2025平航杯
計算機
1.分析起早王的計算機檢材,起早王的計算機插入過usb序列號是什么(格式:1)
結果為20211113005552F
2.分析起早王的計算機檢材,起早王的便簽里有幾條待干(格式:1)
查看便箋數據庫
結果為5
3.分析起早王的計算機檢材,起早王的計算機默認瀏覽器是什么(格式:Google)
結果為Edge
4.分析起早王的計算機檢材,起早王在瀏覽器里看過什么小說(格式:十日終焉)
結果為道詭異仙
5.分析起早王的計算機檢材,起早王計算機最后一次正常關機時間(格式:2020/1/1 01:01:01)
結果為2025/4/10 11:15:29
6.分析起早王的計算機檢材,起早王開始寫日記的時間(格式:2020/1/1)
居然在沙箱里寫日記么,日記里有很多重要信息,后面可能會用到
結果為2025/3/3
7.分析起早王的計算機檢材,SillyTavern中賬戶起早王的創建時間是什么時候(格式:2020/1/1 01:01:01)
找到工具目錄
結果為2025/3/10 18:44:56
8.分析起早王的計算機檢材,SillyTavern中起早王用戶下的聊天ai里有幾個角色(格式:1)
多個維度判斷一下,應該是4個
結果為4
9.分析起早王的計算機檢材,SillyTavern中起早王與ai女友聊天所調用的語言模型(帶文件后綴)(格式:xxxxx-xxxxxxx.xxxx)
查看和ai的聊天記錄,同時記錄還提到了用密碼20240503LOVE來加密磁盤,可以用它解密bitlocker
結果為Tifa-DeepsexV2-7b-Cot-0222-Q8
10.分析起早王的計算機檢材,電腦中ai換臉界面的監聽端口(格式:80)
這個工具默認端口7860,這里沒看到有修改端口的配置
結果為7860
11.分析起早王的計算機檢材,電腦中圖片文件有幾個被換過臉(格式:1)
結果為3
12.分析起早王的計算機檢材,最早被換臉的圖片所使用的換臉模型是什么(帶文件后綴)(格式:xxxxxxxxxxx.xxxx)
查看.assets目錄可以看到模型后綴是onnx
結果為inswapper_128_fp16.onnx
13.分析起早王的計算機檢材,neo4j中數據存放的數據庫的名稱是什么(格式:abd.ef)
這下不得不仿真了,同時BitLocker的下面有存相關思維導圖
xmind打開時需要把填充關閉,否則你看不到文字,很爛了,可以找到賬號和密碼
啟動服務
瀏覽器里可以看到過去的訪問記錄,直接上就行
結果為graph.db
14.分析起早王的計算機檢材,neo4j數據庫中總共存放了多少個節點(格式:1)
結果為17088
15.分析起早王的計算機檢材,neo4j數據庫內白杰的手機號碼是什么(格式:12345678901)
可以現學,或者根據思維導圖來寫查詢MATCH (p:person) WHERE p.name STARTS WITH '白杰' RETURN p.mobile
結果為13215346813
16.分析起早王的計算機檢材,分析neo4j數據庫內數據,統計在2025年4月7日至13日期間使用非授權設備登錄且登錄地點超出其注冊時登記的兩個以上城市的用戶數量(格式:1)
官方wp的時間好像有問題,不動腦啦
MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE
l.time < datetime('2025-04-14')
AND l.time > datetime('2025-04-06')
AND ip.city <> u.reg_city
AND NOT (u)-[:TRUSTS]->(d)
WITH
u,
collect(DISTINCT ip.city) AS 異常登錄城市列表,
collect(DISTINCT d.device_id) AS 未授權設備列表,
count(l) AS 異常登錄次數
WHERE size(異常登錄城市列表) > 2
RETURN
u.user_id AS 用戶ID,
u.real_name AS 姓名,
異常登錄城市列表,
未授權設備列表,
異常登錄次數
ORDER BY 異常登錄次數 DESC;
結果為2
17.分析起早王的計算機檢材,起早王的虛擬貨幣錢包的助記詞的第8個是什么(格式:abandon)
日記里有提到助記詞
藏得有點深啊,微軟輸入法自定義短語
結果為draft
18.分析起早王的計算機檢材,起早王的虛擬貨幣錢包是什么(格式:0x11111111)
瀏覽器里有metamask插件,恢復錢包即可
結果為0xd8786a1345cA969C792d9328f8594981066482e9
19.分析起早王的計算機檢材,起早王請高手為倩倩發行了虛擬貨幣,請問倩倩幣的最大供應量是多少(格式:100qianqian)
注意到網絡
瀏覽器里曾查詢過
在記錄里找到qianqianbi,跳轉過去
結果為1000000qianqian
20.分析起早王的計算機檢材,起早王總共購買過多少倩倩幣(格式:100qianqian)
結果為521qianqian
21.分析起早王的計算機檢材,起早王購買倩倩幣的交易時間是(單位:UTC)(格式:2020/1/1 01:01:01)
結果為2025/3/24 2:08:36
AI
22.分析crack文件,獲得flag1(格式:flag1{123456})
找到文件
啟動服務,然后提問
結果為flag1{you_are_so_smart}
23.分析crack文件,獲得flag2(格式:flag2{123456})
結果為flag2{prompt_is_easy}
24.分析crack文件,獲得flag3(格式:flag3{123456})
