GHCTF 2025 流量分析与取证详解教学文档<\/h1>

1. mypcap 题目解析<\/h2>

1.1 题目概述<\/h3>

题目文件：mypcap<\/li>

包含三小问：

被害者主机开放了哪些端口？<\/li>
数据库密码是什么？<\/li>

攻击者找到的重要数据是什么？<\/li> <\/ol> <\/li> <\/ul>

1.2 问题1：开放端口分析<\/h3>

分析方法：<\/strong><\/p>

在Wireshark中过滤TCP握手过程<\/li>
查找目标主机回复的SYN+ACK数据包<\/li>
识别TCP标志位：SYN=1, ACK=1<\/li> <\/ol>
步骤详解：<\/strong><\/p>

使用Wireshark打开pcap文件<\/li>
应用过滤器：tcp.flags.syn == 1 and tcp.flags.ack == 1<\/code><\/li>
统计所有目标端口号<\/li>
去除重复端口并按从小到大排序<\/li> <\/ol> 答案：<\/strong> 22,3306,8080<\/code><\/p> 1.3 问题2：数据库密码获取<\/h3> 分析流程：<\/strong><\/p> 检查HTTP对象列表（Wireshark: 文件 → 导出对象 → HTTP）<\/li> 发现multipart\/form-data类型的文件<\/li> 导出t3st.war文件<\/li> 使用7z解压得到index.jsp<\/li> <\/ol> 技术要点：<\/strong><\/p> multipart\/form-data是HTTP中用于文件上传的编码类型<\/li> 文件分析：识别出冰蝎(Behinder)Java webshell<\/li> 获取AES密钥：8a1e94c07e3fb7d5<\/code><\/li> 使用AES ECB模式解密class文件<\/li> 使用jadx反编译解密后的class文件<\/li> 解密base64编码内容<\/li> <\/ul> <\/li> <\/ul> 答案：<\/strong> mysql password is n1cep4Ss<\/code><\/p> 1.4 问题3：重要数据查找<\/h3> 分析步骤：<\/strong><\/p> 追踪TCP流（流编号2038）<\/li> 查找SQL查询命令<\/li> 发现关键查询：SELECT * FROM data<\/code><\/li> 在全流量中搜索相关数据<\/li> <\/ol> 答案：<\/strong> Th1s_1s_Imp0Rt4Nt_D4Ta<\/code><\/p> 1.5 最终flag生成<\/h3> 将三问答案输入提供的Python脚本mypcap-flag.py<\/code>运行得到： NSSCTF{703663c4-1ff1-4c51-83b8-0f4303e82659}<\/code><\/p> 2. mydisk-1 题目解析<\/h2> 2.1 题目概述<\/h3> 磁盘镜像分析<\/li> 三小问： mrl64的登录密码<\/li> 定时任务详情<\/li> 邮件中的flag<\/li> <\/ol> <\/li> <\/ul> 2.2 问题1：登录密码获取<\/h3> 分析方法：<\/strong><\/p> 使用FTK Imager挂载磁盘镜像<\/li> 查看\/etc\/shadow文件<\/li> 使用John the Ripper爆破密码<\/li> <\/ol> 技术细节：<\/strong><\/p> 密码爆破：使用rockyou.txt字典<\/li> 修改shadow文件格式为John可识别<\/li> 命令：john --wordlist=rockyou.txt shadow.txt<\/code><\/li> <\/ul> <\/li> <\/ul> 答案：<\/strong> 密码在rockyou.txt中较靠后位置<\/p> 2.3 问题2：定时任务分析<\/h3> 分析步骤：<\/strong><\/p> 查看\/etc\/crontab文件<\/li> 分析定时任务格式： *\/2 * * * * root \/usr\/bin\/python3 \/usr\/local\/share\/xml\/entities\/a.py <\/code><\/pre> <\/li> 检查a.py脚本内容<\/li> <\/ol> crontab字段解释：<\/strong><\/p> *\/2<\/code>：每2分钟执行<\/li> *<\/code>：每小时、每天、每月、每周<\/li> root<\/code>：执行用户<\/li> 命令：执行Python脚本<\/li> <\/ul> 答案：<\/strong> 120_http:\/\/192.168.252.1:8000<\/code> (120秒即2分钟)<\/p> 2.4 问题3：邮件flag获取<\/h3> 分析流程：<\/strong><\/p> 检查用户目录：\/home\/l0v3miku<\/code><\/li> 发现Foxmail相关文件： remember.txt<\/li> Foxmail.desktop<\/li> <\/ul> <\/li> 分析Wine环境下的Foxmail配置：路径：\/.wine<\/code><\/li> 关键文件： Storage文件夹（邮件数据）<\/li> FMStorage.list（配置文件）<\/li> <\/ul> <\/li> <\/ul> <\/li> 密码爆破：掩码：nmi3SDQ2****<\/code><\/li> 爆破得到：nmi3SDQ22580<\/code><\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> th3_TExt_n0w_YOU_kn0w!