2025平航杯—团队赛

2025平航杯团队赛

计算机取证

分析起早王的计算机检材，起早王的计算机插入过USB序列号是什么(格式：1)
分析起早王的计算机检材，起早王的便签里有几条待干(格式：1)
分析起早王的计算机检材，起早王的计算机默认浏览器是什么(格式：Google)
分析起早王的计算机检材，起早王在浏览器里看过什么小说(格式：十日终焉)
分析起早王的计算机检材，起早王计算机最后一次正常关机时间(格式：2020/1/1 01:01:01)
分析起早王的计算机检材，起早王开始写日记的时间(格式：2020/1/1)
分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候(格式：2020/1/1 01:01:01)
分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色(格式：1)
分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)
分析起早王的计算机检材，电脑中ai换脸界面的监听端口(格式：80)
分析起早王的计算机检材，电脑中图片文件有几个被换过脸(格式：1)
分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)
分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)
分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)
分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么(格式：12345678901)
分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式：1)
分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么(格式：abandon)
分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)
分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)
分析起早王的计算机检材，起早王总共购买过多少倩倩币(格式：100qianqian)
分析起早王的计算机检材，起早王购买倩倩币的交易时间是(单位：UTC)(格式：2020/1/1 01:01:01)

分析起早王的计算机检材，起早王的计算机插入过usb序列号是什么(格式：1)

F25550031111202

分析起早王的计算机检材，起早王的便签里有几条待干(格式：1)

5

分析起早王的计算机检材，起早王的计算机默认浏览器是什么(格式：Google)

Edge

分析起早王的计算机检材，起早王在浏览器里看过什么小说(格式：十日终焉)

道诡异仙

分析起早王的计算机检材，起早王计算机最后一次正常关机时间(格式：2020/1/1 01:01:01)

2025/4/10 11:15:29

分析起早王的计算机检材，起早王开始写日记的时间(格式：2020/1/1)

仿真找到存储笔记的软件——rednotebook

笔记还挺有意思的，哈哈，里面是一些关于IOT安全的牛马（黑客）日常

注明了一些密码

虚拟钱包助记词

另外爆搜也可以做

2025/3/3

分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候(格式：2020/1/1 01:01:01)

启动SillyTavern

使用上面一题的密码登录即可——qzwqzw114

2025/3/10 18:44:56

分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色(格式：1)

4

分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)

保存在平台目录的文件里

Tifa-DeepsexV2-7b-Cot-0222-Q8

分析起早王的计算机检材，电脑中ai换脸界面的监听端口(格式：80)

bitlocker密码

找到换脸启动器

7860

分析起早王的计算机检材，电脑中图片文件有几个被换过脸(格式：1)

3

分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)

日志文件里找到记录

inswapper_128_fp16

分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)

在xmind里可以看到账号密码——neo4j/secretqianqian

graph.db

分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)

启动neo4j服务——参考：在Windows环境中安装Neo4j_windows安装neo4j-CSDN博客

账号密码输入即可登录

17088

分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么(格式：12345678901)

MATCH (p:person) WHERE p.name STARTS WITH '白杰' RETURN p.mobile

13215346813

分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式：1)

参考官方WP

MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
​
MATCH (l)-[:USING_DEVICE]->(d:Device)
​
WHERE 
​l.time < datetime('2025-04-14')
​AND ip.city <> u.reg_city
​AND NOT (u)-[:TRUSTS]->(d)
​
WITH 
​u,
​collect(DISTINCT ip.city) AS 异常登录城市列表,
​collect(DISTINCT d.device_id) AS 未授权设备列表,
​count(l) AS 异常登录次数
​
WHERE size(异常登录城市列表) > 2
​
RETURN 
​u.user_id AS 用户ID,
​u.real_name AS 姓名,
​异常登录城市列表,
​未授权设备列表,
​异常登录次数
​
ORDER BY 异常登录次数 DESC;

2

分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么(格式：abandon)

前面日记有提示，去微软输入法里找找

设置——语言——简体中文（选项）——微软输入（选项）——词库和自学习——编辑

draft

分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)

插件里可以看到钱包地址

0xd8786a1345cA969C792d9328f8594981066482e9

分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)

浏览器历史记录找到交易网站，本机访问输入地址就可以看到交易记录

1000000qianqian

分析起早王的计算机检材，起早王总共购买过多少倩倩币(格式：100qianqian)