結果為flag3{no_question_can_kill_you}
*25.分析crack文件,獲得flag4(格式:flag4{123456})
看官方wp吧,太深奧了
手機
26.該檢材的備份提取時間(UTC)(格式:2020/1/1 01:01:01)
結果為2025/4/15 10:11:18
27.分析倩倩的手機檢材,手機內Puzzle_Game拼圖程序拼圖APK中的Flag1是什么(格式:xxxxxxxxx)
無輸入,直接執行
function getFlag() {
let AESUtil = Java.use("com.example.puzzlegame.util.AESUtil").$new();
console.log(AESUtil.decryptFlag());
}
function main() {
Java.perform(() => {
getFlag();
})
}
setImmediate(main)
結果為flag{Key_1n_the_P1c}
28.分析手機內Puzzle_Game拼圖程序,請問最終拼成功的圖片是哪所大學(格式:浙江大學)
直接查看原圖
發現浙中醫和浙警很近,把這兩個翻個遍
結果為浙江中醫藥大學
29.分析倩倩的手機檢材,木馬app是怎么被安裝的(網址)(格式:http://127.0.0.1:1234/)
通過瀏覽器下載
結果為http://192.168.180.107:6262/fix2_sign.apk
30.分析倩倩的手機檢材,檢材內的木馬app的hash是什么(格式:大寫md5)
結果為23A1527D704210B07B50161CFE79D2E8
31.分析倩倩的手機檢材,檢材內的木馬app的應用名稱是什么(格式:Baidu)
結果為Google Service Framework
32.分析倩倩的手機檢材,檢材內的木馬app的使用什么加固(格式:騰訊樂固)
結果為梆梆加固
33.分析倩倩的手機檢材,檢材內的木馬軟件所關聯到的ip和端口是什么(格式:127.0.0.1:1111)
傳到56.al脫殼
結果為92.67.33.56:8000
34.該木馬app控制手機攝像頭拍了幾張照片(格式:1)
在服務器的/tmp/ratlog.txt中記錄了日志,拍攝了3張圖片,但圖片不在服務器中了
結果為3
35.木馬APP被使用的攝像頭為(格式:Camera)
變態早起王肯定用前置攝像頭偷拍
結果為front camera
36.分析倩倩的手機檢材,木馬APK通過調用什么api實現自身持久化(格式:JobStore)
實現持久化
要算api的話,應該是jobScheduler
結果為jobScheduler
37.分析倩倩的手機檢材,根據倩倩的身份證號請問倩倩來自哪里(格式:北京市西城區)
看到有輸入法,但是內容被加密
跑到native里了,簡單看了一下邏輯,加密相關的內容只在so里,可以用unidbg模擬一下
package com.baidu.util;
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.arm.backend.DynarmicFactory;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.DalvikModule;
import com.github.unidbg.linux.android.dvm.DvmObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;
import java.io.File;
import java.io.UnsupportedEncodingException;
public class ChiperEncrypt {
public static void main(String[] args) throws UnsupportedEncodingException {
long start = System.currentTimeMillis();
ChiperEncrypt chiperEncrypt = new ChiperEncrypt();
System.out.println("load offset=" + (System.currentTimeMillis() - start) + "ms");
chiperEncrypt.decrypt();
}
private final AndroidEmulator emulator;
private final VM vm;
private ChiperEncrypt() {
emulator = AndroidEmulatorBuilder
.for64Bit()
.addBackendFactory(new DynarmicFactory(true))
.build();
Memory memory = emulator.getMemory();
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
vm = emulator.createDalvikVM();
vm.setVerbose(false);
DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/baiduinput/arm64-v8a/libchiperencoder_v1_2_1.so"), false);
dm.callJNI_OnLoad(emulator);
}
private void decrypt() throws UnsupportedEncodingException {
