计算机
1. 分析起早王的计算机检材,起早王的计算机插入过usb序列号是什么(格式:1)
在 usb 设备信息里面可以找到,F25550031111202
** **
2. 分析起早王的计算机检材,起早王的便签里有几条待干?(格式:1)
5 条
3. 分析起早王的计算机检材,起早王的计算机默认浏览器是什么(格式:Google)
先不仿真,光从这个数据来看。edge 的数据最多,猜就是 edge
4. 分析起早王的计算机检材,起早王在浏览器里看过什么小说(格式:十日终焉)
那就先看他的默认浏览器,道诡异仙,还用的是笔趣阁
5. 分析起早王的计算机检材,起早王计算机最后一次正常关机时间(格式:2020/1/1 01:01:01)
直接在开关机时间里找,注意审题,是最后一次正常关机,2025/4-10 11:15:29
6. 分析起早王的计算机检材,起早王开始写日记的时间(格式:2020/1/1)
仿真了一下,在桌面上的程序里找到了 diary,但好像没法打开
又去计算机的下载里找到了 rednotebook 像是写日记的地方,还有 crack.zip 后面的题目有这个,但这个是安装程序
又去沙盒里,发现可以打开
发现开始写日记的时间 2025/3/3
7. 分析起早王的计算机检材,SillyTavern中账户起早王的创建时间是什么时候(格式:2020/1/1 01:01:01)
先到计算机上搜了一下,发现这个文件
感觉像是能运行的样子
我点开了这个 start.bat,进入到了命令行里面
随便按了个 enter,就进入到网页了
选择起早王,发现需要密码,去之前的日记里找找,找到了qzwqzw114
输入密码登录
在用户管理这,找到了创建时间 2025/3/10 18:44:56
在聊天记录中还找到了 BitLocker 的密码,留着后面做题用20240503LOVE,或者用恢复密钥
8. 分析起早王的计算机检材,SillyTavern中起早王用户下的聊天ai里有几个角色(格式:1)
在这里找到了,有四个
9. 分析起早王的计算机检材,SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式:xxxxx-xxxxxxx.xxxx) 带文件后缀 带文件后缀 带文件后缀
找了挺长时间,在这找到了
然后在文件里面搜索一下,找到后缀
10. 分析起早王的计算机检材,电脑中ai换脸界面的监听端口(格式:80)
用前文说到的 BitLocker 密码,打开 E 盘,就可以到找到 ai 换脸的软件
然后给他打开,可以看到是 7861,但是试了不对
点开了另一个可执行文件,页面是一样的,但是端口是 7860,试了一下,对的
11. 分析起早王的计算机检材,电脑中图片文件有几个被换过脸(格式:1)
换脸界面有输出路径,去看看
发现了三个
12. 分析起早王的计算机检材,最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式:xxxxxxxxxxx.xxxx)
其实挺好猜,进去界面默认是这个模型
那就去搜一下,试了一下是对的
正解应该是在日志文件里面找
13. 分析起早王的计算机检材,neo4j中数据存放的数据库的名称是什么(格式:abd.ef)
找一下就行了 graph.db
14. 分析起早王的计算机检材,neo4j数据库中总共存放了多少个节点(格式:1)
这个就要启动 neo4j
我遇到的问题:(虚拟机需要联网)(127.0.0.1 拒绝连接)(ping localhost被解析为 ::1)
第二个没解决,就借用别人的图了
可以在 edge 浏览器的最近打开网页中找到
看节点 17088
15. 分析起早王的计算机检材,neo4j数据库内白杰的手机号码是什么(格式:12345678901)
可以问 ai,可以看起早王的思维导图<span class="ne-text">MATCH (u:person {name: '白杰'})</span>
<span class="ne-text">RETURN u.mobile;</span>
<span class="ne-text">13215346813</span>
16. 分析起早王的计算机检材,分析neo4j数据库内数据,统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式:1)
这个题好像很难,有个师傅说官方答案的时间不对?
