Original Source （有改动）

HTTPs://racinedee.github.io/2018/07/01/云南大学第一届信息安全铁人三项赛数据赛writeup/
第一届铁三校赛数据赛writeup。感觉比分区赛的题目要难，主要是题目中加了一个脑洞。

-O-O-O-O-O-O-O-O-

小利访问最频繁的网站是？（只填写一级域名）

既然是访问最频繁的网站，所以直接筛选HTTP流量: Statistics – HTTP – Requests，按Percent降序排列，完成。

小利的IP是多少？

从HTTP流量中可以发现发起请求最多的IP地址为192.168.12.126，从而可以判断小利的IP即为192.168.12.126

黑客的网站IP是什么？

要找黑客网站IP，首先小利肯定对黑客网站进行了访问，所以对数据包进行筛选。这里当时比赛的时候是队友发现了这条异常流量，小利访问了一个域名为www.waigua.com的网站，下载了名为万能吃鸡助手的exe可执行文件。所以猜测黑客这就是黑客网站，而小利下载的文件就是木马文件(HTTP://www.waigua.com的网站，下载了名为万能吃鸡助手的exe可执行文件。所以猜测黑客这就是黑客网站，而小利下载的文件就是木马文件)

所以黑客网站IP就是192.168.12.148

小利从黑客网站下载的文件名是什么？

从上一题的分析就知道下载的文件名是万能吃鸡助手.exe

小利的网站后台密码是多少？

比赛的时候做到这题就没有思路了，一开始想到的是可能在流量中存在登录网站后台的的数据报文，所以筛选了一波post请求
在post请求中没有发现登录相关的流量，但是发现小利向黑客的网站上传了Desktop.zip文件。

这个操作肯定不是小利自己进行的，所以猜测是小利下载并运行了从黑客网站上下载的木马文件。木马的操作就是将小利桌面的文件内容打包上传到黑客的网站。
所以将此文件导出。打开导出的.zip文件后发现没有内容

用010editor打开文件也并没有发现zip头。然后就没有思路了。

比赛结束之后找学长，学长提示后面的题目答案全在流量中提取出的压缩包内。
所以提取压缩包这个思路应该是对的，问题就出在压缩包文件内容上。
后来又仔细看了看文件内容，发现了这道题目中的坑。

zip文件的文件头为50 4B 03 04 ，而文件中的16进制的每一个字节的两个字符被反序了，所以导致了zip文件无法解析。
然后写脚本还原正确的文件

还原之后打开文件：

和之前的分析一样，木马程序的功能就是将小利桌面的文件打包并上传到黑客的网站。忽略所有的快捷方式，有效的信息只有三个，一个joomla.rar压缩文件，一个Diary.docx的word文档。一个joomla.sql数据库文件
很明显，joomla.rar压缩文件中就是小利网站的源码，
Joomla.sql文件就是小利网站的数据库文件。

而这道题目问的是小利的网站后台登录密码，很容易就能想到去数据库里面找。