2026FIC决赛复现wp-计算机部分

ljnljn Lv6
  2026-05-25 21:16:38 2026-05-25 21:16:38 创建   2026-05-25 22:04:46 2026-05-25 22:04:46 更新      1.3k 字  4 分钟  

通过网盘分享的文件:FIC决赛容器
链接: https://pan.baidu.com/s/1mfE5maAGrq7WzLit2feQuw 提取码: 1111
–来自百度网盘超级会员v5的分享
密码:\/a15f5b1d-a9fbdb79-de9ee6bf-28b9fce1\/
题目:

背景

某日,警方接到举报,近期互联网上出现了一涉黄网站近期极为活跃并大肆推广,警方跟进线索分析后,找到相应的网站进行了摸排调查,最终锁定网站的运营者李安弘;警方调查后发现了其雇佣的推广运营团队并进行现场抓捕,获取了如下检材:
检材1-计算机镜像
检材2-手机镜像
检材3&4-Linux服务器镜像
检材5-windows服务器镜像及其他信息
检材5(附件1):服务器账号密码见【附件1.txt】
检材5(附件2):现场扣押登录密钥的USB设备一批,使用ykman fido credentials list –csv可列出的凭据信息见【附件2.xlsx】;
检材5(附件3):该服务器中的全部证书文件,见【附件3.zip】;
检材5(附件4):服务器中网站DNS等相关信息,见【附件4.jpg】。
分析各个检材,并回答以下问题:

检材1.计算机

  1. 分析计算机检材,嫌疑人telegram绑定的手机号为
    5.00 分

  2. 分析计算机检材,cherry studio工具配置的默认模型ip地址为
    6.00 分

  3. 分析计算机检材,BitLocker的恢复密钥后6位
    桌面上有一个backup,打开后9张图片,一看就是拼图
    进行拼图处理
    其实只要根据名字按顺序拼就行了,这里用了hxyz的工具进行处理,得到一张完整图片

    图片在红色0通道有一个二维码,扫描即可获得密钥

  4. 分析计算机检材并找到proton邮箱的助记词,第一个单词为
    7.00 分
    (待补充)
    助记词在D盘的key文件夹下

  5. 分析计算机检材,嫌疑人对zhuhu.fic网站发起攻击时,用户名user对应的密码为
    6.00 分
    既然是网站攻击那就不是burpsuite就是yakit,正好桌面上有一个,打开看数据库里有fic数据库

    这里筛选出zhuhu.fic的,然后发现里面有反弹shell部分

    推断下面那个post login请求是登陆成功的请求

  6. 分析计算机检材,嫌疑人对zhuhu.fic网站发起攻击时网站使用的jwt,其签名密钥为
    6.00 分

  7. 分析计算机检材,嫌疑人对zhuhu.fic网站发起攻击时,使用的反弹shell中配置的外联服务器域名为
    8.00 分
    yutubi.top
    见第五题

  8. 分析计算机检材,嫌疑人对zhuhu.fic网站发起攻击过程中,下载的住户信息文件密码为
    7.00 分
    最后一个包做了导出,这里面内置了密码

  9. 搜索计算机检材,找到迷宫游戏中预设的最优路径,分析游戏中隐藏的密码
    9.00 分
    直接玩
    (比赛的录屏懒得再玩一次了)

  10. 用上述密码解密嫌疑人窃取的外卖数据文件,其中address字段为沈阳市的用户数量为(无需去重或验证数据真实性)
    7.00 分
    实在不会,问ai了,说是数据库,感觉题目也没提示
    用dbbrowser sqlcipher版本,默认cipher版本4,输入密码可以打开

    执行一下sql语句

  11. 搜索计算机检材,找到树莓派备份文件,分析其中部署的模型文件md5值为
    5.00 分
    比赛完才听别的师傅说可以用diskgenius打开

    那确实好办了
    我这里先转成vmdk

    然后导入火眼
    直接从大到小排序,一般本地模型都很大

  12. 分析树莓派备份文件,其中部署的ai agent程序为
    6.00 分
    hermes
    看历史命令,发现访问了这个文件夹

    翻了一下
    看到hermes

  13. 分析树莓派备份文件,agent程序中,用于爬取暗网的skill所爬取的网站域名为
    7.00 分
    找到skill

    代码里面就有

  14. 分析该agent程序,skill在爬取暗网过程中,最早下载的样本文件名为
    7.00 分
    看sessions
    第一个

    虽然脚本尝试先下载 Communicare 的 samples.zip,但因 .onion 地址不可达而失败,因此 sample_5_databases-info.txt 成为首个成功保存的样本文件。

  15. 暗网服务使用的上游代理ip地址是什么
    7.00 分

  16. 分析计算机检材中的cs.exe,请给出这个exe程序的md5值?
    5.00 分
    e630529110a01b1ce38a9a1bf3bee9f0

  17. 分析计算机检材中的cs.exe,连接的C2地址是?
    6.00 分
    用currports抓

  18. 分析计算机检材中的cs.exe,可以获取几个浏览器的密码?
    7.00 分
    点击cs.exe后临时文件夹里出现了一个文件夹,疑似病毒释放的

    进去之后是python的nutika打包,本人不太会做就不做了

  19. 分析计算机检材中的cs.exe。
    9.00 分

  20. 分析计算机检材中的cs.exe,可以从服务端接收的action指令有多少种?
    8.00 分

  • 标题: 2026FIC决赛复现wp-计算机部分
  • 作者: ljnljn
  • 创建于 : 2026-05-25 21:16:38
  • 更新于 : 2026-05-25 22:04:46
  • 链接: https://ljnljn2005.github.io/2026/05/25/2026FIC决赛复现wp-计算机部分/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
2026FIC决赛复现wp-计算机部分
  1. 背景
  2. 检材1.计算机