学生组B–流量分析题

【题目背景】

某高校门禁管理系统疑似被入侵，部分师生进出某实验室的数据疑似被盗取，并被上传至攻击者计算机，请对学校审计系统记录的流量数据进行分析，溯源攻击者。

利用流量分析工具对流量进行分析，获取攻击者盗取的数据压缩包的名称。

直接过滤http，然后追踪流

正确答案：sql.zip

利用流量分析工具对流量进行分析，获取接收数据压缩包的互联网IP地址，并做为答案提交

正确答案：4.25.126.64

还原流量中的数据压缩包文件，爆破压缩包密码，并将压缩包解压后获取的flag.txt文件中的内容做为答案提交。

CTF-NetA一把梭

正确答案：yBqnawxemjQAYRIiqJddBWPIMoQDeIwjXhNElJRHkaCEaxvN

压缩包解压后获取攻击者盗取的plain.sql数据库文件，对plain.sql文件中的部分秘文进行解密，获取用户张三的门禁密码的明文，其中用户名字段为user，门禁密码采用某古典加密方式加密、字段为password

正确答案：Password@225060

对压缩包中plain.sql原文件的全部内容进行MD5计算，得到32位的十六进制MD5值，将该值去除数字后剩余的所有字母的小写方式且不改变字母顺序的结果作为密钥对flag.txt中的内容进行维吉尼亚加密，并将得到的密文作为答案提交。

职工组B–流量分析题

【题目背景】

某单位视图库系统被攻击，员工张三的个人数据疑似被攻击者盗取，并被上传至攻击者计算机，请对审计系统记录的流量数据进行分析，溯源攻击者。

利用流量分析工具对流量进行分析，获取外发的数据压缩包文件名并做为答案提交。

正确答案：secret.zip

利用流量分析工具对流量进行分析，获取接收数据压缩包的互联网IP地址并做为答案提交。

正确答案：4.25.126.128

还原流量中的数据压缩包文件，爆破压缩包解压密码，并将压缩包解压后获取的flag.txt文件中的内容做为答案提交。

正确答案：155522ed-8892-4000-9274-6b352585ce53

压缩包解压后获取图片文件，提取图片中隐藏的数据，并加隐藏的数据作为答案提交。

zsteg一把梭

正确答案：Secret:39889e31-4ed6-4043-8b10-769fbd30c48e

对图片文件中的签名信息进行分析，获取被攻击者张三16位长度的员工ID，并做为答案提交。

发现只要是1就有噪点

发现384896307751144只有15位通过提取文件中标记位 d3 fb ff 后特定 16 字节序列中每个字节的高 4 位（High Nibble）并按序组合，得出该 16 位员工 ID 为 6384896307751144。