2023首届盘古石杯总决赛write up技术交流wechat N34939 高清图
更多网络安全CTF题目，欢迎来polarctf.com来刷题
题目来源盘古石杯赛事公众号
镜像下载地址：
https://pan.baidu.com/s/16QnGZZsDJEVGM6zx3yph2w
加密容器VeraCrypt 密码：

2ej)!,[JN-U;wm19J=d9sZt_L6#bf+}[

题目图片版本

流量分析部分精品write up可以参考
http

分析

案情：公安机关通过对“张娟虚拟币投资被诈骗案”的诈骗团伙电子数据检材进行深入分析后，还摸排到了该诈骗团伙上游的跑分团队，通过办案部门的不懈努力，最后在跑分窝点抓获了跑分平台技术人员John、卡农Bob，扣押窝点NAS服务器1台、John计算机1台，Bob安卓手机1部，扫地机器人1台，无人机1台，智能门锁1把。同时，公安机关摸排到了本案中勒索黑客Hacker，抓取了Hacker计算机网络流量包，扣押了其计算机。以上检材已分别制作了镜像，检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

检材清单：

分析整理思路：

三条线：

1.张娟虚拟币投资被诈骗案 虚拟币投资

2.该诈骗团伙上游的跑分团队

​ 1）跑分平台技术人员John

​ John计算机1台

​ 2）卡农Bob

​ Bob安卓手机1部

​ 3）扣押窝点NAS服务器1台

​ 4）扫地机器人1台

​ 5）无人机1台

​ 6）智能门锁1把

3.勒索黑客Hacker Hacker计算机网络流量包

题目

流量分析

前提：首先要明确，流量分析是勒索黑客计算机的流量包

1、计算流量包文件的SHA256值是？[答案：字母小写][★☆☆☆☆]
2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9

2、流量包长度在“640-1279”之间的的数据包总共有多少？[答案：100][★☆☆☆☆]

179

解析：

包长度过滤:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

因此：

筛选语句：(frame.len >= 640)&&(frame.len <= 1279)

法二：

一直到这里，我翻了一下整个包，发现一个http都没有，所以肯定是不正常的。看到同一个压缩包里面有一个key.log，这是http2的解密文件。按照以往的惯例，要添加到wireshark里面去，但是最新版没有SSL，结合以往知识，TLS和SSL的关系。因此把key.log添加到TLS中。

然后才正常。

3、黑客使用的计算机操作系统是？[答案：windows7 x32][★★☆☆☆]
windows10 x64

解析：

从源IP地址来看，192.168.100.141就是黑客的地址。

搜http包，http头中User-Agent，包含了浏览器参数和电脑操作系统参数的，因此得到答案。

还有一个需要注意的点：红色是源到目的地（看成是请求头就行）；蓝色反之；

4、黑客上传文件到哪个网盘？[答案：xx网盘][★★☆☆☆]
百度网盘

解析：按照常识，这个pan.baidu.com是百度网盘的网址。这样其实是不能确定，不过，搜了一下其他网盘的URL标识，这里面也没有，所以只能是百度网盘了。

总结一下常见网盘的IP地址：

夸克网盘：pan.quark.cn

阿里云网盘：www.aliyundrive.com

谷歌网盘：drive.google.com

微软网盘：onedrive.live.com

MEGA：mega.io

等等

以及也搜了一下百度网盘的解析地址：

也为后边做一个铺垫。

5、黑客上传网盘的中间件是？[答案：xxxx][★★☆☆☆]
nginx

解析：

黑客IP地址：192.168.100.141

最开始的时候，没什么思路，只知道包里面会写，但是肯定没必要花时间去找

在做第七题的时候，正好也就看到了，要结合网址等情况来判断是否是百度网盘的URL。

6、黑客首次登陆网盘时间是？[答案：2000-01-01 01:00:33][★★☆☆☆]
2023-05-11 12:03:52

解析：

按照百度网盘的登录网址去搜一下passport.baidu.com，这是百度网盘网页版的账号主页

按照正常逻辑来说：

先登录，然后进入主页：

因此：

http contains "pan.baidu.com"

下图是第一次提交POST的时间，追踪流，发现进入了网页版主页。

用浏览器访问一下，确实是登录后的主页。因此肯定就是。

7、黑客上传到网盘的txt文件的md5值是？[答案：字母小写][★★★☆☆]
6a5aff7bec78dd1e4fc23e571b664b50

解析：

http contains ".txt"

