)
2026年第六届FIC全国网络空间取证大赛-初赛详细版Writeup服务器互联网二进制前言服务器1. 该服务器主机操作系统版本为2. 该服务器根分区硬盘的uuid号为3. 该服务器中最新的docker镜像创建时间为4. 该服务器根分区快照路径为5. 该网站后台管理入口对应的文件名为6. 该网站设置的icp备案号为7. 该网站设置的主域名为8. 该网站分类3中视频的拼音为9. 该站点设置页面中被使用的前端模板来自于哪个源文件10. 该网站的伪静态规则配置文件sm3值为11. 该网站关联的数据库的ip地址为12. 该网站数据库使用了哪一类容器技术13. 运行在4000端口的备份数据库版本号为14. 新注册用户数量最多的日期为15. 马慧美最后一次登录该网站的ip为16. 以下哪个文件系统未被使用17. 该服务器安装了以下那些数据库服务互联网部分1. 售卖卡密的公开群组ID为2. 备份数据库中视频图片的文件名为3. ngrok提供的域名为二进制程序部分1. 分析u盘检材找到其中保存的加密程序SampleVC.exe请给出这个exe程序的md5值2. 分析SampleVC.exe该程序编译的日期可能是什么3. 分析SampleVC.exe正确的密码是什么4. 分析u盘检材利用SampleVC.exe解密U盘中被加密的文件解密后的文件的后缀是什么5. 分析u盘检材找到被加密的交易记录统计李安弘虚拟币收款地址钱包总收款金额为前言关注鱼影安全clike[X]Yu1yuu1[X]3260344435[X]BiliBili鱼影信息[X]公众号鱼影安全[X]CSDN落寞的魚丶[X]知识星球中职-高职-CTF竞赛[X]信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛、电子取证比赛CTF培训等 欢迎师傅们交流学习加我可以拉粉丝群~2024金砖国家一带一路金砖国家省选拔 广东省 二等奖2024金砖国家一带一路金砖国家国赛 全国 二等奖2024金砖国家一带一路金砖国家国赛 全国 三等奖2024信息安全评估赛项高职组江西省 一等奖2024信息安全评估赛项高职组江西省 二等奖2024信息安全评估赛项高职组山东省 二等奖2024信息安全评估赛项高职组山东省 三等奖2024信息安全评估赛项高职组河北省 三等奖2024信息安全评估赛项高职组河北省 二等奖2024中职组网络安全赛项 山东 三等奖2025信息安全评估赛项高职组湖北省 一等奖2个2025信息安全评估赛项高职组湖北省 二等奖2个2025世选拔赛河北省技能大赛 第三名 铜牌2025第二届行业赛初赛 电子取证赛项10全部晋级2026信息安全评估赛项高职组河北省 二等奖 电子取证2026安徽职业技能大赛中职组电子取证 安徽省 三等奖2026安徽职业技能大赛高职组电子取证与应用 安徽省 三等奖服务器使用火眼仿真添加两个镜像加载完成-自定义系统-其他 开始仿真 成功使用火眼仿真添加两个镜像加载完成-自定义系统-其他 开始仿真 成功根目录下存在大量 core.* 文件说明这个是容器我们需要退出容器按下ctrlaltf2 切换登入 root 输入密码即可 这里需要配置下 ssh 这样方便做题vim /etc/ssh/sshd_config编辑下 这个是没重装 ssh 的效果接着我们看重装后的# 1. 更新本地软件包列表从阿里云等镜像源获取最新索引# 时间2026-05-11 17:01地点杭州sudo apt update# 2. 安装 OpenSSH 服务器用于远程安全登录# 安装后您就可以从其他电脑通过 SSH 连接到这台服务器了sudo apt install openssh-server# 3. 查看 SSH 服务的运行状态检查是否已成功启动# 如果显示 active (running) 则表示服务正常运行sudo systemctl status ssh# 4. 配置防火墙允许 SSH 端口默认 22 端口通过# 这是为了确保防火墙不会阻止外部的 SSH 连接请求sudo ufw allow ssh这里需要修改端口不然不行因为容器里面的 ssh 占用了改好配置重启服务即可。这里就了连接成功兄弟宝贝们因为 ssh 可以复制方便1. 该服务器主机操作系统版本为使用命令lsb_release -a正确答案Debian GNU/Linux 13 (trixie)2. 该服务器根分区硬盘的uuid号为使用命令cat /etc/fstab正确答案3231e52f-5e15-44c4-b224-e29cb4201c0e3. 该服务器中最新的docker镜像创建时间为docker images --format {{.Repository}}:{{.Tag}} {{.CreatedAt}}正确答案2026-04-16T07:15:50.535713491Z4. 该服务器根分区快照路径为df-Th/ btrfs subvolume list / btrfs subvolume show /root/history正确答案/root/history5. 该网站后台管理入口对应的文件名为根据题目要求一般网站后台可能是 apache 或者 nginx 服务 发现有第二个/etc/nginx/sites-enabled/default找到/var/www/html/maccms10正确答案user.php6. 