案情简介
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某到场赌博游戏,早先资金出入均属正常。但随后,李某称赌博平台为提拔安全性,更换了地点和玩法,转为通过群聊抢红包形式举行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。
在经济压力下,卢某选择报警,并承认到场赌博活动,愿意负担相应法律后果。警方依据卢某提供的线索和手机数据,敏捷锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品举行了证据固定:李某手机被标志为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。
接下来,请取证工作者根据案情和这些检材举行深入分析,并解答后续问题。
手机部分
1.嫌疑人李某的手机型号是?
A. Xiaomi MI 2s
B. Xiaomi MI 4
C. Xiaomi MI 6
D. Xiaomi MI 8
在分析中没有手机信息,在文档中有一个useragent.txt,可以从中找到
第二种方法可以从开关机日志中,跳转到源文件
可以大概看到有一个MMB29M的文件夹名
在百度上搜该名称,可以看出这个版本号代表的是小米4
B
2.嫌疑人李某是否可能有平板电脑装备,如有该装备型号是?
A. iPad Pro 11
B. Vivo Pad 2
C. MatePad Pro
D. Xiaomi Pad 6s
在无线毗连记录中可以看到毗连过一个pad,以是推测这个为嫌疑人平板电脑
D
3.嫌疑人李某手机开启热门设置的密码是?【答题格式:abc123】
在移动热门中也直接能看出来
5aada11bc1b5
4.嫌疑人李某的微信内部ID是?【答题格式:wxid_abc123】
wxid_wnigmud8aj6j12
5. 嫌疑人李某发送给技能人员的网站源码下载地点是什么【答题格式:http://www.baidu.com/adc】
在微信聊天记录里可以看到嫌疑人发过一个二维码
用手机扫描二维码可以出来这么一串佛文
如果做过misc的,根本都知道这是佛文隐写,在百度搜约佛论禅
可以大概找到该网页
将密文粘贴进入
就可以大概看到网址
http://www.honglian7001.com/down
这个题如果不知道佛文加密的话,在背面也还有一种办法看到,就是在浏览器浏览的收藏记录中可以看到收藏的地点大概在历史记录中
6.受害者微光荣户ID是?【答题格式:abc123】
在聊天记录中可以看到这位受害者
limoon890
7.嫌疑人李某第一次毗连WIFI的时间是?
A. 03-14 15:55:57
B. 03-14 16:55:57
C. 03-14 17:55:57
D. 03-14 18:55:57
可以看到就这一个无线毗连记录
跳转到源文件后,可以看到详细信息,可以大概看到毗连时间
B
8.分析嫌疑人李某的社交风俗,哪一个时间段消息收发最活跃?
A. 12:00-14:00
B. 14:00-16:00
C. 16:00-18:00
D. 18:00-20:00
可以看一下聊天记录,大部分会集在16:00-18:00
C
9、请分析嫌疑人手机,该案件团伙中,还有一名紧张到场者警方未抓获,该嫌疑人所使用的微信账号ID为?【答题格式:wxid_abc123】
wxid_kolc5oaiap6z22
10. 请分析嫌疑人手机,嫌疑人老板组织人员到场赌博活动,所使用的国内访问入口地点为?【答题格式:192.168.1.1:1000/abc】
在聊天记录中可以看到入口地点
192.168.110.110:8000/login
Windows镜像
1、分析技能员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?忽略大小写
FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
2、分析技能员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?忽略大小写
在虚拟机仿真后,在文档中能看到有很多东西,2024.fic大概率就是vc加密文件了
在文件中搜一下这个文件
B25E2804B586394778C800D410ED7BCDC05A19C8
3、据赵某供述,他会将常用的密码放置在一个文档内,分析技能员赵某的windows镜像,找到技能员赵某的密码字典,并计算该文件的SHA1值?忽略大小写
在容器文件底下就能看到一个txt文本文件,打开后可以大概看到是一个密码字典
同样在火眼中找到该文件,计算哈希
E6EB3D28C53E903A71880961ABB553EF09089007
4、据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?
这个照片上面写着一个密码,但是标题说了是隐写了,以是直接拖010中看
在文件末尾发现密码直接写在这上面了
qwerasdfzxcv
5、分析技能员赵某的windows镜像,bitlocker的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】
有了容器和密码,就可以直接挂上了
在容器中可以看到有恢复密钥
404052-011088-453090-291500-377751-349536-330429-257235
6、分析技能员赵某的windows镜像,bitlocker分区的起始扇区数是【答题格式:1024】
在分区详情中可以看到
146794496
7、分析技能员赵某的windows镜像,默认的浏览器是
A. Chrome
B. Edge
C. IE
D. firefox
在浏览器中可以看到默认浏览器Chrome
A
8、分析技能员赵某的windows镜像,私有聊天服务器的密码为【答题格式:abc123】
在解锁后的的磁盘中可以看到文档末尾有一个私有聊天室密码
Zhao
9、分析技能员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技能生成的举行赌博宣传的图片,该图片中,宣传的赌博网站地点为?【答题格式:www.baidu.com】
www.585975.com
10、分析技能员赵某的windows镜像,赵某使用的AI换脸工具名称为?
