DigiForensics 电子取证技术学习平台
登录 注册
PolarEDF 2026春季个人挑战赛 2026 个人赛

PolarEDF 2026春季个人挑战赛

围绕 PolarEDF 2026春季个人挑战赛 的公开复盘与解题记录。

上传者:Serendipity 发布日期:2026-05-27 31 次阅读

检材密码:ec02c59dee6faaca3189bace969c22d3

这个比赛总的来说不是很难,适合我这样的新手😏

但是就是时间不够,服务器部分只能靠ai节省时间,正确率不是很高

有点不好意思,好像是过去欺负新生了👉👈

PC端

1 网卡的 Mac 地址是什么?答案格式:XX-XX-XX-XX-XX-XX

00-0C-29-47-CB-EC

直接在火眼查看网络适配器

2 系统内部版本号是多少?答案格式:xxxxx.xxxx

19045.6456

基本信息中可以看到内部版本号

3 分析计算机检材,计算机中的编程软件的版本是? 答案格式:xxxx.x.x

14.36.32532

查看安装软件,找到编程软件,看到版本号

4 桌面上的图片文件的哈希值是多少?题目格式:全大写(MD5)

DE3EB98E2DBFEB01A22B576D759FDA89

由于仿真出来的计算机太卡,直接在文件中查看桌面文件,右键计算哈希值

5 曾经连接过的u盘的名称是什么? 答案格式:USB xxx USB Device

USB Sandisk 3.2Gen1 USB Device

查看USB设备信息

不知道为什么第一次交的时候是错的,重新复制粘贴又对了

6 曾经连接过的u盘的全局唯一标识符是什么? 答案格式:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

36fc9e60-c465-11cf-8056-444553540000

双击之后就会弹出设备的uuid,也就是全局唯一标识符

7 交易名单里,交易新型可乐的涉毒人员是谁?答案格式:xx或xxx

圣赵

在微信文件中找到一个记录的压缩包

没有压缩工具,导出本机解压

发现加密了,在便签这里找到密码

打开看看

8 接头暗语是什么? 答案格式:xxxxxx

栀子花的茉莉花

在root目录下找到加密容器

便签中有容器密码

比赛时还想着便签下面这一串是什么密码,没想到还有加密容器,主要还是赶时间

VC挂载看一下

用010打开看一下

看到文件尾隐藏了一个hin.txt文件,修改一下文件后缀名直接解压

9 默认浏览器的UA(User-Agent)是什么?答案格式:Mozilla/5.0 (...) AppleWebKit/xxx.xx (...) Chrome/xxx.x.x.x Safari/xxx.xx xxx/xxx.x.x.xxx

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36 QuarkPC/6.4.0.728

先找到默认浏览器

进入浏览器F12查看一下

10 电脑里apk的包名? 答案格式:com.example.xxxxx

com.example.myapplication

在桌面找到apk,导出

用雷电app分析

11 伪造的身份证个数和人名 答案格式:1-xxx

3-关羽

可以看到IDcard文件夹中有三个图片文件,但是打不开

将这三张图片都放进随波逐流里

会发现这三张图片的文件头都被修改了,我们进行一下修复

可以看到三个身份证一个人名

12 微信的版本是 答案格式:x.x.x.xx

4.1.7.30

在安装软件中找到微信

13 exe程序的SHA1后六位是多少?答案格式:XXXXXX

CD31B3

桌面上有exe文件,直接计算sha1

14 找到apk中VIP KEY 和 Param两个值 答案格式:VIPKEY_Param

VIP-ACCESS-2026_deep_param_7y

15 apk中藏着的秘密字符串是什么? 答案格式:xxxxxxxxxxxxxxxxxxxxxxxx无需flag{}

vip_gate_and_deep_param

这两道题直接让ai做了

:::tips 用 VIP-ACCESS-2026:deep_param_7y 做 SHA-256

取前 16 字节作为 AES key

把三个 FLAG_PARTS 拼接后 Base64 解码

前 12 字节是 GCM nonce

剩余部分是密文+tag

用 AES-GCM 解密

:::

