2023年美亚杯
安卓
1
直接看SIM卡
2
虽然两个都有但是这里单选所以选择WhatsApp
3
这里并没有找到任何反追踪软件
wp也没有
4
在短信里面可以发现这里有验证码
所以时间是2022-08-18
5
代码是304313
6
在文档里面找到了他的工作证
7
图片里面打开第一张就是
这个创建时间和修改时间对不上
VPN
8
在浏览器保存密码里面找到了登录服务器的端口
因为是登录所以可以去看下保存的密码
9
我们在上面收集到信息知道是openvpn
其登录记录保存在var/log文件夹里面
这里直接去找
这里有两个最新的是上面那个打开搜就行了
192.166.244.167
10
要找ubuntu的版本的话
这里面全是etc的文件
etc文件呢是系统的配置文件这里可以直接进去找了看一下
要不知道他在哪个文件夹里面,直接全部一起搜也是可以的
就是这俩
11
这里得一个一个文件去看
这个是用户认证和登录的记录
这里如果直接搜是搜不到的因为没有这个文件sys.log
因为这个是linux核心的系统日志文件
这是一个文件夹
会记录系统的操作事件等
bash_history
文件是找到了但是是空的
这里搜一下这个文件
这个文件是保存用户使用过的500条命令这个是有助于帮助但是这个检材里面没有使用过
idconfig是一个命令不是文件
12
这里让我们寻找服务器的时间,也可以说是配置基本信息了
都存在etc目录下
etc/timezone里面存有服务器的时区信息
然后再搜一手
13
浏览器保存的密码直接看
但是这里有两个
这里直接搜索一下openvpn
在系统配置文件里同样存在看一下文件
这里可以看见DNS解析的ip所以是上面那个
14
先直接搜索User1这里找到了openvpn的配置文件就是客户端的身份认证与连接配置文件
看见加密方式
AES-256-CBC
流量
15
常见的端口扫描类型有全连接扫描、半连接扫描、秘密扫描和UDP扫描。
具体内容看这篇
https://blog.csdn.net/lhorse003/article/details/71758812
找哪个ip正在进行namp扫描这里可以排一下时间
看见UDP协议了
16
这里进行着两个扫描
一个是通过TCP进行的扫描
一个是UDP扫描
这里是扫描8.8.8.8的这个好像是秘密扫描
17
这里在问扫描方式这里把namp指令图贴出来
所以是 nmap -sT 8.8.8.8
18
因为45.33.32.156我们知道是进行UDP扫描
所以是su不过这张图里面没有
知识考察
从这里后面的一些题就是考察知识的不是考察检材内容的
19
这里我们知道后一百个所以BD排除而ip一般是到254,255是广播地址所以选C
20
这个算是一个基础知识
DHCP是自动分配IP的
HTTP是超文本传输协议基于TCP协议
RTP实时音视频流传输通常基于UDP协议
Telnet协议,依然基于TCP
21
这里是一个ACL配置的学习
ACL(访问控制列表)配置要遵循的原则首先ACL里面的编号要连续的
不能存在条约或者插入119到121这种是不合理的
这里再来读一下每一条规则的内容
119拒绝所有UDP连接
121允许192.168.26.2的UDP
120拒绝所有TCP连接
122允许192.168.26.3访问www
123允许所有连接FTP
就这样捋一下可以看出是直接断网了的
将199和120删除
22
这里直接观察TTL值
所以是Linux的
23
nmap会默认先用ping探活,如果ping不通就直接停止后续操作——除非加上参数-Pn,即不进行ping探活就直接进行扫描
所以这里使用namp -Pn
24
这里选择-T0因为这个是最慢的扫描
-T5是极限速度
-timeout 99主机超时99秒这个就是最大扫描时长
MAC
25
这里了解一下这几个分区
所以这三个apple都能用
26
这里需要找符号链接
这里可以直接搜一下
所以有一个
还有一种方法是仿真后进行
但是这里没有虚拟机就没有演示
27
这里问分区类型直接使用XWAY看
28
这里还是要利用到macos的虚拟机比较方便
29
这里去分区日志里面搜索一下
发现里面有一个yeah.jpg没有所以选这个
30
这里看文件最早的更新时间
这里还需要转化一下时区
31
这里实际上就是问删除了多少文件
这里直接查看trashes文件
Trashes文件是用来临时存储已删除的文件的隐藏回收站
Windows
32
直接去看登录信息
11次
33
34
35
对照着选
36
WPS
37
38
39
40
对着找
41
42
43
44
所以是Movie
45
基础知识
46
6超出范围了
47