A. stable diffusion
B. ROOP
C. Midjourney
D. DiffusionDraw
在D盘中有五个文件夹,第四个名字和标题中的一个一样
进去看一眼,发现就是这个软件
B
11、分析技能员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】
在终端历史记录中可以大概看到有两条记录,打开看了一眼发现有一个output的照片,代表应该是输出照片名称
db.jpg
12、分析技能员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为【答题格式:20.12】
在刚才那个命令中可以看到参数值
0.85
13、分析技能员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式:abc.txt】
背面是输出照片,所从前面这个应该就是原始输入照片
14、分析技能员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地点为?【答题格式:http://www.baidu.com/1.html】
http://hi.pcmoe.net/buddha.html
15、分析技能员赵某的windows镜像,赵某架设聊天服务器的原始IP地点为?【答题格式:192.168.1.1】
在浏览器首页有几个网址,有嫌疑的就是三个ip地点
192.168.8.5这个ip在记录中是一个易有云,应该是一个云空间之类的
192.168.8.112这个ip是登录esxi的,以是他应该是服务器的
那就只剩下192.168.8.17了
在记录里能看到他举行过账户登录之类的
以是推断这个网址是聊天服务器
在微信聊天记录中,也看到了这个网址,是一个聊天的
192.168.8.17
16、分析技能员赵某的windows镜像,据赵某交代,其在窝点中直接利用服务器举行摆设,情况搭建好了之后,使用个人计算机登录聊天室举行沟通,请分析赵某第一次访问聊天室的时间为?
A. 2024-03-14 20:30:08
B. 2024-03-14 20:31:08
C. 2024-03-14 20:32:08
D. 2024-03-14 20:33:08
按照时间升序排列,可以看到第一次登录网站时间
2024-03-14 20:32:08
C
17、分析技能员赵某的windows镜像,openwrt的背景管理密码是
一开始不知道openwrt是啥,去百度搜了一下,看了一下,大概是软路由那一块的东西
以是大概也就是刚才那个易有云了
在网站密码生存中也能看到这个网站的用户名和密码
hl@7001
18、分析技能员赵某的windows镜像,嫌疑人可能使用什么云来举行文件存储?【答题格式:阿里云】
易有云
19、分析技能员赵某的windows镜像,工资表密码是多少【答题格式:abc123】
在bitlocker加密分区中,有一个名单,被加密了
之前挂载后有一个运维条记,他说密码备份都在之前的那个密码字典中
以是直接passware启动,用字典爆破
几秒就出答案了
aa123456
20、分析技能员赵某的windows镜像,张伟的工资是多少【答题格式:20】
第一个就是
28300
服务器集群题
1、esxi服务器的esxi版本为?【关键字得分,答题格式:1.2】
6.7
2、请分析ESXi服务器,该系统的安装日期为:
A. 2024年3月12日 星期二 02:04:15 UTC
B. 2024年3月12日 星期二 02:05:15 UTC
C. 2024年3月12日 星期二 02:06:15 UTC
D. 2024年3月12日 星期二 02:07:15 UTC
修改一下子网ip
然后登录到虚拟机中
A
3、请分析ESXi服务器数据存储“datastore”的UUID是?【答题格式:a1a1-b1b1-c1c1-d1d1】
esxcfg-volume -l 查看硬盘对应UUID
65efb8a8-ddd817f6-04ff-000c297bd0e6
esxcfg-volume -m <UUID> 挂载
- esxcfg-volume -m 65efb8a8-ddd817f6-04ff-000c297bd0e6
4、ESXI服务器的原IP地点?【答题格式:255.255.255.0】
192.168.8.112
5、EXSI服务器中共创建了几个虚拟机?【答题格式:1】
4
6、网站服务器绑定的IP地点为?【答题格式:255.255.255.0】
把所有的服务器都启动一下,然后此中两个是centos的,举行一下密码绕过,然后再www下面有几个IP地点,可以点进去看一下,在一个就能打开背景管理系统
192.168.8.89
7、网站服务器的登录密码为?【答题格式:abc123】
由于服务器是在www下面找到的,以是在火眼的www镜像下,破解/etc/shadow文件
照旧用之前电脑取证中的密码字典来破解
qqqqqq
8、网站服务器所使用的管理面板登岸入口地点对应的端口号为:【答案格式:1111】
在www账户上,可以直接查看宝塔面板
14131
9、网站服务器的web目录是?【答题格式:/etc】
在日志中可以大概看到解压到/webapp目录的利用
在/webapp中也能看到网站的详细设置信息
/webapp
10、网站设置中Redis的毗连超时时间为多少秒【答题格式:20】
在finalshell中打开webapp文件夹