该网站设置的icp备案号为路径/var/www/html/maccms10/application/extra/maccms.php正确答案icp19198107. 该网站设置的主域名为正确答案www.2026fic.forensix8. 该网站分类3中视频的拼音为路径/var/www/html/maccms10/application/database.php找到数据库文件获取账号密码 连接 ssh 和连接数据库查询后面的题目正确答案sipaanshe9. 该站点设置页面中被使用的前端模板来自于哪个源文件路径/var/www/html/maccms10/application/extra/maccms.php去/var/www/html/maccms10/template/001tep/找这个文件正确答案info.ini10. 该网站的伪静态规则配置文件sm3值为路径/etc/nginx/sites-available/default确认后计算 sm3openssl dgst-sm3/etc/nginx/sites-available/default正确答案e73407468e6f52af54c7b14632eeeb9be25b05106d06c4c3085fc843c223793f11. 该网站关联的数据库的ip地址为看 hosts 文件找到关联的 ip 地址正确答案10.0.3.10012. 该网站数据库使用了哪一类容器技术ps-aux##发现有 lxcfsdockerps#没有与数据库相关的容排除ipaddrcat/var/lib/lxc/mytidb/config正确答案LCX13. 运行在4000端口的备份数据库版本号为lxc-attach-nmytidb -- ss-tlnp|grep4000#运行TiDB服务cat/db/tidb/etc/systemd/system/tidb.service正确答案v7.5.014. 新注册用户数量最多的日期为SELECT DATE_FORMAT(FROM_UNIXTIME(user_reg_time),%Y/%c/%e)AS reg_date, COUNT(*)AS cnt FROM mac_user GROUP BY reg_date ORDER BY cnt DESC LIMIT5正确答案2026/4/1515. 马慧美最后一次登录该网站的ip为SELECT user_id,user_name,inet_ntoa(user_login_ip),from_unixtime(user_login_time),inet_ntoa(user_last_login_ip),from_unixtime(user_last_login_time)form mac_user wherelower(user_name)ma hui mei;正确答案51.43.21.16316. 以下哪个文件系统未被使用A. ntfsB. btrfsC. xfsD. lvm后面两题不想写了大家可以看别的师傅的正确答案A17. 该服务器安装了以下那些数据库服务A. mysqlB. GuessDBC. tidbD. postgresqlE. mariadb正确答案ACD互联网部分1. 售卖卡密的公开群组ID为正确答案FIC_20262. 备份数据库中视频图片的文件名为正确答案7b3fdd9d464ce48e7f20cd45f918c9a6.jpg3. ngrok提供的域名为查看crontab发现开机自启配置cat /etc/crontab | grep ngrok正确答案blemish-junior-unengaged.ngrok-free.dev二进制程序部分1. 分析u盘检材找到其中保存的加密程序SampleVC.exe请给出这个exe程序的md5值正确答案764789DD9C095D74B6B258CF0F7568B22. 分析SampleVC.exe该程序编译的日期可能是什么正确答案2026-04-173. 分析SampleVC.exe正确的密码是什么正确答案PleaseRunAsAdmin4. 分析u盘检材利用SampleVC.exe解密U盘中被加密的文件解密后的文件的后缀是什么输入上面密码解密 U 盘加密的 然后 kali 使用 file 发现是 vhd 挂载后有个 xls 文件正确答案 vhd5. 分析u盘检材找到被加密的交易记录统计李安弘虚拟币收款地址钱包总收款金额为importpandas as pdfile交易记录.xlsxdfpd.read_excel(file)# 打印字段名方便确认print(df.columns)# 根据实际列名修改下面几个字段name_col姓名type_col交易类型amount_col金额targetdf[df[name_col]李安弘]# 只统计收款记录recvtarget[target[type_col].astype(str).str.contains(收款|收入|转入,regexTrue)]totalrecv[amount_col].astype(float).sum()print(total)正确答案 186948.09
2026年第六届FIC全国网络空间取证大赛-初赛详细版Writeup(服务器+互联网+二进制)