DvmObject<?> obj = ProxyDvmObject.createObject(vm, this);
// 百度輸入法加密的剪貼板或筆記數據
String encData = "1Sx3zkdJjfMhZrITNg4J91DN4RTjx4-CaDDWy_u0e0mB9kUnqDvgzJV_eMtI8cJ15DEH0YAyB";
// 解密函數
String methodName = "nativeAESB64Decrypt(B[;)B[;";
// 初始化密鑰
obj.callJniMethodBoolean(emulator, "nativeChiperInit()Z");
// 調用函數
DvmObject<byte[]> ret = obj.callJniMethodObject(emulator, methodName, encData.getBytes("UTF-8"));
// 輸出返回結果
System.out.println(new String(ret.getValue()));
}
}
拿到身份證號310104200108110624,這個身份證號和后面服務器里的圖片、exe的密碼相印證
服務器root目錄下的圖
結果為上海市徐匯區
38.此手機檢材的IMEI號是多少(格式:1234567890)
結果為865372026366143
exe逆向
39.分析GIFT.exe,該程序的md5是什么(格式:大寫md5)
結果為5A20B10792126FFA324B91E506F67223
40.GIFT.exe的使用的編程語言是什么(格式:C)
結果為Python
41.解開得到的LOVE2.exe的編譯時間(格式:2025/1/1 01:01:01)
用pyinstxtractor-ng解包,然后用pycdc反編譯,得到源碼,可以看到打開密碼和payload數據,base64解碼并zlib解壓,另存為文件
結果為2025/4/8 09:59:40
42.分析GIFT.exe,該病毒所關聯到的ip和端口(格式:127.0.0.1:1111)
結果為46.95.185.222
43.分析GIFT.exe,該病毒修改的壁紙md5(格式:大寫md5)
結果為733FC4483C0E7DB1C034BE5246DF5EC0
44.分析GIFT.exe,為對哪些后綴的文件進行加密:
A.doc
B.xlsx
C.jpg
D.png
E.ppt
模擬一下就行
結果為ABE
45.分析GIFT.exe,病毒加密后的文件類型是什么(格式:DOCX文檔)
結果為LOVE Encrypted File
46.分析GIFT.exe,壁紙似乎被隱形水印加密過了?請找到其中的Flag3(格式:flag3{xxxxxxxx})
結果為Flag3{20241224_Our_First_Meet}
47.分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
love.jpeg尾部存在rsa私鑰
結果為RSA
48.分析GIFT.exe,請解密test.love得到flag4(格式:flag4{xxxxxxxx})
不用逆向,直接rsa解,但是要注意是分塊加密的,賽博廚子不支持分塊,得寫代碼,不過問ai就行,測下來是RSAES-RKCS1-V1_5這個算法
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
def decrypt(encrypted_file_path, private_key_path, decrypted_file_path, chunk_size=64) -> bool:
# 默認塊大小64,如果不對的話再改
try:
with open(encrypted_file_path, 'rb') as f:
encrypted_data = f.read()
with open(private_key_path, 'rb') as key_file:
private_key = serialization.load_pem_private_key(
key_file.read(),
password=None, # 默認無密碼
)
dec_data = bytearray()
for i in range(0, len(encrypted_data), chunk_size):
chunk = encrypted_data[i:i + chunk_size]
try:
dec_chunk = private_key.decrypt(
chunk,
padding.PKCS1v15()
)
dec_data.extend(dec_chunk)
except Exception as e:
print(e)
with open(decrypted_file_path, 'wb') as f:
f.write(dec_data)
return True
except Exception as e:
print(e)
return False
def main():
encrypted_file_path = r"G:\2025平航杯\新建文件夾\test.love"
private_key_path = r"G:\2025平航杯\新建文件夾\私鑰.txt"
decrypted_file_path = r"G:\2025平航杯\新建文件夾\test.love.dec"
if decrypt(
encrypted_file_path,
private_key_path,
decrypted_file_path
):