同上amount可以看到

521qianqian

分析起早王的计算机检材，起早王购买倩倩币的交易时间是(单位：UTC)(格式：2020/1/1 01:01:01)

同上计算一下时间

2025/3/24 2:08:36

AI取证

分析CRACK文件，获得FLAG1(格式：FLAG1{123456})
分析crack文件，获得flag2(格式：flag2{123456})
分析crack文件，获得flag3(格式：flag3{123456})
分析crack文件，获得flag4(格式：flag4{123456})

分析crack文件，获得flag1(格式：flag1{123456})

在电脑检材中导出

运行这个环境需要python3.10以上，而且需要安装PyArmor依赖（被PyArmor加密了），不然会有语法错误

也可以使用工具——https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot

核心功能

✅ 将Pyarmor 8.0-9.1.5加密的Python脚本静态转换为：

• 准确的反汇编代码（支持Python 3.7-3.13）

• 实验性源代码（存在不完整性，需人工校验）

技术突破

🔧 混合技术栈：

• 基于Decompyle++深度改造

• 新增AST抽象语法树修改模块

• 跨平台支持（Linux/Windows/macOS）

⚠️ 安全优势：

• 无需执行可疑脚本（规避恶意代码风险）

• 自动识别pyarmor_runtime动态库解密逻辑

然后打开解密后的start.py.1shot.cdc.pyu，搜flag

flag1{you_are_so_smart}

分析crack文件，获得flag2(格式：flag2{123456})

flag2{prompt_is_easy}

分析crack文件，获得flag3(格式：flag3{123456})

flag3{no_question_can_kill_you}

分析crack文件，获得flag4(格式：flag4{123456})

flag4{You_have_mastered_the_AI}

exe逆向

分析GIFT.EXE，该程序的MD5是什么(格式：大写MD5)
GIFT.exe的使用的编程语言是什么(格式：C)
解开得到的LOVE2.exe的编译时间(格式：2025/1/1 01:01:01)
分析GIFT.exe，该病毒所关联到的ip和端口(格式：127.0.0.1:1111)
分析GIFT.exe，该病毒修改的壁纸md5(格式：大写md5)
分析GIFT.exe，为对哪些后缀的文件进行加密： A.doc B.xlsx C.jpg D.png E.ppt
分析GIFT.exe，病毒加密后的文件类型是什么(格式：DOCX文档)
分析GIFT.exe，壁纸似乎被隐形水印加密过了？请找到其中的Flag3(格式：flag3{xxxxxxxx})
分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)
分析GIFT.exe，请解密test.love得到flag4(格式：flag4{xxxxxxxx})

分析GIFT.exe，该程序的md5是什么(格式：大写md5)

5A20B10792126FFA324B91E506F67223

GIFT.exe的使用的编程语言是什么(格式：C)

这里要吐槽一下，很多比赛题目表述不清楚，要么固定大小写，要么明确格式，不要像这题一样就写给C，做下来不少人会写成PYTHON/python，答案只能判定为错

Python

解开得到的LOVE2.exe的编译时间(格式：2025/1/1 01:01:01)

python打包的exe转py——参考：Python3.9及以上Pyinstaller 反编译教程(exe转py)-CSDN博客

工具：pyinstxtractor（exe转pyc）+pycdc（pyc转py）

pyinstxtractor运行命令：python pyinstxtractor.py xxx.exe

pycdc运行命令：pycdc.exe test.pyc>test.py

下载链接——https://github.com/extremecoders-re/decompyle-builds/releases/tag/build-16-Oct-2024-5e1c403

可以找到解密密码，下面的base64加密是释放的文件，可以用在线网站解密后打包转为文件

在沙箱里运行一下，输入密码

文件释放在C:\Users\起早王\AppData\Local\Temp\gift_extracted里面

微步里面跑一下

2025/4/8 09:59:40

分析GIFT.exe，该病毒所关联到的ip和端口(格式：127.0.0.1:1111)

运行一下love2.exe

46.95.185.222:6234

分析GIFT.exe，该病毒修改的壁纸md5(格式：大写md5)

733FC4483C0E7DB1C034BE5246DF5EC0

"分析GIFT.exe，为对哪些后缀的文件进行加密：A.doc B.xlsx C.jpg D.png E.ppt"