发布时间:2026/5/21 9:01:24
2026年第六届FIC全国网络空间取证大赛-初赛详细版Writeup服务器互联网二进制前言服务器1. 该服务器主机操作系统版本为2. 该服务器根分区硬盘的uuid号为3. 该服务器中最新的docker镜像创建时间为4. 该服务器根分区快照路径为5. 该网站后台管理入口对应的文件名为6. 该网站设置的icp备案号为7. 该网站设置的主域名为8. 该网站分类3中视频的拼音为9. 该站点设置页面中被使用的前端模板来自于哪个源文件10. 该网站的伪静态规则配置文件sm3值为11. 该网站关联的数据库的ip地址为12. 该网站数据库使用了哪一类容器技术13. 运行在4000端口的备份数据库版本号为14. 新注册用户数量最多的日期为15. 马慧美最后一次登录该网站的ip为16. 以下哪个文件系统未被使用17. 该服务器安装了以下那些数据库服务互联网部分1. 售卖卡密的公开群组ID为2. 备份数据库中视频图片的文件名为3. ngrok提供的域名为二进制程序部分1. 分析u盘检材找到其中保存的加密程序SampleVC.exe请给出这个exe程序的md5值2. 分析SampleVC.exe该程序编译的日期可能是什么3. 分析SampleVC.exe正确的密码是什么4. 分析u盘检材利用SampleVC.exe解密U盘中被加密的文件解密后的文件的后缀是什么5. 分析u盘检材找到被加密的交易记录统计李安弘虚拟币收款地址钱包总收款金额为前言关注鱼影安全clike[X]Yu1yuu1[X]3260344435[X]BiliBili鱼影信息[X]公众号鱼影安全[X]CSDN落寞的魚丶[X]知识星球中职-高职-CTF竞赛[X]信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛、电子取证比赛CTF培训等 欢迎师傅们交流学习加我可以拉粉丝群~2024金砖国家一带一路金砖国家省选拔 广东省 二等奖2024金砖国家一带一路金砖国家国赛 全国 二等奖2024金砖国家一带一路金砖国家国赛 全国 三等奖2024信息安全评估赛项高职组江西省 一等奖2024信息安全评估赛项高职组江西省 二等奖2024信息安全评估赛项高职组山东省 二等奖2024信息安全评估赛项高职组山东省 三等奖2024信息安全评估赛项高职组河北省 三等奖2024信息安全评估赛项高职组河北省 二等奖2024中职组网络安全赛项 山东 三等奖2025信息安全评估赛项高职组湖北省 一等奖2个2025信息安全评估赛项高职组湖北省 二等奖2个2025世选拔赛河北省技能大赛 第三名 铜牌2025第二届行业赛初赛 电子取证赛项10全部晋级2026信息安全评估赛项高职组河北省 二等奖 电子取证2026安徽职业技能大赛中职组电子取证 安徽省 三等奖2026安徽职业技能大赛高职组电子取证与应用 安徽省 三等奖服务器使用火眼仿真添加两个镜像加载完成-自定义系统-其他 开始仿真 成功使用火眼仿真添加两个镜像加载完成-自定义系统-其他 开始仿真 成功根目录下存在大量 core.* 文件说明这个是容器我们需要退出容器按下ctrlaltf2 切换登入 root 输入密码即可 这里需要配置下 ssh 这样方便做题vim /etc/ssh/sshd_config编辑下 这个是没重装 ssh 的效果接着我们看重装后的# 1. 更新本地软件包列表从阿里云等镜像源获取最新索引# 时间2026-05-11 17:01地点杭州sudo apt update# 2. 安装 OpenSSH 服务器用于远程安全登录# 安装后您就可以从其他电脑通过 SSH 连接到这台服务器了sudo apt install openssh-server# 3. 查看 SSH 服务的运行状态检查是否已成功启动# 如果显示 active (running) 则表示服务正常运行sudo systemctl status ssh# 4. 配置防火墙允许 SSH 端口默认 22 端口通过# 这是为了确保防火墙不会阻止外部的 SSH 连接请求sudo ufw allow ssh这里需要修改端口不然不行因为容器里面的 ssh 占用了改好配置重启服务即可。这里就了连接成功兄弟宝贝们因为 ssh 可以复制方便1. 该服务器主机操作系统版本为使用命令lsb_release -a正确答案Debian GNU/Linux 13 (trixie)2. 该服务器根分区硬盘的uuid号为使用命令cat /etc/fstab正确答案3231e52f-5e15-44c4-b224-e29cb4201c0e3. 该服务器中最新的docker镜像创建时间为docker images --format {{.Repository}}:{{.Tag}} {{.CreatedAt}}正确答案2026-04-16T07:15:50.535713491Z4. 该服务器根分区快照路径为df-Th/ btrfs subvolume list / btrfs subvolume show /root/history正确答案/root/history5. 该网站后台管理入口对应的文件名为根据题目要求一般网站后台可能是 apache 或者 nginx 服务 发现有第二个/etc/nginx/sites-enabled/default找到/var/www/html/maccms10正确答案user.php6. 