304是表示页面没有更新的直接从缓存加载
48
这个可以去看一下html注入,这个看起来更符合的是A
但是问的AI告诉我是C
C这个是明显的XXE漏洞
A的话就是一个表单
这里AI说是
但是XXE漏洞是属于XML文档的一个解析漏洞
所以这里选择A
49
这里单选那就最直接的输入过滤
50
这里看见同源应该就是C了
51
这里先来解看一下namp扫的内容
首先扫的网站是www.baidu.com
然后其扫的内容是robots.txt
这里调用了namp的脚本引擎,扫描robots.txt并解析出来
所以
namp --script http-robots.txt www.baqdu.com
--script是 Nmap 的自动化探针引擎简单在这里理解就是访问特定的路劲返回内容
52
这就是直接访问么
www.baidu.com/robots.txt
IOS
53
先去找那个文件
来学英语了
hardwareModel这个叫版本型号
搜一下这个型号
54
55
使用工具打开这个数据库
这里面有一个表叫CHATSESSION就是存储对话的
这里面由三个FLAGS值比其它明显大
就是这三个
56
这个表是存储媒体文件为啥别问,英语不太好
筛选一下这一栏
要这种类型的
可以看见右下角的45条记录
57
这个直接搜
58
这个看大佬的wp他说是一个一个找过去的
这里大概看了一下就瞎猜一下
这个软件可能就是他们诈骗联系用的
而这个软件之间发送的视频是进行云端保存
至于为啥我也不知道
所以最后我们需要找到表cloudmaster
而里面也确实由whatsapp的记录
59
这里先找资源总表
zasset
此表是 Apple iOS/macOS 系统相册数据库 Photos.sqlite的核心表之一,专门存储 相册中所有媒体资源(照片、视频、Live Photo 等)的元数据信息。
简单说就是这个数据库路里面的所有媒体这里都存着信息
找到文件了
根据大佬博客找到一个表ZEXTENDEDATTRIBUTES(Extended Attributes:拓展属性)
根据pk值来寻找
第一张图片是经纬度,第二张是他用什么拍的
这里来了解一下apple的这个表
所以这里用的是后置镜头,且存储了经纬度
所以选E且C不选
ISO是160所以D也选
这里又来了解一个知识点
苹果相机的原格式是HEIC所以这个不是第三方软件拍摄
这样找下来选的是ADE然后翻了很多大佬的博客都没有和官方给的答案一样的B也没有找到怎么做
60
这个数据库看着比较友好
既然是信息所以进表message
这里的验证码是36666
61
62
不过这时间戳好像没见过
直接问AI
是 Core Data 时间戳(也称为 Cocoa Core Data 时间戳 或 苹果绝对时间戳)
找下工具
就是下面那个了
https://www.epochconverter.com/coredata
63
这里连源文件都没有找到
wp也没有找到
64
这个就是通话记录,callrecord就是通话记录的意思
65
66
英语不好得搜
account是账户的意思
基础知识
67
这里问一下AI
| 指令 | 解释 |
|---|---|
| git config --global user.name "mikesezto" | 配置全局 Git 用户名。设置接下来所有 Git 操作的默认提交者姓名。--global表示此配置对当前用户的所有仓库生效。 |
| git config --global user.email "smike@general.org" | 配置全局Git邮箱。设置接下来所有Git操作的默认提交者邮箱地址。姓名和邮箱用于标识每一次提交的作者。 |
| cd which-truth | 切换目录。进入名为 which-truth的本地 Git 仓库文件夹。 |
| rm .journal | 删除文件。在本地文件系统中删除名为 .journal的文件。注意:这仅删除了工作目录下的当前文件,Git 历史记录中仍保存着这个文件的所有旧版本。 |
| git add .journal | 将删除操作添加到暂存区。告诉 Git,删除.journal文件这个变更将被记录到下一次提交中。 |
| git commit -m "Remove sensitive data" | 提交更改。创建一个新的提交记录,备注信息为 "Remove sensitive data"。这个提交只是在新版本中删除了文件,历史记录中仍然存在该文件的旧版本。 |
| git push | 推送到远程仓库(如GitHub)。将刚才的提交同步到远程服务器。这并没有清除历史记录,只是增加了一条“删除文件”的新记录。 |