师傅的查询语句,结果是 2 个
MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE
l.time < datetime('2025-04-14')
AND l.time > datetime('2025-04-06')
AND ip.city <> u.reg_city
AND NOT (u)-[:TRUSTS]->(d)
WITH
u,
collect(DISTINCT ip.city) AS 异常登录城市列表,
collect(DISTINCT d.device_id) AS 未授权设备列表,
count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN
u.user_id AS 用户ID,
u.real_name AS 姓名,
异常登录城市列表,
未授权设备列表,
异常登录次数
ORDER BY 异常登录次数 DESC;
官方 WP,查出来是 44 个
17. 分析起早王的计算机检材,起早王的虚拟货币钱包的助记词的第8个是什么(格式:abandon)
在火眼里找不到相关软件分析,看了其他师傅的 wp,才知道日记里面有线索
在用户自定义词语里面,draft
18. 分析起早王的计算机检材,起早王的虚拟货币钱包是什么(格式:0x11111111)
在edge 的最近打开里面有 metamask,进去就是让输入助记词flash treat wide divide type plug garlic draft infant broom desert useful,然后设置密码
成功进入0xd8786a1345cA969C792d9328f8594981066482e9
19. 分析起早王的计算机检材,起早王请高手为倩倩发行了虚拟货币,请问倩倩币的最大供应量是多少(格式:100qianqian)
这个题不会,看了看其他师傅的 wp
网络 sepolia 下有 qinaiqianbi
然后在浏览器的记录里面,找到相关地址,访问。
但是我怎么都访问不到,说响应时间太长
那就借用下别人的图吧
1000000qianqian
20.分析起早王的计算机检材,起早王总共购买过多少倩倩币(格式:100qianqian)
点发送
qianqianb,521 个
21. 分析起早王的计算机检材,起早王购买倩倩币的交易时间是(单位:UTC)(格式:2020/1/1 01:01:01)
这个也是要访问进去,能看到
2025/3.24 2:08:36
AI 题目(详细,适合新手)
环境搭建(预期解)
导出一下
解压,有个 start.py,打开运行, 发现报错,估计是少一些模块,依赖等等
看了看其他师傅的 wp。说是挺麻烦的。
首先需要 python3.10 的环境,这个我电脑上有就不下载了
** Pyarmor 脱壳工具对 Python 版本有严格要求,必须和被加密脚本的编译版本一致,否则会出现结构解析错误。 **
我的一点依赖都没有,所以本题需要的我都下载了,可以对照一下,看看缺什么,就下什么
少了很多依赖,我先运行一下,报错说,需要 pyarmor,那就下载一下,注意要下载到 python3.10 上,不要下载给其他版本
这里终端我在 vscode 上运行
py -3.10 -m pip install pyarmor //运行这个即可
r
然后再运行,说少了 torch,那就继续下载。
py -3.10 -m pip install torch //运行这个即可
py -3.10 -m pip install torch -i https://pypi.tuna.tsinghua.edu.cn/simple //下载慢的话用这个,国内镜像
又说我缺 numpy,gradio
py -3.10 -m pip install numpy gradio -i https://pypi.tuna.tsinghua.edu.cn/simple //用这个下载
然后继续运行,又说缺transformers**( huggingface 的库)**
py -3.10 -u "你的 路径 \start.py"
继续下载,下载后运行
py -3.10 -m pip install transformers -i https://pypi.tuna.tsinghua.edu.cn/simple
又报错了
ai 给的原因:
- 代码硬编码的模型加载路径错误**:
<span class="ne-text">start.py</span>里写的是<span class="ne-text">./</span>(当前目录),但 PyArmor 加密后脚本的工作目录(working directory)不是**<strong><span class="ne-text">crack</span></strong>** 文件夹,导致程序找不到模型文件。** - 模型文件位置与代码预期不匹配**:虽然文件在 **
<span class="ne-text">crack</span>里,但程序运行时的当前目录是<span class="ne-text">C:\Users\78663</span>,所以<span class="ne-text">./</span>指向的是用户目录,而非<span class="ne-text">crack</span>目录。
**cd "d:\2025平航杯\25平航杯\文件文档_20260404_182543\火眼-文件导出\crack\crack" **
**py **-3.**10 **-**u **start.py //运行这俩命令就可以了
又报错了,问 ai 说差一个 accelerate 库,那就下载。
py -3.10 -m pip install accelerate -i https://pypi.tuna.tsinghua.edu.cn/simple
依旧报错,说是我的 gradio 版本太新,不兼容。那安装一个兼容版本
py -3.10 -m pip install gradio==3.48.0 -i https://pypi.tuna.tsinghua.edu.cn/simple
** 再运行。**
现在的报错是 Gradio + Jinja2 版本冲突**,属于网页渲染小问题 **
py -3.10 -m pip install jinja2==3.1.2 markupsafe==2.1.3 -i https://pypi.tuna.tsinghua.edu.cn/simple //运行这个
又失败了,说是 Gradio 网页界面冲突,但模型已经完全加载成功。
折腾了很长时间,都不行,以后再看情况复现吧
感觉这题像 ctf 中的那种,但人家好歹给个环境,直接就能上手。
这环境还得自己搭,我觉得有点不合适。
非预期
还看到了其他师傅说有非预期解,但是一两句就带过了,那我自己摸索试试吧
下载环境软件(能使用 conda 命令,即有这个软件的,不需要下载)
Advance AI with Open Source | Anaconda
拿 qq 邮箱注册个账号就可以下载了,完全免费的,有俩个版本,我下了那个更好的。
终端运行
按下win键,在开始菜单搜索anaconda prompt
点开就成功进入到终端了
它会自动加载anaconda环境,直接就能用conda命令
输入 conda activate py310 激活你的环境(这里应该不必要是 3.10 这个版本的)
若激活失败,类似这样的报错
**EnvironmentNameNotFound: Could not find conda environment: py310 **
**You can list all discoverable environments with `conda info --envs`. **
ERROR: 'conda activate py310' exited with code 1.