移动端

1 手机的硬件平台是什么?答案格式:xxx123

sdm845

查看设备信息

2 手机最后的ip long是多少?答案格式:12345678

3232235632

设备信息中有最后一次IP信息

转换一下即可

3 618房间使用的什么品牌路由器?答案格式:联想

中兴

在wifi这里看到ZTE-618

搜索一下

4 鸢尾花家冰箱的备案号是多少?答案格式: xxxxxx-x-xxxx-xxxxxxxxxxxx

201609-1-7825-906809166926

在图片中找到有关冰箱的图片

查询一下规格型号

5 可疑图片的SHA256是多少?答案格式:X23XX232313X3224XXX3252X(全大写)

68C934F64FC909FB3E91AC357E7CB50851B2C1D527D8ED13BCA3283C5041D1A8

在图库中找到可疑图片

直接计算哈希即可

6 可疑图片是通过什么方式获得的(中文)?答案格式:华为共享

小米互传

先看到图片的路径

直接搜索

发现不对,往下翻了翻

7 可疑图片隐藏的flag1是多少?答案格式:flag {xxxx}

flag{iris_}

直接放随波逐流里,分离出两张图片

再放进随波逐流里

8 哪个应用使用的wifi流量总和最多?答案格式:微信

应用商店

在网络使用详情中对流量进行排序

9 黑话翻译软件包名是多少?答案:xxx.xxxxx.xxxxx

com.ctf.ghosttranslator

聊天记录里看到一个软件

导出放雷电看一下

10 通讯软件传递黑话翻译软件的md5是多少?答案格式:xxxxxxxxxxxxxxxxxx(全小写)

184e50b635099143a323abcbe6adf947

直接计算md5即可

11 题目.txt是一道密码题并且含有flag2,在做题中使用的加解密方式含有三个密钥,请按照格式及接解题顺序计算三个密钥联合体的md5。答案格式:MD5 {密钥1+密钥2+密钥3} (全小写)

MD5{45CRYPTO} (这个错了)

在可以图片这里找到题目.txt

纯密码学,凯撒4栅栏5维吉尼亚CRYPTO

12 鬼灯笼和鸢尾花的接头代号是什么?答案格式:日出江花红胜火,春来江水绿如蓝

神仙难过猪油关,不爱江山爱美人

在聊天记录中看到与答案格式相关的内容,肯定是这个了

13 腾讯新闻发布的《总台《2026年春节联欢晚会》完成首次彩排》的tweetid是什么?答案格式:123456789

2628399397

直接去微信的解密数据库里看

第二个就是

14 鸢尾花隐藏的flag3是多少?答案格式:111

999

在手机标签中找到

15 使用次数最多的app包名是什么?答案格式:xxx.xxx.xxx

com.miui.home

查看APP使用记录,排序一下使用次数

16 鸢尾花手机中小米系统官方的数字证书过期时间是多少?答案格式:2000-01-21

2039-04-23

<font style="color:rgba(0, 0, 0, 0.87);">com.miui.weather2_-1_1/6-天气(com.miui.weather2)/6-天气(com.miui.weather2)/apps/com.miui.weather2/</font>目录下找到_manifest文件