| git clone --mirror http://github.com/... | 镜像克隆仓库。为了使用 BFG 工具重写历史,需要在一个裸仓库(没有工作目录的纯Git数据库)上操作。此参数会完整克隆整个仓库的所有数据(包括所有分支和标签)。 |
| java -jar bfg.jar --delete-files .journal ... | 使用 BFG 重写工具清理历史。最核心的一步。BFG Repo Cleaner 会扫描所有提交的历史,并强制删除所有名为 .journal的文件。执行此命令后,本地仓库的历史记录已被彻底改写。 |
| cd which-truth | 切换目录。进入刚刚被 BFG 清理过的裸仓库目录。 |
| git reflog expire --expire=now --all | 使引用日志立即全部过期。清除 Git 的 reflog记录,因为历史重写后这些记录已经失效且可能包含旧文件的引用。 |
| git gc --prune=now --aggressive | 执行垃圾回收并立即清理。Git 会清理那些由于历史重写而不再被任何引用指向的“松散对象”(包括被删除的 .journal文件数据),并 aggressively 地压缩仓库体积。此操作永久擦除了敏感数据的物理存储空间。 |
| git push --force | 强制推送到远程仓库。这是最终更新 GitHub 历史记录的命令。强制用本地的全新历史覆盖远程仓库的旧历史。 |
所以这里这里第八行是提交新记录也就是更新
68
“Principal”:“*”
Principal 代表当前通过认证的用户或实体
这里表示是允许所有人访问很危险
69
了解一下什么叫做MFA
多重身份验证(Multi-factor Authentication,MFA)是一种增强账户安全性的访问控制机制,要求用户通过两种或两种以上不同类型的身份验证要素来确认身份,从而降低未授权访问的风险。其核心原理是通过组合多个独立的认证要素,确保即使某一要素被破解,账户仍能保持安全
一般需要两种或者两种以上的因素来进行
所以选择A
70
AWS(Amazon Web Services) 是亚马逊公司旗下的云计算服务平台,为个人、企业和政府提供按需付费的、可扩展的云端计算资源和服务。
所以这里要来解读一下11行的内容
jq -r .src_host: 使用jq这个工具解析JSON格式的日志,并提取出src_host这个字段的值。
src_host通常指代发起连接或攻击的源主机的IP地址。
grep -v ^$: 过滤掉空行
sort | uniq: 对IP地址进行排序并去重,只保留唯一的记录
> ./sources.txt: 将最终结果输出保存到sources.txt文件中
OpenCanary 是一款开源的低交互蜜罐系统,专为诱捕攻击者、收集威胁情报而设计
所以选攻击者来源
71
VPC有自己的配置规则
在10.0.0.0/24 的子网中,以下五个 IP 地址是保留的:
10.0.0.0:网络地址。
10.0.0.1:由 AWS 保留,用于 VPC 路由器。
10.0.0.2:由 AWS 保留。DNS 服务器的 IP 地址是 VPC 网络范围的基址 + 2。对于包含多个 CIDR 块的 VPC,
DNS 服务器的 IP 地址位于主要 CIDR 中。我们还为 VPC 中的所有 CIDR 块预留了每个子网范围加二的基址。
10.0.0.3:由 AWS 保留,供将来使用。
10.0.0.24:网络广播地址。我们在 VPC 中不支持广播,因此我们会保留此地址。
72
软件即服务 (SaaS):提供完整的软件应用,用户无需管理底层基础设施,如操作系统或网络。例如,Gmail 或 Salesforce。
平台即服务 (PaaS):提供开发和部署应用的平台,用户管理应用代码,但云提供商处理操作系统、网络等底层基础设施。例如,Heroku 或 Google App Engine。
基础架构即服务 (IaaS):提供虚拟化的计算资源,如虚拟机、存储和网络。用户负责管理操作系统、网络配置和其他基础设施组件。例如,AWS EC2 或 Azure Virtual Machines。
数据即服务 (DaaS):提供数据存储、访问和管理服务,但通常不直接涉及操作系统或网络的控制。
所以选C
73
先了解一下Bastionhost
你可以把堡垒机想象成一个位于内部网络(如公司数据中心、私有云)和外部网络(如互联网)之间的 “唯一授权网关”或“安全检查站”。
所有需要从外部访问内部网络设备(如服务器、数据库、网络设备)的运维人员,都必须先登录并通过这个堡垒机,再由堡垒机连接到目标设备。严禁运维人员直接通过互联网访问内部设备。
