玄机靶场-2025数字中国 数据安全-溯源与取证 WP这道题是 2025 数字中国创新大赛数据安全赛道的原题搬到玄机靶场上来了。主要考察磁盘数据恢复、加密驱动器解密和 Web 日志分析三块题目一共 3 个步骤难度中等下面是完整解题过程。1. 数据恢复找回被误删的 Word 文件题目说运维人员误删了一个重要的 Word 文件要把它恢复出来文件内容就是答案。下载题目附件里面是一个磁盘镜像文件.img格式。用 DiskGenius 或者 R-Studio 加载这个镜像对全盘做一次扫描重点看已删除文件列表。很快就能找到那个被删掉的.docx文件把它导出来。打开恢复出来的 Word 文档正文里有一串 32 位的字符串这就是 Flag。Flag 1flag{b1e9517338f261396511359bce56bf58}2. 解密加密驱动器从 Nginx 日志里找黑客 IP这一步说服务器的 Web 日志被存在了加密驱动器里要先解密才能看日志。附件里有一个加密的驱动器镜像解压密码是44216bed0e6960fa。解密挂载之后里面有一堆.txt文件随便打开几个格式都是标准的 Nginxaccess.log。翻一下日志内容很快就能看到一个频繁出现的异常 IP 在不停地发请求就是它了。Flag 2flag{114.10.143.92}3. 深挖日志提取黑客窃取的身份证信息这一步是整道题最复杂的部分。题目要求从日志里把黑客窃取的所有身份证号找出来按照对应姓名的拼音首字母升序排列然后把所有身份证号拼在一起算 MD5。思路是这样的在 Nginx 日志里重点看状态码为200且响应体大小是720或704的那些请求这两个大小对应的是包含用户信息的响应。把这些请求的 URL 参数提取出来用正则匹配name和idcard字段就能拿到黑客查询过的所有用户数据。拿到数据之后按name的拼音字母顺序从 a 到 z 排好把所有idcard按顺序拼成一个长字符串最后算这个字符串的 32 位小写 MD5。importre,hashlib# 提取 name 和 idcardpairsre.findall(rname([a-z]).*?idcard(\d{18}),log_content)# 按姓名拼音首字母升序pairs.sort(keylambdax:x[0])# 拼接所有身份证号combined.join(p[1]forpinpairs)# 计算 MD5resulthashlib.md5(combined.encode()).hexdigest()跑出来的结果就是 Flag。Flag 3flag{060b534ffb5c4a487be36cca98165e73}总结这道题把数据安全事件的几个典型场景串在了一起误删文件恢复 → 加密卷解密 → 日志分析取证。前两步相对直接第三步需要写脚本处理数据稍微麻烦一点但只要思路清晰按步骤来就没问题。Flag 汇总恢复的 Word 文件内容flag{b1e9517338f261396511359bce56bf58}黑客 IPflag{114.10.143.92}身份证号拼接 MD5flag{060b534ffb5c4a487be36cca98165e73}