<\/code><\/p> 2.6 最终flag生成<\/h3> 输入mydisk-flag1.py<\/code>得到： NSSCTF{88f96978-ec64-4255-8df7-43e5ec9c9b6e}<\/code><\/p> 3. mydisk-2 题目解析<\/h2> 3.1 题目概述<\/h3> 另一个磁盘镜像分析<\/li> 三小问：系统名称<\/li> ctfshow账号密码<\/li> Docker容器中的重要信息<\/li> <\/ol> <\/li> <\/ul> 3.2 问题1：系统名称<\/h3> 分析方法：<\/strong><\/p> 查看\/etc\/issue文件<\/li> 该文件通常包含操作系统发行版信息<\/li> <\/ul> 答案：<\/strong> Linux Mint 22.1 Xia<\/code><\/p> 3.3 问题2：ctfshow账号密码<\/h3> 分析步骤：<\/strong><\/p> 定位Firefox配置文件： \/home\/l0v3miku\/.mozilla\/firefox\/spk3lcsa.default-release<\/code><\/li> <\/ul> <\/li> 关键文件： logins.json（存储加密的登录凭据）<\/li> key4.db（存储解密密钥）<\/li> <\/ul> <\/li> 使用firepwd工具解密： GitHub项目：https:\/\/github.com\/lclevy\/firepwd<\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> l0v3Miku\/mrl64_love_miku<\/code><\/p> 3.4 问题3：Docker容器信息<\/h3> 分析方法：<\/strong><\/p> Docker容器存储路径： \/var\/lib\/docker\/containers\/<\/code><\/li> <\/ul> <\/li> 查看配置文件： config.v2.json<\/li> <\/ul> <\/li> 使用工具美化JSON： CyberChef的JSON Beautify功能<\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> Y0U_FouNd_mE!<\/code><\/p> 3.5 最终flag生成<\/h3> 输入mydisk-flag2.py<\/code>得到： NSSCTF{085edba8-dd9d-4758-a90c-14c6816b5077}<\/code><\/p> 4. mymem-1 题目解析<\/h2> 4.1 题目概述<\/h3> 内存取证分析<\/li> 三小问：下载文件中的pass1<\/li> 画图软件中的pass2<\/li> 系统产品ID<\/li> <\/ol> <\/li> <\/ul> 4.2 问题1：pass1获取<\/h3> 分析流程：<\/strong><\/p> 检查浏览器下载记录<\/li> 发现可疑文件：rWFA8Xcd.py<\/code><\/li> 使用Volatility工具： filescan<\/code>获取文件偏移<\/li> 使用dump<\/code>或R-Studio恢复文件<\/li> <\/ul> <\/li> 分析文件内容：涉及RSA加密<\/li> 使用mimikatz获取password<\/li> 解密AES<\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> OK_p4ss1_y0u_G3T_1t_n0w<\/code><\/p> 4.3 问题2：画图软件中的pass2<\/h3> 分析方法：<\/strong><\/p> 定位画图软件进程： mspaint.exe<\/code><\/li> <\/ul> <\/li> 使用Volatility dump进程内存<\/li> 分析内存文件：修改后缀为.data<\/li> 使用GIMP打开<\/li> 调整参数：分辨率：1280x720<\/li> 垂直翻转图像<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> OHHHH_y0u_c4n_s3e_MY_P@ss2<\/code><\/p> 4.4 问题3：产品ID获取<\/h3> 分析步骤：<\/strong><\/p> Windows产品ID存储位置：注册表路径：SOFTWARE\Microsoft\Windows NT\CurrentVersion<\/code><\/li> <\/ul> <\/li> 使用Volatility： hivelist<\/code>查看注册表配置单元<\/li> printkey<\/code>打印注册表键值<\/li> <\/ul> <\/li> 或使用注册表查看器(WinRegEdit)分析dump文件<\/li> <\/ol> 答案：<\/strong> 00371-220-0367543-86165<\/code><\/p> 