那就需要创建环境
conda create -n py310 python=3.10 -y //直接运行即可
conda activate py310 //然后再次激活
下载 Lil-Ran 师傅的反混淆工具
下载https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot
如果访问不到,打开加速器就好了。
点 code,download zip,然后解压就行
然后注意看\Pyarmor-Static-Unpack-1shot-main\oneshot 下面有没有pyarmor-1shot.exe 这个可执行程序。
反正我没有,没有的话,下载这个https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot/releases
解压到 oneshot 文件夹里面就行了
使用工具(也可以看软件作者写的教程)
把你之前导出来的 crack 放到这里
然后在那个终端,输入这个,切换到你的这个目录下
cd /d D:\2025平航杯\25平航杯\文件文档\火眼-文件导出\crack\Pyarmor-Static-Unpack-1shot-main
Windows 的 cd 命令切换盘符必须加 /d,不然切不过去
然后运行这个命令,开始反混淆,并将结果放到了 D:decrypt 文件夹
**python shot.py crack -o D:\decrypt **
我这有个小插曲,报错说Python 找不到 AES 加密库,要装个依赖
有问题的运行这俩条命令就好了。然后再次运行
**pip install pycryptodome **
pip install pefile
**可以看到,成功了,**也是可以看到凌晨的我依然在奋斗
注意一定是在这里输入命令 crack\Pyarmor-Static-Unpack-1shot-main>
找一下解密后的创建文件夹
打开第一个就行了,flag 就全出来了
四个答案
flag1{you_are_so_smart}
flag2{prompt_is_easy}
flag3{no_question_can_kill_you}
flag4{You_have_mastered_the_AI}
手机
1. 该检材的备份提取时间(UTC)(格式:2020/1/1 01:01:01) UTC!!!
在这里直接找到,再转化为 utc
2. 分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
在 apk 列表找到
导出用 jadx 分析或直接雷电 app 分析里面用 jadx
后者相对方便
而且雷电也提供了敏感信息,有时可以直接看到 flag
本题可以看到有很多 fake flag,假的,真正的需要解密
**找到了解密相关的描述,真正的 flag 在 **<strong><span class="ne-text">AESUtil.decryptFlag()</span></strong> 方法的返回值中,
ctrl shitf f搜索一下
找到了完整的加密过程
丢给 ai,解密一下得到****Key_1n_the_P1c
3. 分析手机内Puzzle_Game拼图程序,请问最终拼成功的图片是哪所大学(格式:浙江大学)
** 浙江中医药大学 ,这题没啥说的,识图不是很能找出来。**
4. 分析倩倩的手机检材,木马app是怎么被安装的(网址)(格式:http://127.0.0.1:1234/)
**看到这个格式,立马就想到了浏览器的历史记录,去看一下,只能是这个了 **http://192.168.180.107:6262/
5.分析倩倩的手机检材,检材内的木马app的hash是什么(格式:大写md5 )
这就得找到 app 了,我的思路是,这肯定是在浏览器下载的,我就去了文件系统里找
apk 就俩,一个是之前的拼图游戏,那另一个就是木马 app 了
6. 分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式:Baidu)
**导出,再放到火眼 app 分析里面就可以直接看到了,**Google Service Framework
7. 分析倩倩的手机检材,检材内的木马app的使用什么加固(格式:腾讯乐固)
可以看到是梆梆加固
8. 分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式:127.0.0.1:1111)
这个用一键脱壳就行,但是我的不知道为什么显示成功,却不给我文件
那就借用别人的图吧
92.67.33.56:8000
9. 该木马app控制手机摄像头拍了几张照片(格式:1)
这个真不太会,看了其他师傅的 wp,说是在服务器检材的/tmp目录里面????不理解
3 个
后面,做到服务器的题了,偶然发现 app 分析里面有这个木马 app,我觉得可能是出题人的创新吧。算是综合性题目了,不过提醒的并不到位。直接被划到手机的题目不合适。看到这个,我才可能猜测但可能在服务器相关文件中
10.木马APP被使用的摄像头为(格式:Camera)
也是看上一题的图片
** Front Camera **
11. 分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式:JobStore)