可以大概看到有一个ruoyi-admin.jar的文件,将他下载下来并举行解压
在ruoyi-admin\BOOT-INF\classes中有一个application.yml的文件
10
11、网站普通用户密码中使用的盐值为【答题格式:123abc!@#】
在jadx搜刮密码就能找到该页面
!@#qaaxcfvghhjllj788+)_)((
12、网站管理员用户密码的加密算法名称是什么
A. des
B. Rsa芽孢杆菌
C. md5
D. bcrypt加密
D
Des为对称加密,一般不消做密码加密,解密需要密钥;
Rsa为非对称加密,一般也不消做密码而是密钥,结果一般为hex大概base64格式;
Md5常见密码加密策略,这个各人应该都熟,结果为16/32位hex;
Bcrypt常见密码加密策略,linux的shadow文件经典加密算法。特征为有多个$符号隔开。
13、网站超等管理员用户账号创建的时间是?
A. 2022-05-09 12:44:41
B. 2022-05-09 13:44:41
C. 2022-05-09 14:44:41
D. 2022-05-09 15:44:41
可以看到本地没有数据库
但是有docker
把他启动
账号密码在宝塔里
然后毗连一下数据库
在sys_user表中可以大概看到超等用户创建时间
c
14、重构进入网站之后,用户管理下的用户列表页面默认有多少页数据【答题格式:20】
网站一直502报错,那么接下来开始重构网站
以下是运维条记,在pc里能找到
- 1、ruo-yi配置
- 数据库IP
- 检查mysql连接语句
- SSL报错:
- mysql连接语句修改成
- useSSL=false
- redis报错:
- Localhost修改为127.0.0.1
- Based on configured schedule, the given trigger 'DEFAULT.TASK_CLASS_NAME105' will never fire.
- Never fire 定时任务插件执行时间问题
- Sys_job表修改cron_expression 的执行时间对上年份就行
- 登录受限 ->检查IP黑名单
- sys_config 表检查 login_ip_limit 值。
- 各种密码备份:
- commonPwd.txt
根据条记提示,先把127.0.0.1给链接到host文件
echo '127.0.0.1 localhost' > /etc/hosts
顺便cat一下看一下有没有成功
然后就可以去jar包里修改文件了
把url改成date ip
还有密码也改一下
然后再上传回源文件,看一下修改时间可以看出有没有修改成功
这个时候可以去数据库里,看Sys_job表
把底下这个日期改成和上面一样就好
最后
java -jar ruoyi-admin.jar
你就能看到
但是我背景照旧进不去,这卡了好久好久,一直说是登录限制,看运维手册,说是要看sys_config这个表
但我去了以后照旧没成功,最后才发现是由于这种系统内的设置,必须要重新设置,也就是还得再 java -jar ruoyi-admin.jar 一下才可以
最后替换一下密码,用admin进入
总算进来了
877
15、该网站的系统接口文档版本号为【答题格式:1.1.1】
3.8.2
16、该网站获取订单列表的接口【答题格式:/abc/abc】
/api/shopOrder
17、受害人卢某的用户ID【答题格式:11223344】
看之前的聊天记录
搜昵称
10044888
18、受害人卢某一共充值了多少钱【答题格式:123456】
465222
19、网站设置的单次抽奖价格为多少元【答题格式:20】
10
20、网站显示的总余额数是【答题格式:20.12】
7354468.56
21. 网站数据库的root密码
在火眼里有链接记录
可以大概毗连上
my-secret-pw
22、数据库服务器的利用系统版本是【答题格式:1.2.1234】
一种是在finalshell中直接看
大概在火眼设置信息里也有
7.9.2009
23、数据库服务器的Docker Server版本是【答题格式:1.10.0】
1.13.1
24、数据库服务器中数据库容器的完备ID是【答题格式:123abcd】
9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
25、数据库服务器中数据库容器使用的镜像ID【答题格式:123abcd】
照旧在上题的命令中
66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a
26、数据库服务器中数据库容器创建的北京时间
A. 2024/3/13 12:15:23
B. 2024/3/13 20:15:23
C. 2024/3/14 00:15:23
D. 2024/3/13 08:15:23
24题的id下面就是,但这个时间是零时区的得需要加8改成北京时间
B
27、数据库服务器中数据库容器的ip是【答题格式:255.255.255.0】
照旧上面信息中
IPAddress
172.17.0.2
28、分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是【答题格式:255.255.255.0】
看了一下数据库,在app_group_member表中应该是关于邀请的数据
select一下
