DIDCTF-电子数据取证综合平台-应急响应WP

应急响应 DIDCTF-电子数据取证综合平台

linux-basic-command

要求：获取2015年访问请求 排名前五的ip地址 格式：flag{ip1,ip2,ip3,ip4,ip5}

下载附件打开后可知是nginx日志文件，简单筛选去掉2016数据

统计nginx访问ip，并按照访问次数进行排序

接下来传输至kali操作：

scp C:\Users\xiaob\Downloads\access.log\access.log root@192.168.220.129:\home\kali\Desktop\

cat access.log |awk '{print$1}'

出现数百个ip ，进行重复统计且排序

cat access.log | awk '{print$1}' |sort|uniq -c|sort -rn

只要前五个

cat access.log | awk '{print$1}' |sort|uniq -c|sort -rn|head -5

flag{148.251.50.49,213.150.254.81,37.1.206.196,178.191.155.244,195.212.98.190}

ire7-windows-log

下载附件打开

Logon为审核失败

Credential Validation 审核成功，双击打开

key{5sBgaXqR}

wireshark0

由题可知远程登录

wireshark进行筛选后按长度排序

追踪一下

The_key1_is_HYDw29eP

wireshark0.5

账号登录一般为post请求，所以wireshark进行筛选

很明显的两条登录请求进行追踪

按要求提交flag{0p-0p-0p-}

linux-log

题目可知已经登录进系统，搜索关键字Accepted

ssh远程登陆日志分析_the user canceled authentication-CSDN博客

根据要求提交flag{172847}

wireshark1

http过滤一下，可以看到有一个压缩包

打开压缩包发现有密码

搜索可得压缩包有进行密码保护，即压缩包密码可知

zip -P Adm1n! www0587.zip  #用于解压名为www0587.zip的文件，并使用密码Adm1n! 进行解压缩。zip命令用于压缩文件，-P选项用于指定密码，因此这条命令表示使用密码Adm1n!解压缩www0587.zip文件。

解压后获取到key

key:4tEm21x5