**也是要脱壳,jadx 分析的。借用下别人的图片,可以看到是 **Jobscheduler
12. 分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里(格式:北京市西城区)
在输入法中找到了
上网站搜一下 上海市徐汇区
13. 此手机检材的IMEI号是多少(格式:1234567890)
一般都在这里,但这次好像是二般
那直接去文件系统里面搜一下,貌似找到了,但试了一下不对
不知道为啥,找半天再也没找到,去看了其他师傅的 wp,有跟我一样找到这个的,不过 Android 邮箱的 mistat.xml 里面还有一个 imei
865372026366143
exe 逆向
1. 分析GIFT.exe,该程序的md5是什么(格式:大写md5)
直接在火眼里找到,右键计算哈希值
5A20B10792126FFA324B91E506F67223
2. GIFT.exe的使用的编程语言是什么(格式:C)
导出来,用 die 分析,是 Python
3. 解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)
这里就需要用 pyinstxtractor解包了
没有的下载这个就行了https://github.com/extremecoders-re/pyinstxtractor
下载解压后,将下载的 pyinstxtractor.py 放到 GIFT.exe 同一个目录
在所在目录的终端执行python pyinstxtractor.py GIFT.exe
有俩警告,问了 ai,好像无伤大雅
**警告说明: **
Python 版本不匹配:打包程序使用的是 Python 3.10,而你的环境可能是其他版本
**跳过了 PYZ 提取:这意味着没有提取出关键的 **<span class="ne-text">.pyc</span>文件
打开解包后的文件夹
找到这个
之前没了解过,问了下 ai
Python 程序的两种形式**:**
- 源代码**:**
<span class="ne-text">.py</span>文件,人类可读的文本 - 字节码**:**
<span class="ne-text">.pyc</span>文件,机器可执行的中间代码
那就是要反编译了,这里工具很多,大家可以看看其他师傅的 wp
我用的在线网站反编译,很 nice
把你的 gift_builder.pyc文件拖上去就好了
这里可以等他慢慢给你预览,还挺慢的,或者直接下载文件
可以看到密码20010811
然后就是输入密码解压了
这里一定要做好防护,打好快照,是个木马软件,会加密你的所所有文档。或者在虚拟机里面运行
然后点开 love2.exe 的属性,找到修改时间不知道为啥我这里的不对。
**应该是 **2025/4/8 9:58:40
4. 分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)
这个用 IDA 静态分析,view--->opensubviews-->strings,或者快捷键 shift+f12
46.95.185.222 这个好像只是 ip,端口放到沙箱里面看看
5. 分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)
ResourceHacker,binwalk, malcat 这些工具可以打开那个木马软件,查看 png 图像
找到文件,就直接计算 hash 就行了
733FC4483C0E7DB1C034BE5246DF5EC0
6.分析GIFT.exe,为对哪些后缀的文件进行加密(后面就借用其他师傅的图了,被病毒制裁了)
A.doc
B.xlsx
C.jpg
D.png
E.ppt
直接用 ida 可以看到,或者扔到沙箱里面也行
答案 ABE
还有一种方法是,创立下电脑还原点,自己模拟一下,搜索在开始菜单搜索 love 就可以查看都是什么类型的文件。
7. 分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)
这个直接看你杯加密的文件属性就行
<span class="ne-text">LOVE Encrypted File</span>
8. 分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3 {xxxxxxxx})
这个直接看就行****flag3{20241224_Our_First_Meet}
9. 分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
用二进制工具打开进行,如 winhex,查看文件尾部。
很明显有个 rsa
或者在 IDA 上面就可以看到 rsa 相关的字样
10. 分析GIFT.exe,请解密test.love得到flag4(格式:flag4 {xxxxxxxx})
这道题 test.love 是在比赛钉钉群里发的,检材里没有https://forensics.xidian.edu.cn/wiki/attachments/test.love
这个用二进制工具打开,问 ai 解密,后是一个 ppt 文件,打开
flag4{104864DF-C420-04BB5F51F267}
服务器
1. 该电脑最早的开机时间是什么(格式:2025/1/1 01:01:01)
直接看 2022-02-23 12:23:49
2. 服务器操作系统内核版本(格式:1.1.1-123)