print(f"文件解密成功,已保存到: {decrypted_file_path}")
else:
print(f"解密失敗")
if __name__ == "__main__":
main()解出來是個ppt
結果為flag4{104864DF-C420-04BB5F51F267}
服務器
49.該電腦最早的開機時間是什么(格式:2025/1/1 01:01:01)
查看/var/log/wtmp,直接用last命令的話看不到秒
結果為2022/2/23 12:23:49
50.服務器操作系統內核版本(格式:1.1.1-123)
結果為3.10.0-1160。119.1.el7.x86_64
51.除系統用戶外,總共有多少個用戶(格式:1)
結果為3
52.分析起早王的服務器檢材,Trojan服務器混淆流量所使用的域名是什么(格式:xxx.xxx)
結果為wyzshop1.com
53.分析起早王的服務器檢材,Trojan服務運行的模式為:A、foward B、nat C、server D、client
example目錄下有這幾種模式的模板配置,對比一下可以推出是nat
結果為nat
54.關于 Trojan服務器配置文件中配置的remote_addr 和 remote_port 的作用,正確的是:
A. 代理流量轉發到外部互聯網服務器
B. 將流量轉發到本地的 HTTP 服務(如Nginx)
C. 用于數據庫連接
D. 加密流量解密后的目標地址
結果為A
55.分析網站后臺登錄密碼的加密邏輯,給出密碼sbwyz1加密后存在數據庫中的值(格式:1a2b3c4d)
不知道是哪個網站,這邊先看數據庫,發現數據庫被清空
找到管理員密碼,關閉防火墻連接(pc的BitLocker里有數據庫備份)
恢復備份
趁著還原備份,先大致找一下,數據庫是這個,所以看這個網站
所以算法是md5("TPSHOP"+pwd)
結果為f8537858eb0eabada34e7021d19974ea
56.網站后臺顯示的服務器GD版本是多少(格式:1.1.1 abc)
修改數據庫連接配置
找到后臺地址http://www.tpshop.com/index.php?m=Admin&c=Index&a=index
已知密碼算法,生成哈希替換登錄
注意mysql的root用戶權限里,域名要修改成localhost,否則無法通過localhost連接
結果為2.1.0 compatible
57.網站后臺中2016-04-01 00:00:00到2025-04-01 00:00:00訂單列表有多少條記錄(格式:1)
SELECT count(1) FROM `tp_order` where FROM_UNIXTIME(add_time) >= '2016-04-01 00:00:00' and FROM_UNIXTIME(add_time) < '2025-04-01 00:00:00'結果為1292
58.在網站購物滿多少免運費(格式:1)
結果為100000
59.分析網站日志,成功在網站后臺上傳木馬的攻擊者IP是多少(格式:1.1.1.1)
根目錄下找到shell
日志過濾該文件名
結果為222.2.2.2
60.攻擊者插入的一句話木馬文件的sha256值是多少(格式:大寫sha256)
結果為870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF
61.攻擊者使用工具對內網進行掃描后,rdp掃描結果中的賬號密碼是什么(格式:abc:def)
找到一個可疑工具,搜索一下確定這是一個掃描工具,默認在當前目錄保存結果
結果為administrator:Aa123456@
62.對于每個用戶,計算其注冊時間(用戶表中的注冊時間戳)到首次下單時間(訂單表中最早時間戳)的間隔,找出間隔最短的用戶id。(格式:1)
SELECT
用戶ID,
IF
(注冊時間 IS NULL,
9999999,最早下單時間-注冊時間) 間隔
FROM
(
SELECT
tpo.user_id 用戶ID,
min( tpo.add_time ) 最早下單時間,
tpu.reg_time 注冊時間
FROM
tp_order tpo
LEFT JOIN tp_users tpu ON tpu.user_id = tpo.user_id
GROUP BY
tpo.user_id
) a
ORDER BY
間隔
LIMIT 1
結果為385
63.統計每月訂單數量,找出訂單最多的月份(XXXX年XX月)
SELECT LEFT
( FROM_UNIXTIME( add_time ), 7 ) AS 月份,
count( order_id ) 訂單數量
FROM
tp_order
GROUP BY
月份
ORDER BY
訂單數量 DESC
LIMIT 1
結果為2016年12月
64.找出連續三天內下單的用戶并統計總共有多少個(格式:1)
ai寫的sql
SELECT DISTINCT user_id
FROM (
SELECT
user_id,
date1,
@rank := IF(@user = user_id AND DATEDIFF(date1, @prev_date) = 1,
@rank + 1,
IF(@user := user_id, 1, 1)) AS rank,
@prev_date := date1
FROM (
SELECT DISTINCT user_id, date1
FROM (select user_id,left(FROM_UNIXTIME(add_time),10) date1 from tp_order group by user_id,date1 order by user_id) a