创建各个类型的文件，运行love2.exe即可看到对哪些加密

ABE

分析GIFT.exe，病毒加密后的文件类型是什么(格式：DOCX文档)

LOVE Encrypted File

分析GIFT.exe，壁纸似乎被隐形水印加密过了？请找到其中的Flag3(格式：flag3{xxxxxxxx})

工具链接：盲水印工具WaterMark.exe - 吾爱破解 - 52pojie.cn

Flag3{20241224_Our_First_Meet}

分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)

导出同目录下的照片

存有RSA解密密钥

RSA

分析GIFT.exe，请解密test.love得到flag4(格式：flag4{xxxxxxxx})

这题比较难，参考一下大佬的WP

加密算法：RSAES-RKCS1-V1_5

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from typing import Optional
​
def decrypt(encrypted_file_path: str,private_key_path: str,decrypted_file_path: str,chunk_size: Optional[int] = None
) -> bool:"""使用RSA私钥解密文件
​Args:encrypted_file_path: 加密文件路径private_key_path: PEM格式私钥文件路径decrypted_file_path: 解密输出路径chunk_size: 解密块大小（根据密钥长度自动计算）"""try:with open(encrypted_file_path, 'rb') as f:encrypted_data = f.read()
​with open(private_key_path, 'rb') as key_file:private_key = serialization.load_pem_private_key(key_file.read(),password=None,)
​# 根据密钥长度自动计算块大小key_size = private_key.key_sizeoptimal_chunk_size = key_size // 8 if not chunk_size else chunk_size
​dec_data = bytearray()for i in range(0, len(encrypted_data), optimal_chunk_size):chunk = encrypted_data[i:i + optimal_chunk_size]try:dec_chunk = private_key.decrypt(chunk,padding.PKCS1v15())dec_data.extend(dec_chunk)except Exception as e:print(f"块解密失败：{str(e)}")return False  # 遇到解密错误立即终止
​with open(decrypted_file_path, 'wb') as f:f.write(dec_data)return True
​except Exception as e:print(f"解密过程异常：{str(e)}")return False
​def main() -> None:encrypted_file_path = r"G:\2025平航杯\新建文件夹\test.love"private_key_path = r"G:\2025平航杯\新建文件夹\私钥.txt"decrypted_file_path = r"G:\2025平航杯\新建文件夹\test.love.dec"
​if decrypt(encrypted_file_path, private_key_path, decrypted_file_path):print(f"文件解密成功，已保存到: {decrypted_file_path}")else:print("解密失败")
​if __name__ == "__main__":main()

解出来是个ppt

flag4{104864DF-C420-04BB5F51F267}

服务器取证

该电脑最早的开机时间是什么(格式：2025/1/1 01:01:01)
服务器操作系统内核版本(格式：1.1.1-123)
除系统用户外，总共有多少个用户(格式：1)
分析起早王的服务器检材，Trojan服务器混淆流量所使用的域名是什么(格式：xxx.xxx)
分析起早王的服务器检材，Trojan服务运行的模式为：A、foward B、nat C、server D、client
关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用，正确的是： A. 代理流量转发到外部互联网服务器 B. 将流量转发到本地的 HTTP 服务（如Nginx） C. 用于数据库连接 D. 加密流量解密后的目标地址
分析网站后台登录密码的加密逻辑，给出密码sbwyz1加密后存在数据库中的值(格式：1a2b3c4d)
网站后台显示的服务器GD版本是多少(格式：1.1.1 abc)
网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式：1)
在网站购物满多少免运费(格式：1)
分析网站日志，成功在网站后台上传木马的攻击者IP是多少(格式：1.1.1.1)
攻击者插入的一句话木马文件的sha256值是多少(格式：大写sha256)
攻击者使用工具对内网进行扫描后，rdp扫描结果中的账号密码是什么(格式：abc:def)
对于每个用户，计算其注册时间（用户表中的注册时间戳）到首次下单时间（订单表中最早时间戳）的间隔，找出间隔最短的用户id。（格式：1）
统计每月订单数量，找出订单最多的月份（XXXX年XX月）
找出连续三天内下单的用户并统计总共有多少个（格式：1）

该电脑最早的开机时间是什么(格式：2025/1/1 01:01:01)

2022/02/23 12:23:49

服务器操作系统内核版本(格式：1.1.1-123)