** 直接看 3.10.0-1160.119.1.el7.x86_64**
3. 除系统用户外,总共有多少个用户(格式:1)
直接看就好了 3 个
4. 分析起早王的服务器检材,Trojan服务器混淆流量所使用的域名是什么(格式:xxx.xxx)
直接在文件系统里面搜索Trojan,找一下就找到了
wyzshop1.com
5.分析起早王的服务器检材,Trojan服务运行的模式为:
A、foward
B、nat
C、server
D、client
直接搜索 trojan,下面有 example,打开对比一下,就可以看出是 nat 模式
6.关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用,正确的是:
A. 代理流量转发到外部互联网服务器
B. 将流量转发到本地的 HTTP 服务(如Nginx)
C. 用于数据库连接
D. 加密流量解密后的目标地址
这个直接甩给 ai
7. 分析网站后台登录密码的加密逻辑,给出密码sbwyz1加密后存在数据库中的值(格式:1a2b3c4d)
可以看到有俩个网站,不知道哪个是题上说的,发现后面问的购物,那应该就是第二个
搜一下,进去这个数据最多的文件夹里面。
然后进入这个路径下,看着就像后台管理地址,点开这个 admin.php 看看
可以看到修改密码的地方,但是具体加密函数过程看不到
然后去了 function.php 里面看
function encrypt($str){
return md5(C("AUTH_CODE").$str);
}
是将原密码和"AUTH_CODE"拼接在一起的 MD5 值(.是将两个字符串连接在一起的意思)
但是AUTH_CODE 又不知道是什么,这个里面没有,那就去别的地方看看怎么定义的。
最后在 config.php 里面找到了那就是 TPSHOP,那就是算TPSHOPsbwyz1 的 MD5 值
f8537858eb0eabada34e7021d19974ea
**这里推荐直接 **cyberchef,或者同 utools 上的 "hash 工具"插件(下面就是),还可以一键大小写切换
8. 网站后台显示的服务器GD版本是多少(格式:1.1.1 abc)
这题需要重构网站?我是第一次正式做这种题,所以写得详细些
我先尝试本地登录宝塔,先仿真好,选择桥接模式或者 nat 模式
然后登录,输入 ip addr,查看服务器 ip 地址192.168.180.130
然后到火眼看一下端口 8888
在自己浏览器地址上尝试访问192.168.180.130:8888
我的有这个
那就按它说的来吧,因为宝塔在虚拟机上全是乱码,所以我 ssh 远程连接了一下
win+r ,cmd,输入 ssh root@192.168.180.130
问你确定不,yes 就行,输入密码就成功远程连接了
然后输入 bt,再输入它给的代码,关掉这个安全入口
最好修改个密码,方便些
然后再次访问,登录就行
然后尝试打开一下面板里的网站后台,发现加载不出来。
看了其他师傅的 wp,说是要改一下数据库配置
不知道为什么一访问后台地址就给我跳转到另一个地方 people.inc
抓个包,发到重放器里面,再发送,看看响应
问了问 ai,说是看配置文件有没有重定向,以及域名限制 ,缓存,伪静态
但是我挨个看啥都没有,为什么别人没出现过这个问题。
9. 网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式:1)
这个直接在后台,按照题目选择就行 1292 个
10. 在网站购物满多少免运费(格式:1)
也是直接在后台页面,可以看到
11. 分析网站日志,成功在网站后台上传木马的攻击者IP是多少(格式:1.1.1.1)
在宝塔面板的这里,点设置后面就有微网站日志,然后复制下来搜索 peiqi
找到****222.2.2.2,不知道为什么我搜不到
12. 攻击者插入的一句话木马文件的sha256值是多少(格式:大写sha256)
在文件里面找,这个 peiqi.php 就很奇怪,看一下,确定就是木马文件
直接下载,计算下 hash 就行870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF
13. 攻击者使用工具对内网进行扫描后,rdp扫描结果中的账号密码是什么(格式:abc:def)
在目录下的 result.txt 里面,直接就可以看到
14. 对于每个用户,计算其注册时间(用户表中的注册时间戳)到首次下单时间(订单表中最早时间戳)的间隔,找出间隔最短的用户id。(格式:1)
从这题开始,需要连接数据库,使用宝塔面板自带的 phpmyadmin 或者 navicat。
不太会,看了其他师傅的 wp,看了眼数据库,确实啥都没有,删库了
然后计算机检材里面有备份文件(六百六十六)
导出来备用
我选择的是宝塔自带的 phpmyadmin
进去选择tpshop2.0 导入那个备份文件,点击执行,就好了
然后 sql 语句查询,借鉴大佬的2025平航杯 - XDforensics-Wiki
385
SELECT
u.user_id,
MIN(o.add_time - u.reg_time) AS time_diff
FROM
tp_users u
JOIN
tp_order o ON u.user_id = o.user_id
GROUP BY
u.user_id
ORDER BY
time_diff ASC
LIMIT 1;
15. 统计每月订单数量,找出订单最多的月份(例:2025年9月)