- SELECT inviter_id, COUNT(*) AS invite_count
- FROM app_group_member
- GROUP BY inviter_id
- ORDER BY invite_count DESC
- LIMIT 10;
可以看到55320342这个id最多
在网站上搜一下,就能看到
182.33.2.250
29、分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是【答题格式:255.255.255.0】
- SELECT user_id, SUM(money) AS total_money
- FROM app_user_record
- WHERE notes = '抢群红包'
- GROUP BY user_id
- ORDER BY total_money DESC;
可以看到13107145这个id
43.139.0.193
30、数据库中记录的提现成功的金额总记是多少(不考虑手续费)【答题格式:20.12】
- SELECT SUM(amount) AS total_amount
- FROM app_user_withdraw
- WHERE status = 3;
35821148.48
31、rocketchat服务器中,有几个真实用户?【答题格式:1】
rocketchat的背景地点http://192.168.8.128:3000/home
账户密码都在计算机里
(密码的Z记得大写)
用户一共有四个,但第三个是类似小助手,以是一共三个人
3
32、rocketchat服务器中,聊天服务的端口号是?【答题格式:80】
登录网站就用的3000端口
3000
33、rocketchat服务器中,聊天服务的管理员的邮箱是?【答题格式:abc@abc.com】
就是账户,大概在资料里也可以看
admin@admin.com
34、rocketchat服务器中,聊天服务使用的数据库的版本号是?【答题格式:1.2.34】
在设置里可以大概看到
5.0.24
35、rocketchat服务器中,最大的文件上传大小是?(以字节为单位)【答题格式:1024】
设置里
104857600
36、rocketchat服务器中,管理员账号的创建时间为?
A. 2024/3/14 8:18:54
B. 2024/3/14 8:19:54
C. 2024/3/14 8:17:54
D. 2024/3/14 8:15:54
首先就得绕密,如安在 Debian 10 中重置忘记的 Root 密码该教程来绕密
用finalshell毗连一直弹登录密码
需要开启ssh允许root用户登录
找到PermitRootLogin然后改为yes
更新一下设置
然后用ssh隧道毗连表
B
37、rocketchat服务器中,技能员提供的涉诈网站地点是?【答题格式:http://192.168.1.1】
http://172.16.80.47
38、综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少【答题格式:10%】
35%
39、综合分析服务器,该团队“杀猪盘”收网的可能时间段为
A. 2024/3/15 15:00:00-16:00:00
B. 2024/3/15 16:00:00-17:00:00
C. 2024/3/15 17:00:00-18:00:00
D. 2024/3/15 18:00:00-19:00:00
B
40. 请综合分析,警方未抓获的紧张嫌疑人,其使用聊天平台时注册邮箱号为?【答题格式:abc@aa.com】
老苏未抓到
lao@su.com
41. 分析openwrt镜像,该系统的主机名为【答题格式:MyPC】
iStoreOS
42. 分析openwrt镜像,该系统的内核版本为【答题格式:12.34.56】
账号密码在pc里
然后登录进去可以大概查看
5.10.201
43. 分析openwrt镜像,该静态ip地点为【答题格式:192.168.1.1】
就是网址地点
192.168.8.5
44. 分析openwrt镜像,所用网卡的名称为【答题格式:abc123】
br-lan
45. 分析openwrt镜像,该系统中装的docker的版本号为【答题格式:12.34.56】
在docker版本可以大概看到
20.10.22
46. 分析openwrt镜像,nastools的设置文件路径为【答题格式:/abc/abc/abc】
/root/Configs/NasTools
47. 分析openwrt镜像,使用的vpn署理软件为【答题格式(忽略大小写):abc123】
PassWall2
48. 分析openwrt镜像,vpn实际有多少个可用节点【答题格式:6】
54
49、分析openwrt镜像,节点socks的监听端口是多少【答题格式:1234】
1070
50、分析openwrt镜像,vpn的订阅链接是【答题格式:http://www.baidu.com/aaa/bbb/ccc/ddd?privatekey=abc123456789】
https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a
到这也总算是全部复盘完毕了,在网站重构上花了很多时间,包括背面数据库地方也很费头脑,有问题多多指教
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