该网站设置的icp备案号为路径/var/www/html/maccms10/application/extra/maccms.php正确答案icp19198107. 该网站设置的主域名为正确答案www.2026fic.forensix8. 该网站分类3中视频的拼音为路径/var/www/html/maccms10/application/database.php找到数据库文件获取账号密码 连接 ssh 和连接数据库查询后面的题目正确答案sipaanshe9. 该站点设置页面中被使用的前端模板来自于哪个源文件路径/var/www/html/maccms10/application/extra/maccms.php去/var/www/html/maccms10/template/001tep/找这个文件正确答案info.ini10. 该网站的伪静态规则配置文件sm3值为路径/etc/nginx/sites-available/default确认后计算 sm3openssl dgst-sm3/etc/nginx/sites-available/default正确答案e73407468e6f52af54c7b14632eeeb9be25b05106d06c4c3085fc843c223793f11. 该网站关联的数据库的ip地址为看 hosts 文件找到关联的 ip 地址正确答案10.0.3.10012. 该网站数据库使用了哪一类容器技术ps-aux##发现有 lxcfsdockerps#没有与数据库相关的容排除ipaddrcat/var/lib/lxc/mytidb/config正确答案LCX13. 运行在4000端口的备份数据库版本号为lxc-attach-nmytidb -- ss-tlnp|grep4000#运行TiDB服务cat/db/tidb/etc/systemd/system/tidb.service正确答案v7.5.014. 新注册用户数量最多的日期为SELECT DATE_FORMAT(FROM_UNIXTIME(user_reg_time),%Y/%c/%e)AS reg_date, COUNT(*)AS cnt FROM mac_user GROUP BY reg_date ORDER BY cnt DESC LIMIT5正确答案2026/4/1515. 马慧美最后一次登录该网站的ip为SELECT user_id,user_name,inet_ntoa(user_login_ip),from_unixtime(user_login_time),inet_ntoa(user_last_login_ip),from_unixtime(user_last_login_time)form mac_user wherelower(user_name)ma hui mei;正确答案51.43.21.16316. 以下哪个文件系统未被使用A. ntfsB. btrfsC. xfsD. lvm后面两题不想写了大家可以看别的师傅的正确答案A17. 该服务器安装了以下那些数据库服务A. mysqlB. GuessDBC. tidbD. postgresqlE. mariadb正确答案ACD互联网部分1. 售卖卡密的公开群组ID为正确答案FIC_20262. 备份数据库中视频图片的文件名为正确答案7b3fdd9d464ce48e7f20cd45f918c9a6.jpg3. ngrok提供的域名为查看crontab发现开机自启配置cat /etc/crontab | grep ngrok正确答案blemish-junior-unengaged.ngrok-free.dev二进制程序部分1. 分析u盘检材找到其中保存的加密程序SampleVC.exe请给出这个exe程序的md5值正确答案764789DD9C095D74B6B258CF0F7568B22. 分析SampleVC.exe该程序编译的日期可能是什么正确答案2026-04-173. 分析SampleVC.exe正确的密码是什么正确答案PleaseRunAsAdmin4. 分析u盘检材利用SampleVC.exe解密U盘中被加密的文件解密后的文件的后缀是什么输入上面密码解密 U 盘加密的 然后 kali 使用 file 发现是 vhd 挂载后有个 xls 文件正确答案 vhd5. 分析u盘检材找到被加密的交易记录统计李安弘虚拟币收款地址钱包总收款金额为importpandas as pdfile交易记录.xlsxdfpd.read_excel(file)# 打印字段名方便确认print(df.columns)# 根据实际列名修改下面几个字段name_col姓名type_col交易类型amount_col金额targetdf[df[name_col]李安弘]# 只统计收款记录recvtarget[target[type_col].astype(str).str.contains(收款|收入|转入,regexTrue)]totalrecv[amount_col].astype(float).sum()print(total)正确答案 186948.09
)
)
)
)
)
