2023年第一届龙信杯
写在前面:这套题很多问题感觉目标不是很明白,必要自己主观上去识别,就有时做题就会很蒙。龙信经验还是不够丰富,特别是镜像,容器里面塞压缩包这个操纵,我真的吐了。所以我给一个解压好的容器链接:
https://pan.baidu.com/s/1QPNJc_fF2rZpptwGlB57vQ?pwd=vmcj
提取码:vmcj
ps:在群里看见有同砚说server2重构不起来,我起初也是,不过还是被我攻破啦!!!(固然不重构也能做,甚至进了背景还会被嘲讽。)如果想直接看重构要点的话请通过目次跳转服务器2第7题。
案情简介
2023年9月,某公安构造指挥中央担当害人报案:通过即时通讯工具添加熟悉一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人中计后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人使用录制的视频和受害人的通讯录做要挟,从而实行诈骗。
公安构造接警后,通过技能手段抓取了一段流量包,且通过公安构造的侦查与分析,锁定了该诈骗团伙的业务窝点,具了解,该团伙成员通过Telegram 接洽ETH币商收币,双方在线上确定好了生意业务时间和生意业务金额(生意业务额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方职员碰头后,商定分两笔生意业务交割,第一笔生意业务代价100万的假造钱币、第二笔生意业务代价200万的假造钱币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔生意业务完成。 犯罪分子开始第二笔生意业务时,被警方就地截获。并将相关嫌疑人抓获,扣押安卓手机1部,条记本电脑1台,调证服务器2台,以上检材以分别制作了镜像。检材清单见附件。请联合案情,对上述检材进行勘验与分析,完成以下题目。
移动终端取证
1. 请分析涉案手机的设备标识是_______。(尺度格式:12345678)
花里胡哨,设备标识就是序列号是吧
2. 请确认嫌疑人首次安装目标APP的安装时间是______。(尺度格式:2023-09-13.11:32:23)
什么玩意,第二道题就来个目标APP就有点突兀。看看案情,发现是一个裸聊诓骗的,所以目标APP是裸聊诓骗软件?再看看手机检材吧。
嫌疑人发送了一个裸聊的软件过去,这个应该是我们必要的目标APP吧。
然后弘联解析的只有末了使用时间,那没有意义。怎么弄呢,其实另有应用市肆另有数据,这是个小米手机,查看小米应用市肆的文件目次(在资源目次,不是软件目次)。
打开后,搜索包名,发现3个
可以看出在2022-11-16.18:03:25安装了第一次,在2022-11-16.18:47:23卸载了,然后在2022-11-16.19:11:26再次安装了。所以第一次安装时间为2022-11-16.18:03:25,但是龙信软件解析出来是第二次安装时间,不好评价。
3. 此检材共毗连过______个WiFi。(尺度格式:1)
一共6个
4. 嫌疑人手机短信记载中未读的短信共有______条。(尺度格式:12)
17个
5. 嫌疑人检材手机在欣赏器中下载海报背景图的网址是_______。(尺度格式:http://www.baidu.com/admin/index.html)
关键词-海报,在欣赏器查看下载记载,发现有点多,在查看访问记载
出现关键词。查看下载的文件的域名跟该网站的域名类似的。
所以网址为:http://www.ziyuanhu.com/d/file/upload/201810231323/20160724114420916.jpg
6. 请分析涉案海报的推广ID是________。(尺度格式:123456)
本来以为有隐写,效果去图库一看
直接P图是吧。
7. 嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(尺度格式:12)
在短信中,发现一个信息,称发送的彩信无法吸收,所以答案应该是1。
8. 通太过析,嫌疑人推送的微信账号是______。(尺度格式:Lx20230916)
9. 请校验嫌疑人使用的“变声器”APK的包名是________。(尺度格式:com.baidu.com)
10. 号商的接洽人注册APP的ID是_________。(尺度格式:12345678)
这个题也不知道想问些什么,就不明所以,什么APP也不说。
11. 嫌疑人于2022年11月份在_______城市。(尺度格式:成都)
嫌疑人发送了一张家附近的图片,可以查看该图片的GPS信息。 在舆图上定位。
江苏苏州
12. 嫌疑人共购买_______个QQ号。(尺度格式:1)
这次5个,前次3个,总共8个。
APK取证
1. 分析手机镜像,导出涉案apk,此apk的md5值是________。(尺度格式:abc123)