ORDER BY user_id, date1
) t,
(SELECT @user := 0, @prev_date := '1900-01-01', @rank := 0) r
) ranked
WHERE rank >= 3;不放心用python處理
import pymysql
from datetime import datetime, timedelta
def has_consecutive_days(dates, consecutive_days=3):
if len(dates) < consecutive_days:
return False
dates = sorted([datetime.strptime(d, '%Y-%m-%d').date() for d in dates])
consecutive_count = 1
for i in range(1, len(dates)):
if (dates[i] - dates[i - 1]) == timedelta(days=1):
consecutive_count += 1
if consecutive_count >= consecutive_days:
return True
else:
consecutive_count = 1
return False
conn = pymysql.connect(host='192.168.71.135',
port=3306,
user='root',
passwd='12345678910',
database='tpshop2.0',
charset='utf8mb4')
cursor = conn.cursor()
config = 'SET SESSION group_concat_max_len = 1000000;'
cursor.execute(config)
sql = 'select user_id,GROUP_CONCAT(left(FROM_UNIXTIME(add_time),10)) date1 from tp_order group by user_id order by user_id'
cursor.execute(sql)
data = cursor.fetchall()
dic = {}
for row in data:
dates = list(set(row[1].split(",")))
dates.sort()
if len(dates) < 3:
continue
dic[row[0]] = dates
for key,value in dic.items():
if has_consecutive_days(value, 3):
print(key)結果都是user_id為1的用戶滿足條件,只有1個
結果為1
流量分析
65.請問偵查人員是用哪個接口進行抓到藍牙數據包的(格式:DVI1-2.1)
結果為COM3-3.6
66.起早王有一個用于偽裝成倩倩耳機的藍牙設備,該設備的原始設備名稱為什么(格式:XXX_xxx 具體大小寫按照原始內容)
搜索device name,搜到這個,百度了一下確實是偽裝工具
結果為Flipper 123all
67.起早王有一個用于偽裝成倩倩耳機的藍牙設備,該設備修改成耳機前后的大寫MAC地址分別為多少(格式:32位小寫md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
未修改前是80:E1:26:33:32:31,之后搜索偽裝的設備,之前搜索device name可以找到3個,剩下2個是Cracked、QQ_WF_SP8OON,找到另一個mac地址
結果為97d79a5f219e6231f7456d307c8cac68
68.流量包中首次捕獲到該偽裝設備修改自身名稱的UTC+0時間為?(格式:2024/03/07 01:02:03.123)
從頭開始搜索設備名,找到第一個
結果為2025/4/9 02:31:26.711
69.起早王中途還不斷嘗試使用自己的手機向倩倩電腦進行廣播發包,請你找出起早王手機藍牙的制造商數據(格式:0x0102030405060708)
就剩這個設備
結果為0x0701434839313430
70.起早王的真名是什么(格式:Cai_Xu_Kun 每個首字母均需大寫 )
https://github.com/p0ise/pcap2text現成的項目秒了
結果為Wang_Qi_Zhao
71.起早王對倩倩的電腦執行了幾條cmd里的命令(格式:1 )
結果為7
72.倩倩電腦中影子賬戶的賬戶名和密碼為什么(格式:32位小寫md5(賬號名稱_密碼) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )
應該是qianqianwoaini$/abcdefghijkImn,這里可能識別的不是很好,沒有識別到shift
結果為53af9cd5e53e237020bea0932a1cbdaa
73.起早王對倩倩的電腦執行的最后一條命令是什么(格式:32位小寫md5(完整命令),例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )
還好它大小寫使用capslock切換的,不然真難搞了,這個腳本對shift的支持有點兒問題
rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html
還是ctf-neta好用
結果為0566c1d6dd49db699d422db31fd1be8f
浙公網安備 33010602011771號