8、黑客上传到网盘的txt文件第8行的内容是？[答案：XXX][★★★☆☆☆]
$$

解析：

这里有一个需要注意的地方，就是每一节中间都是隔了一行，这里隔了两行。

所以算的时候！是第二行。

9、被入侵主机的计算机名是？[答案：XXXXXXXXXXX][★★★☆☆]
WIN-BFA1TO8PTNP

解析：

这道题我没找到什么技巧和可以快捷做出来的方法，就是根据平时对每个包的内容进行判断，找到了DHCP包。

这里还不能够明确192.168.100.139就是被入侵的IP地址。所以只是一个疑似答案

在做了后边的题以后，可以肯定139确实是被入侵地址。

DHCP过程主要为DHCP Discover–>DHCP Offer–>DHCP Request–>DHCP Ack四个过程。

参考：https://www.cnblogs.com/Wendy-r/p/12679241.html

10、被入侵电脑的数据回传端口是？[答案：11][★★★☆☆]
8000

解析：

1）既然已经明确黑客IP为192.168.100.141，那就先搜一下，哪些IP地址和黑客IP地址进行了联系。

搜索ip.dst==192.168.100.141

这里也有一个疑惑点，从上边的题目，是无法知道被入侵的电脑IP的，所以这里暂时搁置。

这里只能把出题人默认实在同一个网段出题作为前提，不然所有东西都说不通。

那么，基于这个原则，我们就直接找192.168.100.1网段就好

2）回传IP：ip.dst==192.168.100.141&&ip.src==192.168.100.1\24

从搜出来的结果看，192.168.100.139，是FTP服务器，黑客也往FTP服务器传了不少东西，所以这样看的话，192.168.100.139就是被入侵IP，一般FTP是搭建在Windows里面的，所以第九题就说得通了。

3）那么，接下来就是看FTP和黑客之间进行了什么操作

ip.dst==192.168.100.141&&ip.src==192.168.100.139

大概就在FTP服务器中操作，然后握手什么的。

这里我也查了一些49000之后的端口，都是正常的，包括的是防火墙、交换机什么的。

看到一个可疑的是8000。

好的，搁置，因为实在没什么思路。

后来请教了一下大神：1、把木马文件导出来，运行的时候抓个包就好了。2、用IDA分析

我不做了

11、流量包中ftp服务器的用户密码是？[答案：abcd][★★☆☆☆]
ftp

解析：

这道题是官方答案错误，看一下我写的参考链接就明白了。

不考虑anonymous的原因是，后续这个账户就再没出现过，然后下载还是上传文件，执行操作，都是用的www，所以应该是www对应的密码ftp为答案。

具体参考FTP包详解：

https://www.cnblogs.com/peterYong/p/10999146.html

https://blog.csdn.net/meigang2012/article/details/74518154

12、流量包中ftp服务器中的木马文件的md5值是？[答案：字母小写][★★☆☆☆]
2a49a00a1f0b898074be95a5bbc436e3

解析：

这道题也挺诡异，诡异在于，我不知道为什么下载了这么多遍，我刚开始以为是分流下载，但是我拖了好几个下来，MD5都是一样的，我不能理解。有可能是我没懂wireshark的下载原理。

解题步骤：

1）首先明确既然是FTP服务器中的木马文件，那么就一定有上传行为和下载行为

2）浏览了全部的FTP-data（就理解为下载FTP中的数据产生的流量）、已经FTP中的RETR是下载的意思。

3）可以看到，他上传了setup.exe后就一直在下载。

4）然后就是回到刚开始我说的地方，我拖了几个包出来，算了一下MD5，都一样，那就是他了。

下载文件方法：

①“追踪流 --> TCP流”

②选择原始数据：

保存的时候，什么后缀写.exe。

就可以做下一道题了。

13、木马文件伪造的软件版本是？[答案：0.0.0.0][★★☆☆☆]
7.5.0.1039

14、黑客上传到网盘的压缩包解压密码是？[答案：XXXXXXXXXXX][★★★★★]
今天天气不错

解析：

1）先搜到包再说吧

ip.src==192.168.100.141&&http.request.method=="POST"

翻了倒数第一个包：

2）然后用第12题的方法，导出原始数据，用winhex打开，把第二个框里的东西填入winhex的新建文档中。并找解压密码。

因为没有任何提示和思路，所以贸然猜测应该是在同一个包里面，而且，中文字符会转义。

此时注意到，同一个包里面还有一个pass.jpg，也把他导出来的。

肯定要让用CTF看隐写的工具来做。。。

使用stegseek

不想写了。

参考：

文件头：https://www.cnblogs.com/Hardworking666/p/15866121.html

stegseek：https://github.com/RickdeJager/stegseek

15、黑客上传到网盘的压缩包内文件的内容是？[答案：xxxxxxx][★★★★★]
flag{dfaefdgegr$$%463}

进去就能看到。