3.10.0-1160.119.1.el7.x86_64

除系统用户外，总共有多少个用户(格式：1)

3

分析起早王的服务器检材，Trojan服务器混淆流量所使用的域名是什么(格式：xxx.xxx)

wyzshop1.com

分析起早王的服务器检材，Trojan服务运行的模式为：A、foward B、nat C、server D、client

配置文件里是you guess，比对一下example文件夹里的文件，发现只有nat和配置文件最像

B

关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用，正确的是：

A. 代理流量转发到外部互联网服务器

B. 将流量转发到本地的 HTTP 服务（如Nginx）

C. 用于数据库连接

D. 加密流量解密后的目标地址

A

分析网站后台登录密码的加密逻辑，给出密码sbwyz1加密后存在数据库中的值(格式：1a2b3c4d)

f8537858eb0eabada34e7021d19974ea

网站后台显示的服务器GD版本是多少(格式：1.1.1 abc)

2.1.0 compatible

网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式：1)

导出数据库/www/wwwroot/www.tpshop.com/backup/www_TPshop_com1.sql，并导入Navicat查看

编写SQL查询语句

SELECT COUNT(*) 
FROM tp_order 
WHERE add_time >= UNIX_TIMESTAMP('2016-04-01 00:00:00') 
AND add_time <= UNIX_TIMESTAMP('2025-04-01 00:00:00');

在网站购物满多少免运费(格式：1)

从这一题开始重构网站——在网站看信息方便一点

修改mysql数据库密码——参考MySql 中的skip-grant-tables（跳过权限验证的问题）-CSDN博客

1.关闭防火墙

systemctl stop firewalld

systemctl disable firewalld

2.绕过+修改密码

要启用 skip-grant-tables，需要修改 MySQL 的配置文件（如 my.cnf 或 my.ini），在 [mysqld] 部分添加以下内容：

[mysqld]

skip-grant-tables

然后重启 MySQL 服务——systemctl restart mysqld

登录 MySQL——mysql -u root -p

# 切换到 mysql 数据库——USE mysql;

# 修改 root 用户的密码——UPDATE user SET password = PASSWORD('newpassword') WHERE user = 'root';

# 刷新权限——FLUSH PRIVILEGES;

# 退出 MySQL——EXIT;

修改完密码后，记得将配置文件中的 skip-grant-tables 删除或注释掉，并重启 MySQL 服务，以恢复正常的权限验证

发现数据库为空，将备份里的SQL文件导入即可

修改host文件——配置 IP + www.tpshop.com

访问www.tpshop.com即可

后台路径——http://www.tpshop.com/index.php/Admin/Admin/login.html

在navicat里将admin的密码替换为第7题的sbwyz1的加密值

后台进入成功

可以看到满100000免运费

100000

分析网站日志，成功在网站后台上传木马的攻击者IP是多少(格式：1.1.1.1)

222.2.2.2

攻击者插入的一句话木马文件的sha256值是多少(格式：大写sha256)

870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF

攻击者使用工具对内网进行扫描后，rdp扫描结果中的账号密码是什么(格式：abc:def)

在/www/wwwroot/www.tpshop.com/application找到渗透工具——PwnKit

result.txt保存了扫描结果

administrator:Aa123456@

对于每个用户，计算其注册时间（用户表中的注册时间戳）到首次下单时间（订单表中最早时间戳）的间隔，找出间隔最短的用户id。（格式：1）

后面就是通过数据库进行数据分析了，看了一些WP答案大同小异，因为官方也没有发布答案，只能说仁者见仁智者见智

交给AI（ds-R1）编写查询代码

SELECT u.user_id,TIMESTAMPDIFF(SECOND, FROM_UNIXTIME(u.reg_time), FROM_UNIXTIME(MIN(o.add_time))) AS reg_to_first_order_seconds
FROM tp_users u
JOIN tp_order o ON u.user_id = o.user_id
GROUP BY u.user_id
ORDER BY reg_to_first_order_seconds ASC
LIMIT 1;

385

统计每月订单数量，找出订单最多的月份（XXXX年XX月）

SELECT DATE_FORMAT(FROM_UNIXTIME(change_time), '%Y-%m') AS month,COUNT(log_id) AS order_count
FROM tp_account_log
WHERE `desc` LIKE '%下单消费%'
GROUP BY month
ORDER BY order_count DESC
LIMIT 1;

