2025数字中国创新大赛数字安全赛道数据安全产业积分争夺赛初赛 Writeup

数据分析

溯源与取证1

火眼挂载后发现被删除的文件

image-20250330135020056

提取后打开,更改字体颜色,得到Flag

image-20250330135106653

b1e9517338f261396511359bce56bf58

溯源与取证2

将内存.7z文件解压后,将raw内存镜像挂载,搜索access.log日志文件

image-20250330135615440

在 access.log.1741219200 中找到ip

114.10.143.92

溯源与取证3


数据社工1

在 某滴泄露的行程数据 中筛选名字和电话,得到一组坐标

image-20250330154222071

在 某德泄露的地图数据 中进行查询

image-20250330154349700

得到居住地

华润国际E区

继续在 某滴泄露的行程数据 中查找,得到另一组坐标,相同的方式可以找到工作点

闵行区星辰信息技术园

得到最后答案

华润国际E区:闵行区星辰信息技术园

数据社工2

在 某通泄露的快递单数据 中过滤 收件人为张 收件人手机号为 138**9377

image-20250330152837576

得到地址

**市**区******息技术园16楼博林科技

在 爬取的工商登记数据 中搜索 博林科技

image-20250330153153191

得到公司名字

江苏博林科技有限公司

数据社工3

在 爬取的网页 中搜索张华强,得到手机号

image-20250330135940057

13891889377

数据社工4

在 爬取的网页 中搜索张华强,得到身份证号

image-20250330140005570

61050119980416547X

数据社工5

火眼OCR功能识别电话号码和车牌号

image-20250330153730628

搜索前面得到的手机号得到车牌号

浙B QY318

数据跨境1

用wireshark不知道为什么得到的统计结果有误

                       |  Packets  | |  Bytes  | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes |
146.71.124.39              41450       5261572       9616          619715       31834         4641857   
31.13.72.51                27183       3331765       6699          435406       20484         2896359   
57.195.144.48              27135       3348105       6637          436445       20498         2911660   

喊GPT写一个脚本

import json
import scapy.all as scapy
from collections import defaultdict

# 加载敏感IP列表
def load_sensitive_ips(json_file):
    try:
        with open(json_file, "r", encoding="utf-8") as f:
            data = json.load(f)
        return {ip: domain for cat in data.get("categories", {}).values() for domain, ip in cat.get("domains", {}).items()}
    except (FileNotFoundError, json.JSONDecodeError) as e:
        print(f"错误: {e}")
        return {}

# 统计PCAP中敏感IP访问次数
def count_sensitive_ips(pcap_file, sensitive_ips):
    ip_hits = defaultdict(int)
    try:
        for packet in scapy.rdpcap(pcap_file):
            if packet.haslayer(scapy.IP) and (dst_ip := packet[scapy.IP].dst) in sensitive_ips:
                ip_hits[dst_ip] += 1
    except FileNotFoundError as e:
        print(f"错误: {e}")
    return ip_hits

# 主函数
def main():
    sensitive_ips = load_sensitive_ips("国外敏感域名清单.json")
    if not sensitive_ips:
        return

    ip_hits = count_sensitive_ips("某流量审计平台导出的镜像流量.pcap", sensitive_ips)

    for ip, count in ip_hits.items():
        print(f"{sensitive_ips[ip]} ({ip}): {count} 次")

    if top_ip := max(ip_hits, key=ip_hits.get, default=None):
        print(f"\n访问最多的IP: {sensitive_ips[top_ip]} ({top_ip}),访问次数: {ip_hits[top_ip]}")

if __name__ == "__main__":
    main()

得到答案

slack.com (34.192.2.94): 17551 次
chrome.com (57.195.144.48): 20498 次
kakao.com (102.195.10.159): 6764 次
googleusercontent.com (142.250.217.86): 18980 次
tinyurl.com (89.192.255.179): 11154 次
soundcloud.com (77.45.200.228): 8009 次
hkcna.co.hk (32.173.152.21): 1932 次
whatsapp.com (31.13.72.51): 20484 次
icloud-content.com (182.230.246.61): 5158 次
hkcna.biz.hk (16.38.35.38): 720 次

访问最多的IP: chrome.com (57.195.144.48),访问次数: 20498

数据跨境2

导出FTP文件,发现最后存在零宽字符

image-20250330154847957

解密得到水印内容

image-20250330154921732

id:09324810381_time:20250318135114
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