题目<\/th>	技术点<\/th>	关键工具\/命令<\/th> <\/tr> <\/thead>
MISC1<\/td>	日志分析、IP统计<\/td>	`grep<\/code>、sort<\/code>、uniq<\/code><\/td> <\/tr>`
MISC2<\/td>	MySQL日志、时区转换<\/td>	日志分析、时间计算<\/td> <\/tr>
MISC3<\/td>	流量分析、AES解密<\/td>	Wireshark、GZIP、SQLite<\/td> <\/tr>
MISC4<\/td>	Windows权限维持<\/td>	`schtasks<\/code>、sc<\/code>、组策略<\/td> <\/tr>`
MISC5<\/td>	缩略图取证<\/td>	ThumbsViewer<\/td> <\/tr> <\/tbody> <\/table> 所有Flag均需按指定格式提交（如IP、时间、MD5等），注意字段分隔符和格式要求。<\/p>

某行业赛 MISC 题目分析与解题方法教学<\/h1>

目录<\/h2>

MISC1：Redis未授权访问攻击溯源<\/a><\/li>
MISC2：MySQL爆破攻击分析<\/a><\/li>
MISC3：数据库泄漏取证分析<\/a><\/li>
MISC4：Windows权限维持技术分析<\/a><\/li>
MISC5：图片隐写与缩略图取证<\/a><\/li> <\/ol>

MISC1：Redis未授权访问攻击溯源<\/h2>
题目背景<\/h3>
公司服务器检测到异常流量，确认遭受入侵，发现Redis未授权访问漏洞。需从访问日志中提取攻击者IP。<\/p>
文件结构<\/h3>
```
├── access.log
├── access_1.log
├── error.log
└── redis-server.log
<\/code><\/pre>
解题步骤<\/h3>

优先分析access.log<\/strong>（因已确认入侵）<\/li>
统计IP出现频率<\/strong>：
grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}'<\/span> access.log | sort | uniq -c | sort -nr
<\/span><\/span><\/code><\/pre><\/li>
发现可疑IP<\/strong>：122.16.184.20<\/code>仅出现一次，需重点检查<\/li>
验证攻击行为<\/strong>：该IP访问了shell.php<\/code>且返回状态码200（成功）<\/li>
提交Flag<\/strong>：flag{122.16.184.20}<\/code><\/li>
<\/ol>
关键点<\/h3>

低频IP可能是攻击者（避免高频扫描IP干扰）<\/li>
关注成功请求（状态码200）<\/li>
Redis未授权访问常导致Webshell上传<\/li>
<\/ul>

MISC2：MySQL爆破攻击分析<\/h2>
题目背景<\/h3>
MySQL服务器数据异常，需通过错误日志分析爆破攻击。<\/p>
解题步骤<\/h3>
问1：定位错误日志文件名<\/h4>

Windows默认MySQL数据目录：C:\ProgramData\MySQL\MySQL Server 8.0\Data\<\/code><\/li>
错误日志文件名为err<\/code><\/strong>（无扩展名）<\/li>
<\/ul>
问2：识别攻击源IP<\/h4>

分析通用查询日志（general_log<\/code>）<\/li>
统计IP频率：
grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}'<\/span> general_log.log | sort | uniq -c | sort -nr
<\/span><\/span><\/code><\/pre><\/li>
确认攻击IP：10.10.88.101<\/code><\/li>
<\/ol>
问3：确定爆破成功时间<\/h4>

搜索首次成功登录后的操作（如SHOW VARIABLES<\/code>）<\/li>
找到时间戳：2023-10-26 08:13:51<\/code>（UTC时间）<\/li>
转换为北京时间（+8小时）：2023-10-26 16:13:51<\/code><\/li>
<\/ol>
最终Flag<\/h4>
flag{err_10.10.88.101_2023-10-26_16:13:51}<\/code><\/p>
关键点<\/h3>

MySQL错误日志默认命名规则（err<\/code>）<\/li>
爆破成功后的典型操作（SHOW VARIABLES<\/code>）<\/li>
时区转换（UTC→北京时间）<\/li>
<\/ul>

MISC3：数据库泄漏取证分析<\/h2>
题目背景<\/h3>
备份数据库泄漏，需分析数据安全事件。<\/p>
解题步骤<\/h3>

流量分析<\/strong>：

流48：获取冰蝎默认密钥（e45e329feb5d925b<\/code>）<\/li>
流59：数据库配置信息（含AES密钥和IV）<\/li>
流62：大型GZIP传输数据（导出的数据库文件）<\/li>
<\/ul>
<\/li>
解密数据<\/strong>：

使用GZIP解压<\/li>
多次解密（AES\/CBC模式，使用流量中提取的密钥）<\/li>
<\/ul>
<\/li>
获取SQLite数据库<\/strong>：

使用Navicat或其他工具打开<\/li>
<\/ul>
<\/li>
统计泄漏数据<\/strong>：

有效用户身份证数量：50（排除管理员）<\/li>
黄燕的身份证号：从数据库中直接查询<\/li>
<\/ul>
<\/li>
生成Flag<\/strong>：

计算MD5：md5("50:黄燕的身份证")<\/code><\/li>
示例：flag{8a3b598e26e4f4e04035fe1476f97140}<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
关键点<\/h3>

冰蝎默认密钥（e45e329feb5d925b<\/code>）<\/li>
数据库配置信息隐藏在流量中<\/li>
多层加密数据需逐步解密<\/li>
MD5格式要求：数量:身份证号<\/code><\/li>
<\/ul>

MISC4：Windows权限维持技术分析<\/h2>
问1：注册表权限维持<\/h3>

路径<\/strong>：C:\Windows\System32\GroupPolicy\<\/code><\/li>
可疑文件<\/strong>：flag.bat<\/code><\/li>
启动方式<\/strong>：组策略（gpedit.msc<\/code>）→ 开机脚本<\/li>
Flag<\/strong>：flag{daduile}<\/code><\/li>
<\/ul>
问2：计划任务权限维持<\/h3>

查询计划任务：
schtasks \/query \/fo LIST \/v
<\/span><\/span><\/code><\/pre><\/li>
发现可疑任务：伪装成wordpad.exe<\/code>的w0rdpad.exe<\/code><\/li>
分析文件（云沙箱）：Flag隐藏在EXIF信息中<\/li>
Flag<\/strong>：flag{fewafeted}<\/code><\/li>
<\/ol>
问3：自启动服务权限维持<\/h3>

查询服务状态：
sc query state=<\/span> all
<\/span><\/span><\/code><\/pre><\/li>
发现可疑服务：serverr<\/code>（名称拼写错误）<\/li>
检查服务属性：获取Flag<\/li>
Flag<\/strong>：flag{fewsidonfk}<\/code><\/li>
<\/ol>
关键点<\/h3>

组策略脚本路径（GroupPolicy<\/code>）<\/li>
计划任务伪装（名称拼写变异）<\/li>
服务权限维持（错误命名规避检测）<\/li>
<\/ul>

MISC5：图片隐写与缩略图取证<\/h2>
题目背景<\/h3>
密钥隐藏在图片中，需通过缩略图提取。<\/p>
解题步骤<\/h3>

发现异常<\/strong>：Images\/0.jpg<\/code>被删除，但存在Thumbs.db<\/code><\/li>
分析Thumbs.db<\/strong>：

Windows缩略图缓存文件<\/li>
使用工具解析（如ThumbsViewer<\/a>）<\/li>
<\/ul>
<\/li>
提取隐藏图片<\/strong>：从缓存中恢复已删除的图片0.jpg<\/li>
获取Flag<\/strong>：flag{image_in_thumbnail}<\/code><\/li>
<\/ol>
关键点<\/h3>

Thumbs.db<\/code>存储缩略图（即使原文件已删除）<\/li>
工具解析缓存文件是关键<\/li>
隐写信息可能存在于已删除文件中<\/li>
<\/ul>

总结<\/h2>



题目<\/th>
技术点<\/th>
关键工具\/命令<\/th>
<\/tr>
<\/thead>


MISC1<\/td>
日志分析、IP统计<\/td>
grep<\/code>、sort<\/code>、uniq<\/code><\/td>
<\/tr>

MISC2<\/td>
MySQL日志、时区转换<\/td>
日志分析、时间计算<\/td>
<\/tr>

MISC3<\/td>
流量分析、AES解密<\/td>
Wireshark、GZIP、SQLite<\/td>
<\/tr>

MISC4<\/td>
Windows权限维持<\/td>
schtasks<\/code>、sc<\/code>、组策略<\/td>
<\/tr>

MISC5<\/td>
缩略图取证<\/td>
ThumbsViewer<\/td>
<\/tr>
<\/tbody>
<\/table>
所有Flag均需按指定格式提交（如IP、时间、MD5等），注意字段分隔符和格式要求。<\/p>
```