2016年3月

找出连续三天内下单的用户并统计总共有多少个（格式：1）

SELECT COUNT(DISTINCT user_id) AS consecutive_users
FROM (SELECT user_id,order_date,@prev_date := IF(user_id = @prev_user, @prev_date, NULL) AS prev_date_reset,@seq := IF(order_date = @prev_date + INTERVAL 1 DAY AND user_id = @prev_user, @seq + 1, 1) AS seq,@prev_user := user_id,@prev_date := order_dateFROM (SELECT DISTINCT user_id, DATE(FROM_UNIXTIME(add_time)) AS order_date FROM tp_orderORDER BY user_id, order_date) AS distinct_datesCROSS JOIN (SELECT @prev_user := NULL, @prev_date := NULL, @seq := 0) AS vars
) AS sequence
WHERE seq >= 3;

1

手机取证

该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)
分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学(格式：浙江大学)
分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)
分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5))
分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式：Baidu))
分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)
分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)
该木马app控制手机摄像头拍了几张照片(格式：1)
木马APP被使用的摄像头为(格式：Camera)
分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)
分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）
此手机检材的IMEI号是多少(格式：1234567890)

该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)

2025/04/15 18:11:18

分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)

方法一：

逆向反编译——AI分析

成功后输出flag的代码，发现涉及AES加密函数

根据加密函数编写解密代码，得到flag

from Crypto.Cipher import AES  
import binascii  
​
生成白盒密钥  
​
MAGIC_NUMBERS = [113, 99, 92, 106, 89, 98, 54, 113, 104, 89, 117, 100, 113, 127, 124, 89]  
key_bytes = bytes([b ^ 6 for b in MAGIC_NUMBERS])  # weZl_d0wn_sbwyz_  
​
预设的密文字节数组 (来自hexStringToByteArray的异常处理)  
​
cipher_bytes = bytes([  0x50, 0xCC, 0x04, 0x31, 0x35, 0x06, 0x80, 0xC3,  0x0A, 0x5E, 0xC5, 0x19, 0x52, 0x73, 0x6D, 0x0C  
])  
​
使用AES-ECB模式解密  
​
cipher = AES.new(key_bytes, AES.MODE_ECB)  
decrypted = cipher.decrypt(cipher_bytes)  
​
去除PKCS#7填充  
​
pad_len = decrypted[-1]  
flag = decrypted[:-pad_len].decode('utf-8')  
​
print("Decrypted flag:", flag)

方法二：

hook函数，直接输出/修改时间为无限，完成拼图

flag{Key_1n_the_P1c}

分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学(格式：浙江大学)

根据hint和便签中的樱花大道猜测是杭州市（滨江区），可以社工查询是“浙江中医药大学”微信公众号上的图片

浙江中医药大学

分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)

http://192.168.180.107:6262/

分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5)

23A1527D704210B07B50161CFE79D2E8

分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式：Baidu)

发现是一款安卓远控软件

Google Service Framework

分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)

梆梆安全

分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)

这一题要通过源码找，一键脱壳即可（当然也可以手动脱壳——DumpDex/BlackDex）

92.67.33.56:8000

该木马app控制手机摄像头拍了几张照片(格式：1)

因为木马连接的是服务器，所以服务器会记录相关的操作日志——结合服务器取证

导出jadx反编译的源码——没找到

导出服务器/root目录下的AndroRAT文件夹——没找到

导出服务器/var/log文件夹——没找到

所以感觉职业组和学生组的检材有出入，第9题和第10题是没办法做的，唯一的办法就是自己复现远控的环境

木马地址：https://github.com/karma9874/AndroRAT

职业组可以在服务器的/tmp/ratlog.txt中看到日志，拍摄了3张图片，但图片不在服务器中

3

木马APP被使用的摄像头为(格式：Camera)

复现后可以知道控制的摄像头有两个——猜个Front Camera

Front Camera

分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)

jobScheduler

分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）

上海市徐汇区

此手机检材的IMEI号是多少(格式：1234567890)