2. 分析该apk,apk的包名是________。(尺度格式:com.qqj.123)
3. 分析该apk,app的内部版本号是__________。(尺度格式:1.1)
4. 分析该apk,请问该apk最高支持运行的安卓版本是_______。(尺度格式:11)
SDK最高版本为32,查看对应文档。
对应安卓版本号为12
5. 分析该apk,app的主函数入口是_________。(尺度格式:com.qqj.123.MainActivity)
6. 分析该apk,请问窃取短信的权限名称是________。(尺度格式:android.permission.NETWORK)
7. APP使用的OPPO的appkey值是________。(尺度格式:AB-12345678)
8. 分析apk源码,该APK背景地址是________。(尺度格式:com.qqj.123)
其实有点点抽象,背景不是应该是管理端吗?但是单从APP也不一定可以或许分析出来吧,应该是问的APK对应的服务器地址(我反正按照这个做的)
抓个包,所以答案为app.goyasha.com
9. 分析apk源码,APP 背景地址登录的盐值是_______。(尺度格式:123abc=%$&)
10. 分析apk源码,该APK背景地址登录密码是______。(尺度格式:longxin123)
11. 对 APP 安装包进行分析,该 APP打包平台调证值是______。(尺度格式:HER45678)
12. 此apk抓包获取到的可访问网站域名IP地址是_______。(尺度格式:192.168.1.1)
道理我都懂,抓包做DNS解析是吧,但是这域名也没绑IP啊。
只能说,反正APP里面也就这几个URL,按照答案格式提吧。
13. 分析apk源码,该apk的加密方式key值是________。(尺度格式:12345678)
什么玩意,怎么又蹦出来给加密方式,我连这个APP哪儿必要加密都没有看见。。。
这儿倒是有一个,但是感觉都做到这儿来了,应该不是吧。找了一下,只定义不用是吧。不过既然都定义了,肯定必要用,在这一页看看吧。
这个函数会把获取到的信息进行加密,调用SecurityCore.encrypt函数,那过去看看吧。
行吧,走到AES,key为:ade4b1f8a9e6b666
14. 联合盘算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(尺度格式:4001122334)
签名是龙信的。。。离线的话就去问监考他们公司电话吧,在线的话就。。。
介质取证
1. 对PC镜像分析,请确定涉案电脑的开秘密码是_______。(尺度格式:123456)
可以发现密码的提示
但是工号是多少,确实不知道,不过弘联能解析出来。
当然工号不会很负责,一样平常是数字,所以可以用passware进行爆破。
2. 涉案盘算机末了一次正常关机时间_______。(尺度格式:2023-1-11.11:11:11)
3. 分析涉案盘算机,在2022年11月4日此电脑共开机时长为_______。(尺度格式:1小时1分1秒)
自己算,效果为13小时41分16秒
4. 对PC镜像分析,请确认微信是否是开机自启动步伐。(尺度格式:是/否)
5. 检材硬盘中有一个加密分区,给出此中“我的秘密.jpg”文档的解密内容。(尺度格式:Longxin0924)
winhex打开,发现是base64编码
6. 接上题,请问该嫌疑人10月份工资是_______元。(尺度格式:123)
明显是内存,用来解密微信的,但是火眼内存跑不出来,只有效取证大师跑了
发俩是吧,都打开看看吧。
好嘛,还不一样。
看谈天记载,估计是自己该的,用来装逼的。(出题的用来迷惑人的)
所以应该是压缩包中的19821
7. 对PC镜像进行分析,欣赏器中使用过QQ邮箱,请问该邮箱的密码是______。(尺度格式:Longxin0924)
8. 联合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(尺度格式:D:XX1.txt)
找到俩,通过md5值进行对比
发现是2.png,所以地址为C:\Program Files (x86)\Tencent\WeChat\2.png
9. 请找出嫌疑人的2022年收入共_______。(尺度格式:123)
这个容器密码,找了半天,居然是2.png这个文件。。。
解密后
有个模拟器和txt,但是当打开回收站时,发现。
2022年收入在这里面的,真会藏啊。
10. 分析此海报,请找到嫌疑人的银行卡号。(尺度格式:62225123456321654)
假造币分析
1. 分析涉案盘算机,正确填写中转地址当前的代币种类______。(尺度格式:BNB)
刚才不是接出来一个111.npbk吗,直接使用7z解压,可以获得一个vmdk,放在软件中解析。
发现一个中转地址,是ETH
2. 分析涉案盘算机,正确填写中转地址当前的代币余额数量_______。(尺度格式:1.23)