2016 年 12 月。但官方答案是 2017 年 1 月,我又看了几个博客,都是 2016.12
SELECT LEFT
( FROM_UNIXTIME( add_time ), 7 ) AS 月份,
count( order_id ) 订单数量
FROM
tp_order
GROUP BY
月份
ORDER BY
订单数量 DESC
LIMIT 1
原文链接:https://www.cnblogs.com/WXjzc/p/18840490
16. 找出连续三天内下单的用户并统计总共有多少个(格式:1)
110 个
SELECT
t1.user_id,
MIN(FROM_UNIXTIME(t1.add_time)) AS earliest_order_date
FROM
tp_order t1
WHERE EXISTS (
SELECT 1
FROM tp_order t2
WHERE t2.user_id = t1.user_id
AND FROM_UNIXTIME(t1.add_time) > FROM_UNIXTIME(t2.add_time)
AND DATEDIFF(FROM_UNIXTIME(t1.add_time), FROM_UNIXTIME(t2.add_time)) <= 3
)
GROUP BY
t1.user_id
ORDER BY
t1.user_id;
原文链接:https://www.cnblogs.com/WXjzc/p/18840490
流量分析
蓝牙流量
1. 请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)
用 wireshark 打开流量包,随便打开一个,就有。
这里要把后缀补上,BLE.pcapng,不然 wireshark 打开文件识别不了,也可以选择所有文件,或者直接把流量包拖进去,分析出来都一样
Interface name: COM3-3.6
interface 就是接口的意思
或者可以使用 tshark 导出 json 格式,后面题一样可以
tshark -r BLE.pcapng -T json > finalble.json
2. 起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)
它问设备名称,可以搜索一下字符串 device name
发现个Device Name: Flipper 123all
** Flipper_123all 试一下是对的**
3. 起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
随便点开一个包,可以发现这个,这应该就是 mac 地址
那就找一下之前那个设备的 mac 地址80:e1:26:33:32:31
然后继续搜索 device name ,搜索几次,就拖动一下进度条,这样快一点,发现了一个<span class="ne-text">QQ_WF_SP8OON</span>
再往后找,可以找到还有个 crack
然后在<span class="ne-text">QQ_WF_SP8OON 的包靠近</span>crack的包查找,就可以找到新的 mac 地址52:00:52:10:13:14
80:e1:26:33:32:31_52:00:52:10:13:14
注意题目是大写 mac 地址的小写 MD5
80:E1:26:33:32:31_52:00:52:10:13:14
求一下 MD5 值97d79a5f219e6231f7456d307c8cac68
4. 流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)
从头开始搜索那个伪装设备,找到的第一个包就是<span class="ne-text">2025/04/09 02:31:26.710</span>
5. 起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)
在第三题的 crack、包里面
发现有制造商数据 0x0701434839313430
manufacture specific
USB 流量(这个不知道为什么我的检材里面没有,做不了)
6. 起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )
这个不会,看一下其他师傅的 wp。
知道了,应该使用这个工具Usbkeyboarddatahacker
** USB键盘流量包取证工具 , 用于恢复用户的击键信息 **
但是这个脚本已经跟现在的 python 不兼容了,有很多问题
然后再用这个工具pcaptext
** pcap2text 是 Python 编写的命令行工具,用于解析 pcapng 格式的键盘流量包并还原出键盘文本输入信息。 **
就可以看到键盘的文本信息
**本题也可以使用 **CTF-netA 一把梭,不过需要米
7. 起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )
这个在上一题的结果中有,是 7 条
8. 倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75
**) **
这个也是在第六题中可以看到
9. 起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )
还是第六题,计算一个 MD5 而已