这里从概念上就可以知道这题选C
74
这里来学习一下这些指令
mount /dev/sda3 /mnt/usb这个是挂载指令
/dev/sda3这个是要挂载的对象,/mnt/usb挂载的位置
mkfs - ext4 /dev/sda2这是一条格式化命令,用于创建文件系统。
-ext4是一种文件类型
mkfs - ext3 /sys/sda1这个就是一样的
但是因为/sys/是一个虚拟文件系统它包含的是内核和硬件设备的运行时信息,并不是一个真实的物理存储设备。你无法也不能在 /sys/或 /proc/目录下的文件上创建文件系统。
所以这里会报错
pvcreate /dev/sda这是一条 LVM(逻辑卷管理)相关的命令
将整个物理硬盘 /dev/sda初始化为一个 LVM物理卷 (Physical Volume)。这相当于为这块硬盘贴上标签,告知 LVM 系统“这块盘可以被我管理了”。
pvcreate /dev/sda类似于 Windows 中将整块物理硬盘初始化为“动态磁盘(Dynamic Disk)”的预处理步骤
genfstab -U -p /mnt这是一条在系统安装或恢复时常用的命令
根据当前已挂载的文件系统,生成一个 fstab(文件系统表)文件的配置内容
75
这里先来理解一下两个概念
一个叫硬链接一个叫软链接
简单理解一下硬链接就是和原文件完全平等的东西,都直接指向硬盘上完全相同的一块数据区域
所以如果删除其中一个硬链接,不会对数据产生什么影响,只有当所有的硬链接全部被删除时候,数据才会被删除
软链接就可以理解成windows里面的一个快捷方式
所以这题我们可以看见它使用命令ls -ilas
这里的第一行就是inode编号
可以看见两个文档的编号是一样的所以这里ln创建的是两个硬链接
接下来看选项
link是命令的一个底层调用用来创建硬链接,并且不接受参数-s所以这个命令是错误的
-s这个参数是ln用来创建软链接的
所以综合选C
76
这题直接看的话应该就是A因为在windows里面常用的分区软件叫
这个猜都要猜AD之间
然后看着更像的是A
gdisk是一个用于创建和管理磁盘分区的交互式命令行工具
mke2fs /dev/sdb1 -t ext4这个命令用于格式化一个现有的分区,而不是创建分区
mount /dev/sdc1 /mnt/fs_home这个就是挂载
fdisk -lu; lvcreate -l +200 /dev/vg00/log/vol-00这里是两个命令
fdisk -l: 用于列出系统上所有磁盘的分区表信息。
-u: 与 -l结合使用时,以扇区数而非柱面数显示分区信息,使输出更可读。
这是一个查看和诊断命令,不会修改任何分区,更不会创建分区。
lvcreate: 这是 LVM (Logical Volume Manager) 的命令,用于创建逻辑卷。
-l +200: 指定逻辑卷的大小(这里表示增加200个扩展块)。
/dev/vg00/log/vol-00: 指定了要在哪个卷组 (vg00) 和哪个物理卷上创建逻辑卷。
逻辑卷(LV)是建立在物理分区之上的抽象层,用于更灵活地管理存储空间。它的创建必须在物理分区(PV)和卷组(VG)之后。
所以选A
77
这里可以读一下英文
display是显示逻辑卷的属性信息(如大小、状态),但不能用于扩展卷
create是用于创建新的逻辑卷,而不是扩展现有卷并且-n之后应该跟新的卷名
extend可用于扩展,但语法错误,正确格式应为 lvextend -L +200M /dev/vg02/vol-01或 lvextend -l +200 /dev/vg02/vol-01(无需 -n选项)
scan命令用于扫描所有逻辑卷,但不能修改卷大小,-l +200这个无效
resize用于调整逻辑卷大小,-l +200表示增加200个物理扩展单元(PEs),/dev/vg02/vol-01指定了要扩展的逻辑卷。
78
这里先来了解一下RAID
RAID ( Redundant Array of Independent Disks )即独立磁盘冗余阵列,简称为「磁盘阵列」,其实就是用多个独立的磁盘组成在一起形成一个大的磁盘系统,从而实现比单块磁盘更好的存储性能和更高的可靠性。
这里也是让AI整理了一个表
这里来理解一下这个bash脚本的含义
先定义四个磁盘分区
创建了两个RAID设备使用mdadm命令将两个磁盘组合成一个RAID1
最后一行是组合成RAID0
然后这里是先创建了多个RAID1最后才组合成一个RAID0
所以是RAID10也就是RAID1+0