这个要进系统看是最方便了,所以最好的下个夜神。
3. 根据中转地址转账记载找出买币方地址。买币方地址:____(尺度格式:0x123ABC)
根据案情,发现会转0.5到买币方钱包。
所以地址是0x63AA203086938f82380A6A3521cCBf9c56d111eA
4. 根据中转地址转账记载统计买方地址转账金额。转账金额:____ ETH.(尺度格式:12.3)
加起来50.5
5. 在创建钱包时,应用APP都会发起我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的环境。请从以下三组助记词中判断特别式正确的一组( )
A.raw sausage art hub inspire dizzy funny exile local middle shed primary
B.raw sausage art hub inspire dizzy funny middle shed primary
C.raw sausage art funny exile local middle shed primary
钱包地址长度为12、15等,只有A符合
6. 假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP规复嫌疑人钱包,并选出正确钱包地址( )
A.0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9
B.0x63AA203086938f82380A6A3521cCBf9c56d111eA
C.0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A
填入bip39解析。
所以选B
流量分析
1. 分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )
A.DDoS攻击
B.DoS攻击
C.SQL注入
D.文档攻击
看一下IP统计
第一个,看了一下基本上UDP,没意义。
第二个,有大量的TCP与第三个IP进行交互,看来主角就是他们俩。
10.5.0.19在短时间发送了大量长度类似(内容类似)的数据给116.211.168.203
导致后期116.211.168.203出现拒绝服务的环境。所以这是Dos攻击。
2. 分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)
见上题,116.211.168.203
3. 分析“数据包1.cap”,文件下发服务器的IP地址是_______。(尺度格式:127.0.0.1)
这流量题目问起来是蒙的。看了团体流量才发现,实际上,10.5.0.19是被攻击后作为肉鸡对116.211.168.203进行Dos攻击,查看流量包可以发现,222.186.21.154对10.5.0.19进行了一个控制,
让10.5.0.19在120.210.129.29服务此中下载了一个java.log文件。所以文件下发服务器是120.210.129.29
4. 分析“数据包1.cap”,攻击者使用_______毛病进行远程代码执行。(尺度格式:XXX)
知道攻击机发送的流量方式,就是不知道是什么毛病
那就直接搜索一下payload
然后答案格式也给不清楚,也不知到该写什么。反正出题就抽象。
5. 分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(尺度格式:abcd)
恶意文件就是java.log,直接提取。
6. 分析“数据包2.cap”,其获取文件的路径是________。(尺度格式:D:/X/X/1.txt)
每次都是其。。。
还好只有两个IP。
筛选http协议,很容易发现这儿有个文件获取。解码就是答案。
C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png
7. 分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(尺度格式:123)
这是认证值
8. 分析“数据包2.cap”,其下载的文件名巨细有________字节。(尺度格式:123)
巨细211625,当然也可以转储出来。
服务器取证1
1. 服务器系统的版本号是_______。(格式:1.1.1111)
2. 网站数据库的版本号是_______。(格式:1.1.1111)
3. 宝塔面板的“超时”时间是_______分钟。(格式:50)
4. 网站源码备份压缩文件SHA256值是_______。(格式:64位小写)
0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39
5. 分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)