分析证书文件得到答案

17 “去哪旅行”APP数字签名证书的签名者是谁?答案格式:xxxxx.xxx

huan.cai

用雷电APP进行分析,可以看到数字签名

18 鸢尾花在2026-01-22 13:34在家里看什么呢?答案格式:我在精神病院学斩神

唐朝诡事录之长安

依旧图片里找

19 智能出行的版本号是多少?答案格式:1.1.1.1

12.0.0.3

直接在应用列表搜索智能出行

20 黑话翻译软件的隐藏flag是什么?答案格式:flag {xxxxxxxxxxxx}

flag{Gorgeous,Auspicious,Love,Innocence, Bright}

将flag1、flag2、flag3合在一起可以得到答案

但是不知道为什么交的时候说不对,可能是有空格

服务器端

这个服务器上没有ssh,还是很难受的。结果后面发现所有题目都可以直接在火眼跑出来

下午fic依旧没有ssh,所以还是写上吧

仿真之后先下载ssh

sudo apt update
sudo apt install openssh-server
sudo systemctl start ssh

之后就可以连接上了

1 该服务器的内核版本是什么?答案格式:1.1.1-11-xxxxxx

6.14.0-37-generic

直接查看系统信息

2 该服务器的主机名是多少?答案格式:xxx-XXxxxx-xxxx-xxx(大小写以实际为准)

ywh-VMware-Virtual-Platform

也是系统信息中可以看到

3 该服务器最后一次登录时间为,用时间戳表示?答案格式:11111111

1771085350

先找到最后一次登录时间

转换时间戳

4 鸢尾花用什么工具管理服务器?答案格式:某某某某(汉字)

宝塔面板

解析出宝塔了

5 登录过该服务器的用户名是什么?答案格式:xxx

ywh

查看登录日志

6 用于连接ssh的内网地址是多少?答案格式:111.11.1.1

192.168.0.186

在宝塔面板的日志信息中可以看到

7 用户使用什么命令查询自己的公网ip?答案格式:xxx xxx xxx(以实际为准,空格隔开)

curl ifconfig.me

在历史命令中看到

8 鸢尾花在搭建聊天室时是用什么项目部署的?答案格式:xxxx.xx(首字母大写)

Node.js

在日志信息中看到了nodejs

9 鸢尾花创建的聊天室的项目路径是什么?答案格式:xxx/xxx/xxx/xxx(以实际为准)

www/wwwroot/node-websocket-Chatroom-master

宝塔面板解析出,可以直接看到

10 鸢尾花聊天室的聊天记录存储在哪里?答案格式:xxx/xxx/xxxx(以实际为准)

/www/wwwroot/node-websocket-Chatroom-master/db/messages.db

emm,官方答案加了ywh.E01/分区5/

由上题可知网站目录,找到该目录查看数据库

查看一下数据库内容

11 通过聊天记录,一共有几个人参与了贩毒?答案格式:x

3

由上题数据库可知

12 鸢尾花给冰毒设置的暗码是什么? 答案格式:xxxxxxxx

14822967

桌面上有个暗码文件,直接打开看到

13 通过聊天记录,他们接头的酒吧名字叫什么? 答案格式:xxxx

哈夫酒吧

依旧看聊天数据库

14 通过审问,鸢尾花供出了接头的暗号和图片中的数字六有关,图片的名字就是暗号,该图片的名字是什么? 答案格式:xxxx

dice

在图片中找到一个数字六的骰子,有点难绷

15 几人在长春贩毒的数额是多少?答案格式:xxxxx

123000

聊天记录看到

16 该聊天室的启动命令是什么?答案格式:xxx xxx xxxx

npm run prod

直接查看历史命令

17 鸢尾花使用了ssh反向隧道暴漏了一个端口的服务,这个端口是?答案格式:xxx -x xx:xxxxxxxx:xxxx xxxxx@xxxxxxxxx.xxx

3000

这道题题目格式错了,答案见下题命令

18 鸢尾花是用什么命令将服务暴漏到公网上? 答案格式:xxx -x xx:xxxxxxxx:xxxx xxxxx@xxxxxxxxx.xxx

ssh -R 80:localhost:3000 nokey@localhost.run

在历史命令中看到

19 鸢尾花宝塔面板的用户名是什么?答案格式:xxxxxxxx

sptnfhkh

直接查看宝塔面板

20 鸢尾花一共用过几个登录终端,分别是?答案格式: 每个答案用空格隔开(比如3 xxx xxx xxx)

2 seat0 tty2

输入last -F,只看到这个两个

原文出处 https://mp.weixin.qq.com/s/QrnXKf8UOvEx2dTrnNrQ0Q