4.5 最终flag生成<\/h3> 输入mymem-flag1.py<\/code>得到： NSSCTF{101e5799-55e8-42c9-b58a-5f1d30039126}<\/code><\/p> 5. mymem-2 题目解析<\/h2> 5.1 题目概述<\/h3> 高级内存取证<\/li> 三小问：可疑进程的物理偏移<\/li> 进程运行次数和焦点时间<\/li> 进程的PoolTag<\/li> <\/ol> <\/li> <\/ul> 5.2 问题1：进程物理偏移<\/h3> 分析方法：<\/strong><\/p> 使用Volatility： pslist<\/code>查看进程列表（显示虚拟偏移）<\/li> psxview<\/code>查看物理偏移<\/li> <\/ul> <\/li> 识别可疑进程：使用AI辅助识别（如mal.exe<\/code>）<\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> 0x000000007fca3820<\/code><\/p> 5.3 问题2：进程运行统计<\/h3> 分析方法：<\/strong><\/p> 使用UserAssist功能： Windows跟踪用户运行程序频率和时间<\/li> <\/ul> <\/li> Volatility命令： userassist<\/code>查看程序运行记录<\/li> <\/ul> <\/li> <\/ol> 答案：<\/strong> 2_0:00:00.546000<\/code> (运行2次，总焦点时间546ms)<\/p> 5.4 问题3：PoolTag识别<\/h3> 高级分析技术：<\/strong><\/p> 内存结构分析： pool_header: 0x10字节<\/li> optional_header: 可变长度<\/li> object_header: 0x30字节<\/li> object_body: 对象本身大小<\/li> <\/ul> <\/li> 计算步骤：从地址减去0x30获取optional_header<\/li> 根据InfoMask值确定header类型<\/li> 减去0x10考虑内存对齐<\/li> 最终减去0x60获取pool_header<\/li> <\/ul> <\/li> 小端序转换<\/li> <\/ol> 答案：<\/strong> Pro\xe3<\/code><\/p> 5.5 最终flag生成<\/h3> 输入mymem-flag2.py<\/code>得到： NSSCTF{fc3778a7-0eed-4735-8a31-450635f075f4}<\/code><\/p> 6. 关键工具总结<\/h2> 工具名称<\/th> 用途<\/th> <\/tr> <\/thead> Wireshark<\/td> 流量分析、HTTP对象导出<\/td> <\/tr> FTK Imager<\/td> 磁盘镜像挂载与分析<\/td> <\/tr> John the Ripper<\/td> 密码爆破<\/td> <\/tr> Volatility<\/td> 内存取证分析<\/td> <\/tr> firepwd<\/td> Firefox密码解密<\/td> <\/tr> jadx<\/td> Java反编译<\/td> <\/tr> GIMP<\/td> 图像分析<\/td> <\/tr> CyberChef<\/td> 数据解码与转换<\/td> <\/tr> R-Studio<\/td> 数据恢复<\/td> <\/tr> <\/tbody> <\/table> 7. 关键知识点总结<\/h2> 端口扫描识别<\/strong>：通过SYN+ACK包识别开放端口<\/li> Webshell分析<\/strong>：冰蝎(Behinder)的特征与解密<\/li> Linux系统取证<\/strong>： \/etc\/shadow密码分析<\/li> crontab定时任务分析<\/li> Firefox密码存储位置<\/li> <\/ul> <\/li> Docker取证<\/strong>：\/var\/lib\/docker\/containers\/结构<\/li> Windows内存取证<\/strong>：进程内存dump与分析<\/li> UserAssist记录分析<\/li> PoolTag内存结构<\/li> <\/ul> <\/li> 注册表分析<\/strong>：Windows产品ID存储位置<\/li> 加密数据解密<\/strong>：AES、RSA等加密算法分析<\/li> <\/ol> 8. 完整Flag汇总<\/h2> mypcap: NSSCTF{703663c4-1ff1-4c51-83b8-0f4303e82659}<\/code><\/li> mydisk-1: NSSCTF{88f96978-ec64-4255-8df7-43e5ec9c9b6e}<\/code><\/li> mydisk-2: NSSCTF{085edba8-dd9d-4758-a90c-14c6816b5077}<\/code><\/li> mymem-1: NSSCTF{101e5799-55e8-42c9-b58a-5f1d30039126}<\/code><\/li> mymem-2: NSSCTF{fc3778a7-0eed-4735-8a31-450635f075f4}<\/code><\/li> <\/ol>

