

10、被入侵电脑的数据回传端口是？[答案：11][★★★☆☆]

确定黑客的ip，就可以看看哪些ip与其关联

 得了还是没啥思路

看了别的师傅的wp说是

11、流量包中ftp服务器的用户密码是？[答案：abcd][★★☆☆☆]

ftp

12、流量包中ftp服务器中的木马文件的md5值是？[答案：字母小写][★★☆☆☆]

不难看出来setup.exe就是木马文件

 过滤ftp-data流，原始数据另存为即可

 2a49a00a1f0b898074be95a5bbc436e3

13、木马文件伪造的软件版本是？[答案：0.0.0.0][★★☆☆☆]

7.5.0.1039 

14、黑客上传到网盘的压缩包解压密码是？[答案：XXXXXXXXXXX][★★★★★]

15、黑客上传到网盘的压缩包内文件的内容是？[答案：xxxxxxx][★★★★★]  

难度对我可能还是有点大。。/(ㄒoㄒ)/~~

继续沉淀