在代码中找密码验证地方
发现加密函数名为password,然后跳转到定义,查看代码
发现盐值:lshi4AsSUrUOwWV
6. 分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(尺度格式:1234)
直接进背景进行查看
7. 全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据规复)
6,全部网站加是吧。
267+57+182=506
8. 分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)
这个网站的伪静态被改了,要改返来。
用自带筛选,获取到26个
9. 分发网站sb.wiiudot.cn管理员名为“0820”的约请码是_______。(格式:xxx)
10. 分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)
累了,找密码是吧,直接给错误密码,害我登录不上。
其实要找也很好找,刚才都说了有源码备份,那就去备份文件里面找找。
有两个备份文件,测试登录。
服务器取证2
1. 请分析宝塔面板中默认建站目次是_______。(尺度格式:/etc/www)
很久都没有看见带UI的了,另有点不风俗。
2. 在宝塔数据库目次有一个只含有一个表布局的数据库,请找到该“表布局文件”并分析出第六个字段的字段类型是_______。(尺度格式:int(11))
火眼直接秒了
3. 请分析“乐享金融”网站绑定的域名是_______。(尺度格式:www.baidu.com)
4. 请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(尺度格式:abcdefghijklmnopqrstuvwsyz)
在代码中找到加密逻辑,所以按照逻辑进行加密,密码为
5. 请重建“乐享金融”,访问平台前台登岸界面,会员登岸界面顶部LOGO上的几个字是_______。(尺度格式:爱金融)
网站的运行目次就在根目次。
6. 请分析“乐享金融”一共添加了_______个非外汇产品。(尺度格式:5)
外汇ID为5,然后去产品表中看看
产品表为cid
可以看到,不为5的有3个,此中2个被删除了。所以答案为1。
7. 请分析“乐享金融”设置充值泰达币的地址是_______。(尺度格式:EDFGF97B46234FDADSDF0270CB3E)
我进去啦!!!
这个网站重构必要修改的地方有点多。
1.必要修改网站运行目次。
必要把网站修改到根目次才气运行。此时你就可以访问到页面了
但是也就只能在这个页面
2.修改PHP版本
打开会发现是纯静态,必要更改到php,版本不是很影响。但是还是发现点不了。
3.修改伪静态
必要修改到thinkphp的伪静态。(问就是根目次那么大的thinkphp,别说看不见)
然后就可以正常使用啦!
前台登录:
背景登录:
然后就可以快乐绕过做题啦!(不过真没必要进背景,由于官方就不想让进,进了你就会发现,背景没有搜索功能,甚至配置功能都没有)
所以还是老诚实实看数据库吧。
8. 请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(尺度格式:12345678)
就俩。1000087.00+100000000.00=101000087
9. 请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(尺度格式:张三)
张教瘦
10. 请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔生意业务的平仓代价是_______。(尺度格式:1888.668)
找了一下关键字段
11. 请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(尺度格式:2022-1-11.1:22:43)
12. 宝塔面板某用户曾实行进行一次POST哀求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问哀求的。
- A.Windows 8.1
- B.Windows 10
- C.Windows 11
- D.Windows Server 2000
翻日志。。。末了在2022-07-23.json.gz中找到了
所以选A
13. 请分析该服务器镜像最高权限“root”账户的密码是_______。(尺度格式:a123456)
提取shadow文件,获取到密码密文。
配置hashcat,这个密文布局为md5crypt,所以对应使用500进行爆破。
然后掩码接纳尺度格式给的1位字母+6位数字。
爆破出来密码为:g123123
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