79
这里看下题目看看选项可以直接选出答案
但是这里还是来详细理解一下每条指令
kill是强行停止
disable是关闭自启动服务
stop就是正常停止
其它没有这参数
80
这题直接看都是选择B
81
这题看了知道是B但是还是看一下其它选项
ls -ls:缺少 -a选项,无法显示隐藏文件。
ls -lAs | wc:-A选项显示几乎所有隐藏文件(但不包括 .和 ..),且管道符 | wc会将输出重定向到单词计数命令,只显示统计结果而非文件列表。
ls -als | grep ssh:虽然 -als包含 -a,但管道符 | grep ssh只过滤包含 "ssh" 的文件,不会显示所有文件。
82
这题只有AD是有效命令
df -vh的组合等同于 df -h,其作用是人性化地显示所有磁盘的使用情况,清晰地展示出剩余空间
dd -sh: dd是一个强大的数据转换和复制工具,常用于备份、克隆磁盘或创建文件映像。
83
Dockerfile是用来创建镜像的所以这里选择image这个就是镜像的意思
84
这里可以直接去看一下内存区域
这里可以看见里面有四个所以我们就可以直接选择了
C不是这里再来了解一下这四个内存区看看
[heap]:进程的堆内存,用于动态分配内存。
[stack]:进程的栈内存,用于函数调用和局部变量。
[vdso]:虚拟动态共享对象,用于加速系统调用。
[vvar]:虚拟变量区域,用于内核与用户空间共享数据。
85
这里按照理解来说的话选择C没啥问题,因为是先之下输出的命令再进行排序所以使用|来隔开
这里主要是看一下C,E选项
export-logs&sort:使用&会将命令放在后台运行,但无法连接两个命令进行排序。
export-logs<>sort:使用读写重定向(<>),但sort是命令而非文件,语法错误。
将文件同时作为命令的输入源和输出目标。
86
这里可以把文件打开看看
这个一看就有关
这个光名字就有关更不用说了
C选项直接没有找到这个
这个看着比较像的
E也是没有找到
87
直接进去文件看
这个文件一看就是
Windows 10
88
这边直接把windows仿起来看一下
就是这个了
用x-way看一下
这里也是对工具很不熟练,当了一个sb
本来应该是直接把镜像搞进去的
但是我却是仿真然后把文件考出来查看
这个再查看的时候x-way就已经提醒郭我这个东西有问题但是我还是没管
还以为是工具的问题这下解决了
89
这里的last access是访问时间
90
这里找到了MP3但是这里要去找访问这个MP4的文件很麻烦
所以这里直接仿起来然后打开看一下是哪个
所以是potplayer
91
这里先来了解一下Zone Identifier
Zone Identifier 是 Windows 操作系统为从网络(如互联网或局域网)下载的文件添加的一个隐藏的“标记”或“元数据”。
所以这里显示是3所以是互联网那个
92
这里了解一个东西叫做cache这个是缓存
93
这里有一个记录更新的时间
但是这里只知道最后的修改时间
不知道是进行了什么修改
这里要去看NTFS的日志
这个可以看出其进行的详细修改
这里使用NTFSLogTracker来进行查看
先把日志导出来
查看一手
这里导出来是一个数据库直接在里面看不好看
用数据库工具看一下
这里可以看见进行了名称修改及其时间
94
我靠,后面才发现这里是可以直接进行NTFS日志解析的
95
首先这个是一个媒体播放软件
所以会放音频和视频
所以有七个
96
这里仿真起来看一下
但是这里不知道什么问题本来仿真之后是存在一个播放历史清单的
但是这里仿真之后没有
这里就只能去文件里面找
Windows 7 x64.vmdk/分区2/Users/Allen/AppData/Roaming/Microsoft/Windows/Recent
这个路径是一个用户的最近访问记录,发现火眼那里的记录不是最新的不是很符合这个文件
这里是可以看见unlock这个文件是最新的
再去找一下播放清单
脚本
97
C选项是将 lime.ko(LiME内核模块)复制到目标服务器上,这是使用LiME获取内存的第一步,必须先传过去才能加载使用。
A选项是网络端口监听,不是初步步骤。
B选项是在目标服务器上加载LiME模块,但前提是模块已经传过去(C已完成)。
D选项是直接通过SSH dump内存,没有使用LiME,不符合题意。
所以这里选择C
98
先看A
不是c.而是cus.
这里连接的字段应该是目的地的
这个没有转换时间戳,并且where句子前面没有;号
99
不会写
100
中间那个参数是索引而这里要第九个属性
所以是8
浙公网安备 33010602011771号