数据分析
溯源与取证1
火眼挂载后发现被删除的文件
提取后打开,更改字体颜色,得到Flag
b1e9517338f261396511359bce56bf58
溯源与取证2
将内存.7z文件解压后,将raw内存镜像挂载,搜索access.log日志文件
在 access.log.1741219200 中找到ip
114.10.143.92
溯源与取证3
数据社工1
在 某滴泄露的行程数据 中筛选名字和电话,得到一组坐标
在 某德泄露的地图数据 中进行查询
得到居住地
华润国际E区
继续在 某滴泄露的行程数据 中查找,得到另一组坐标,相同的方式可以找到工作点
闵行区星辰信息技术园
得到最后答案
华润国际E区:闵行区星辰信息技术园
数据社工2
在 某通泄露的快递单数据 中过滤 收件人为张 收件人手机号为 138**9377
得到地址
**市**区******息技术园16楼博林科技
在 爬取的工商登记数据 中搜索 博林科技
得到公司名字
江苏博林科技有限公司
数据社工3
在 爬取的网页 中搜索张华强,得到手机号
13891889377
数据社工4
在 爬取的网页 中搜索张华强,得到身份证号
61050119980416547X
数据社工5
火眼OCR功能识别电话号码和车牌号
搜索前面得到的手机号得到车牌号
浙B QY318
数据跨境1
用wireshark不知道为什么得到的统计结果有误
| Packets | | Bytes | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes |
146.71.124.39 41450 5261572 9616 619715 31834 4641857
31.13.72.51 27183 3331765 6699 435406 20484 2896359
57.195.144.48 27135 3348105 6637 436445 20498 2911660
喊GPT写一个脚本
import json
import scapy.all as scapy
from collections import defaultdict
# 加载敏感IP列表
def load_sensitive_ips(json_file):
try:
with open(json_file, "r", encoding="utf-8") as f:
data = json.load(f)
return {ip: domain for cat in data.get("categories", {}).values() for domain, ip in cat.get("domains", {}).items()}
except (FileNotFoundError, json.JSONDecodeError) as e:
print(f"错误: {e}")
return {}
# 统计PCAP中敏感IP访问次数
def count_sensitive_ips(pcap_file, sensitive_ips):
ip_hits = defaultdict(int)
try:
for packet in scapy.rdpcap(pcap_file):
if packet.haslayer(scapy.IP) and (dst_ip := packet[scapy.IP].dst) in sensitive_ips:
ip_hits[dst_ip] += 1
except FileNotFoundError as e:
print(f"错误: {e}")
return ip_hits
# 主函数
def main():
sensitive_ips = load_sensitive_ips("国外敏感域名清单.json")
if not sensitive_ips:
return
ip_hits = count_sensitive_ips("某流量审计平台导出的镜像流量.pcap", sensitive_ips)
for ip, count in ip_hits.items():
print(f"{sensitive_ips[ip]} ({ip}): {count} 次")
if top_ip := max(ip_hits, key=ip_hits.get, default=None):
print(f"\n访问最多的IP: {sensitive_ips[top_ip]} ({top_ip}),访问次数: {ip_hits[top_ip]}")
if __name__ == "__main__":
main()
得到答案
slack.com (34.192.2.94): 17551 次
chrome.com (57.195.144.48): 20498 次
kakao.com (102.195.10.159): 6764 次
googleusercontent.com (142.250.217.86): 18980 次
tinyurl.com (89.192.255.179): 11154 次
soundcloud.com (77.45.200.228): 8009 次
hkcna.co.hk (32.173.152.21): 1932 次
whatsapp.com (31.13.72.51): 20484 次
icloud-content.com (182.230.246.61): 5158 次
hkcna.biz.hk (16.38.35.38): 720 次
访问最多的IP: chrome.com (57.195.144.48),访问次数: 20498
数据跨境2
导出FTP文件,发现最后存在零宽字符
解密得到水印内容
id:09324810381_time:20250318135114