)
2026年第六届FIC全国网络空间取证大赛-初赛详细版Writeup(服务器+互联网+二进制)
- 前言:
- 服务器:
- 1. 该服务器主机操作系统版本为
- 2. 该服务器根分区硬盘的uuid号为
- 3. 该服务器中最新的docker镜像创建时间为
- 4. 该服务器根分区快照路径为
- 5. 该网站后台管理入口对应的文件名为
- 6. 该网站设置的icp备案号为
- 7. 该网站设置的主域名为
- 8. 该网站分类3中,视频的拼音为
- 9. 该站点设置页面中,被使用的前端模板来自于哪个源文件?
- 10. 该网站的伪静态规则配置文件sm3值为
- 11. 该网站关联的数据库的ip地址为
- 12. 该网站数据库使用了哪一类容器技术
- 13. 运行在4000端口的备份数据库版本号为
- 14. 新注册用户数量最多的日期为
- 15. 马慧美最后一次登录该网站的ip为
- 16. 以下哪个文件系统未被使用
- 17. 该服务器安装了以下那些数据库服务
- 互联网部分:
- 1. 售卖卡密的公开群组ID为
- 2. 备份数据库中视频图片的文件名为
- 3. ngrok提供的域名为
- 二进制程序部分:
- 1. 分析u盘检材,找到其中保存的加密程序SampleVC.exe,请给出这个exe程序的md5值?
- 2. 分析SampleVC.exe,该程序编译的日期可能是什么?
- 3. 分析SampleVC.exe,正确的密码是什么?
- 4. 分析u盘检材,利用SampleVC.exe解密U盘中被加密的文件,解密后的文件的后缀是什么?
- 5. 分析u盘检材,找到被加密的交易记录,统计李安弘虚拟币收款地址钱包总收款金额为
前言:
关注鱼影安全
clike[X]🛰:Yu1yuu1[X]🐧:3260344435[X]BiliBili:鱼影信息[X]公众号:鱼影安全[X]CSDN:落寞的魚丶[X]知识星球:中职-高职-CTF竞赛[X]信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛、电子取证比赛,CTF培训等 欢迎师傅们交流学习,加我可以拉粉丝群~2024金砖国家一带一路金砖国家省选拔 广东省 二等奖2024金砖国家一带一路金砖国家国赛 全国 二等奖2024金砖国家一带一路金砖国家国赛 全国 三等奖2024信息安全评估赛项(高职组)江西省 一等奖2024信息安全评估赛项(高职组)江西省 二等奖2024信息安全评估赛项(高职组)山东省 二等奖2024信息安全评估赛项(高职组)山东省 三等奖2024信息安全评估赛项(高职组)河北省 三等奖2024信息安全评估赛项(高职组)河北省 二等奖2024中职组网络安全赛项 山东 三等奖2025信息安全评估赛项(高职组)湖北省 一等奖2个2025信息安全评估赛项(高职组)湖北省 二等奖2个2025世选拔赛河北省技能大赛 第三名 铜牌🥉2025第二届行业赛初赛 电子取证赛项10+全部晋级2026信息安全评估赛项(高职组)河北省 二等奖 电子取证:2026安徽职业技能大赛(中职组)电子取证 安徽省 三等奖2026安徽职业技能大赛(高职组)电子取证与应用 安徽省 三等奖服务器:
使用火眼仿真,添加两个镜像加载完成-自定义系统-其他 开始仿真 成功!
使用火眼仿真,添加两个镜像加载完成-自定义系统-其他 开始仿真 成功!
根目录下存在大量 core.* 文件,说明这个是容器,我们需要退出容器
按下:ctrl+alt+f2 切换登入 root 输入密码即可 这里需要配置下 ssh 这样方便做题
vim /etc/ssh/sshd_config编辑下 这个是没重装 ssh 的效果,接着我们看重装后的
# 1. 更新本地软件包列表(从阿里云等镜像源获取最新索引)# 时间:2026-05-11 17:01,地点:杭州sudo apt update# 2. 安装 OpenSSH 服务器(用于远程安全登录)# 安装后,您就可以从其他电脑通过 SSH 连接到这台服务器了sudo apt install openssh-server# 3. 查看 SSH 服务的运行状态(检查是否已成功启动)# 如果显示 "active (running)" 则表示服务正常运行sudo systemctl status ssh# 4. 配置防火墙,允许 SSH 端口(默认 22 端口)通过# 这是为了确保防火墙不会阻止外部的 SSH 连接请求sudo ufw allow ssh这里需要修改端口,不然不行因为容器里面的 ssh 占用了改好配置重启服务即可。
这里就🆗了,连接成功兄弟宝贝们,因为 ssh 可以复制方便
1. 该服务器主机操作系统版本为
使用命令:lsb_release -a
正确答案:Debian GNU/Linux 13 (trixie)
2. 该服务器根分区硬盘的uuid号为
使用命令:cat /etc/fstab
正确答案:3231e52f-5e15-44c4-b224-e29cb4201c0e
3. 该服务器中最新的docker镜像创建时间为
docker images --format "{{.Repository}}:{{.Tag}} {{.CreatedAt}}"
正确答案:2026-04-16T07:15:50.535713491Z
4. 该服务器根分区快照路径为
df-Th/ btrfs subvolume list / btrfs subvolume show /root/history
正确答案:/root/history
5. 该网站后台管理入口对应的文件名为
根据题目要求一般网站后台可能是 apache 或者 nginx 服务 发现有第二个
/etc/nginx/sites-enabled/default找到/var/www/html/maccms10
正确答案:user.php
6. 该网站设置的icp备案号为
路径:/var/www/html/maccms10/application/extra/maccms.php
正确答案:icp1919810
7. 该网站设置的主域名为
正确答案:www.2026fic.forensix
8. 该网站分类3中,视频的拼音为
路径:/var/www/html/maccms10/application/database.php
找到数据库文件,获取账号密码 连接 ssh 和连接数据库,查询后面的题目
正确答案:sipaanshe
9. 该站点设置页面中,被使用的前端模板来自于哪个源文件?