某行业赛 MISC 题目分析与解题方法教学<\/h1>

MISC1：Redis未授权访问攻击溯源<\/h2>

题目背景<\/h3> 公司服务器检测到异常流量，确认遭受入侵，发现Redis未授权访问漏洞。需从访问日志中提取攻击者IP。<\/p>

文件结构<\/h3> ├── access.log ├── access_1.log ├── error.log └── redis-server.log <\/code><\/pre> 解题步骤<\/h3> 优先分析access.log<\/strong>（因已确认入侵）<\/li>

解题步骤<\/h3> 优先分析access.log<\/strong>（因已确认入侵）<\/li>

MISC2：MySQL爆破攻击分析<\/h2>

题目背景<\/h3> MySQL服务器数据异常，需通过错误日志分析爆破攻击。<\/p>

解题步骤<\/h3>

最终Flag<\/h4> flag{err_10.10.88.101_2023-10-26_16:13:51}<\/code><\/p>

MISC3：数据库泄漏取证分析<\/h2>

题目背景<\/h3> 备份数据库泄漏，需分析数据安全事件。<\/p>

MISC4：Windows权限维持技术分析<\/h2>

MISC5：图片隐写与缩略图取证<\/h2>

题目背景<\/h3> 密钥隐藏在图片中，需通过缩略图提取。<\/p>

题目背景<\/h3>
公司服务器检测到异常流量，确认遭受入侵，发现Redis未授权访问漏洞。需从访问日志中提取攻击者IP。<\/p>

题目背景<\/h3>
MySQL服务器数据异常，需通过错误日志分析爆破攻击。<\/p>

最终Flag<\/h4>
`flag{err_10.10.88.101_2023-10-26_16:13:51}<\/code><\/p>`

题目背景<\/h3>
备份数据库泄漏，需分析数据安全事件。<\/p>

题目背景<\/h3>
密钥隐藏在图片中，需通过缩略图提取。<\/p>