爆搜IMEI

865372026366143

流量分析

请问侦查人员是用哪个接口进行抓到蓝牙数据包的（格式：DVI1-2.1）
起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备的原始设备名称为什么（格式：XXX_xxx 具体大小写按照原始内容）
起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备修改成耳机前后的大写MAC地址分别为多少（格式：32位小写md5(原MAC地址_修改后的MAC地址) ，例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 ）
流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为？（格式：2024/03/07 01:02:03.123）
起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包，请你找出起早王手机蓝牙的制造商数据（格式：0x0102030405060708）
起早王的真名是什么（格式：Cai_Xu_Kun 每个首字母均需大写 ）
起早王对倩倩的电脑执行了几条cmd里的命令（格式：1 ）
倩倩电脑中影子账户的账户名和密码为什么（格式：32位小写md5(账号名称_密码) ，例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 ）
起早王对倩倩的电脑执行的最后一条命令是什么（格式：32位小写md5(完整命令)，例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 ）

请问侦查人员是用哪个接口进行抓到蓝牙数据包的（格式：DVI1-2.1）

COM3-3.6

起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备的原始设备名称为什么（格式：XXX_xxx 具体大小写按照原始内容）

导出搜索

发现设备名称是device_name

编写脚本统计总数

import redef extract_device_names(file_path):# 设备名称的字典（用于统计出现次数）device_counts = {}# 正则表达式模式，用于匹配设备名称pattern = re.compile(r'"btcommon\.eir_ad\.entry\.device_name":\s*"([^"]+)"')# 打开文件并逐行读取with open(file_path, 'r', encoding='utf-8') as file:for line in file:# 在每一行中查找所有匹配项matches = pattern.findall(line)for match in matches:# 如果设备名称已存在于字典中，增加计数；否则初始化为 1if match in device_counts:device_counts[match] += 1else:device_counts[match] = 1# 按照出现次数降序排序sorted_device_counts = sorted(device_counts.items(), key=lambda x: x[1], reverse=True)# 保存结果到 1111.txtoutput_file_path = '1111.txt'with open(output_file_path, 'w', encoding='utf-8') as output_file:output_file.write("设备名称及其出现次数（按次数降序排序）：\n")for name, count in sorted_device_counts:output_file.write(f"{name}: {count}\n")print(f"结果已保存到 {output_file_path}")# 文件路径
file_path = r"2121.json"
extract_device_names(file_path)

原始设备名称大概率是Flipper 123all，而且这个名字出现时间也在前面

搜索知道这是一款物理渗透测试工具（IOT）

因为Flipper在伪装他人蓝牙设备时会先修改名字再修改MAC地址，仔细观察可以发现前面两个的mac地址是一样的，所以是攻击者用flipper截获了蓝牙耳机的MAC，先修改了名字，再修改MAC制作了钓鱼蓝牙

Flipper 123all

起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备修改成耳机前后的大写MAC地址分别为多少（格式：32位小写md5(原MAC地址_修改后的MAC地址) ，例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 ）

直接遍历QQ_WF_SP8OON所有的MAC地址即可

可以找出分别为80:e1:26:33:32:31和52:00:52:10:13:14

97d79a5f219e6231f7456d307c8cac68

流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为？（格式：2024/03/07 01:02:03.123）

搜索找到QQ_WF_SP8OON第一次出现的时间

Apr 9, 2025 02:31:26.710747000 UTC

2025/4/9 02:31:26

起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包，请你找出起早王手机蓝牙的制造商数据（格式：0x0102030405060708）

在最下面有，也可以将含有cracked的数据另存为json文件，导出问AI

0x0701434839313430

起早王的真名是什么（格式：Cai_Xu_Kun 每个首字母均需大写 ）

后面是usb流量的取证，大概率是使用flipper zero实现rubber ducky的功能

实质就是USB模拟成键盘，输入指令让电脑执行

工具有很多——https://github.com/p0ise/pcap2text 或者 CTF-NetA

这个有必要吗，害我做错了，暴打出题人

Wang_Qi_Zhao

起早王对倩倩的电脑执行了几条cmd里的命令（格式：1 ）

7

倩倩电脑中影子账户的账户名和密码为什么（格式：32位小写md5(账号名称_密码) ，例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 ）

同上图片

命令：net user qianqianwoaini$ abcdefghijkImn /add

53af9cd5e53e237020bea0932a1cbdaa

起早王对倩倩的电脑执行的最后一条命令是什么（格式：32位小写md5(完整命令)，例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 ）

0566c1d6dd49db699d422db31fd1be8f