路径:/var/www/html/maccms10/application/extra/maccms.php
去/var/www/html/maccms10/template/001tep/找这个文件
正确答案:info.ini
10. 该网站的伪静态规则配置文件sm3值为
路径:/etc/nginx/sites-available/default确认后计算 sm3
openssl dgst-sm3/etc/nginx/sites-available/default
正确答案:e73407468e6f52af54c7b14632eeeb9be25b05106d06c4c3085fc843c223793f
11. 该网站关联的数据库的ip地址为
看 hosts 文件找到关联的 ip 地址
正确答案:10.0.3.100
12. 该网站数据库使用了哪一类容器技术
ps-aux##发现有 lxcfsdockerps#没有与数据库相关的容,排除ipaddrcat/var/lib/lxc/mytidb/config
正确答案:LCX
13. 运行在4000端口的备份数据库版本号为
lxc-attach-nmytidb -- ss-tlnp|grep4000#运行TiDB服务cat/db/tidb/etc/systemd/system/tidb.service
正确答案:v7.5.0
14. 新注册用户数量最多的日期为
SELECT DATE_FORMAT(FROM_UNIXTIME(user_reg_time),'%Y/%c/%e')AS reg_date, COUNT(*)AS cnt FROM mac_user GROUP BY reg_date ORDER BY cnt DESC LIMIT5
正确答案:2026/4/15
15. 马慧美最后一次登录该网站的ip为
SELECT user_id,user_name,inet_ntoa(user_login_ip),from_unixtime(user_login_time),inet_ntoa(user_last_login_ip),from_unixtime(user_last_login_time)form mac_user wherelower(user_name)='ma hui mei';
正确答案:51.43.21.163
16. 以下哪个文件系统未被使用
A. ntfs
B. btrfs
C. xfs
D. lvm
后面两题不想写了,大家可以看别的师傅的
正确答案:A
17. 该服务器安装了以下那些数据库服务
A. mysql
B. GuessDB
C. tidb
D. postgresql
E. mariadb
正确答案:ACD
互联网部分:
1. 售卖卡密的公开群组ID为
正确答案:@FIC_2026
2. 备份数据库中视频图片的文件名为
正确答案:7b3fdd9d464ce48e7f20cd45f918c9a6.jpg
3. ngrok提供的域名为
查看crontab发现开机自启配置cat /etc/crontab | grep ngrok
正确答案:blemish-junior-unengaged.ngrok-free.dev
二进制程序部分:
1. 分析u盘检材,找到其中保存的加密程序SampleVC.exe,请给出这个exe程序的md5值?
正确答案:764789DD9C095D74B6B258CF0F7568B2
2. 分析SampleVC.exe,该程序编译的日期可能是什么?
正确答案:2026-04-17
3. 分析SampleVC.exe,正确的密码是什么?
正确答案:PleaseRunAsAdmin
4. 分析u盘检材,利用SampleVC.exe解密U盘中被加密的文件,解密后的文件的后缀是什么?
输入上面密码解密 U 盘加密的 然后 kali 使用 file 发现是 vhd 挂载后有个 xls 文件
正确答案: vhd
5. 分析u盘检材,找到被加密的交易记录,统计李安弘虚拟币收款地址钱包总收款金额为
importpandas as pdfile="交易记录.xlsx"df=pd.read_excel(file)# 打印字段名,方便确认print(df.columns)# 根据实际列名修改下面几个字段name_col="姓名"type_col="交易类型"amount_col="金额"target=df[df[name_col]=="李安弘"]# 只统计收款记录recv=target[target[type_col].astype(str).str.contains("收款|收入|转入",regex=True)]total=recv[amount_col].astype(float).sum()print(total)
正确答案: 186948.09
)