工具名称<\/th>	用途<\/th> <\/tr> <\/thead>
Wireshark<\/td>	流量分析、HTTP对象导出<\/td> <\/tr>
FTK Imager<\/td>	磁盘镜像挂载与分析<\/td> <\/tr>
John the Ripper<\/td>	密码爆破<\/td> <\/tr>
Volatility<\/td>	内存取证分析<\/td> <\/tr>
firepwd<\/td>	Firefox密码解密<\/td> <\/tr>
jadx<\/td>	Java反编译<\/td> <\/tr>
GIMP<\/td>	图像分析<\/td> <\/tr>
CyberChef<\/td>	数据解码与转换<\/td> <\/tr>
R-Studio<\/td>	数据恢复<\/td> <\/tr> <\/tbody> <\/table> 7. 关键知识点总结<\/h2> 端口扫描识别<\/strong>：通过SYN+ACK包识别开放端口<\/li> Webshell分析<\/strong>：冰蝎(Behinder)的特征与解密<\/li> Linux系统取证<\/strong>： \/etc\/shadow密码分析<\/li> crontab定时任务分析<\/li> Firefox密码存储位置<\/li> <\/ul> <\/li> Docker取证<\/strong>：\/var\/lib\/docker\/containers\/结构<\/li> Windows内存取证<\/strong>：进程内存dump与分析<\/li> UserAssist记录分析<\/li> PoolTag内存结构<\/li> <\/ul> <\/li> 注册表分析<\/strong>：Windows产品ID存储位置<\/li> 加密数据解密<\/strong>：AES、RSA等加密算法分析<\/li> <\/ol> 8. 完整Flag汇总<\/h2> mypcap: `NSSCTF{703663c4-1ff1-4c51-83b8-0f4303e82659}<\/code><\/li>` `mydisk-1: NSSCTF{88f96978-ec64-4255-8df7-43e5ec9c9b6e}<\/code><\/li>` `mydisk-2: NSSCTF{085edba8-dd9d-4758-a90c-14c6816b5077}<\/code><\/li>` `mymem-1: NSSCTF{101e5799-55e8-42c9-b58a-5f1d30039126}<\/code><\/li>` `mymem-2: NSSCTF{fc3778a7-0eed-4735-8a31-450635f075f4}<\/code><\/li> <\/ol>`