2022美亚杯资格赛——个人wp 新手向

admin管理员组

文章数量:1647851

 笔者在CSDN的第一篇博客，如有不足，欢迎提出。

入门不到半年做的第三套取证题目，整体来说比较简单，就是比较费时间，尤其是在搓数据库的时候，很费劲。中间有数道题是手机的取证，弘连分析不出来（主要就是邮箱软件），但是我盘古石的许可不知道为什么过期了，就没做出来，不知道有没有硬翻数据库的做法。最后的数据库要远程连接，但是不知道为什么我仿真的虚拟机没有IP，设静态IP也不行，也很可惜没做。

现在回头复盘，其实把题目做出来不难，主要是一些知识点涉及的很浅，比如网站的重构，docker的启动，仿真绕过等等，有些压根就没有，丢给弘连就好了；还有的题直接全局搜索，然后放着做后面的题就行了。所以只要有耐心，慢慢做，做出来是没问题的。

有附件和案件说明，笔者不在此一一赘述了。在此附上网站，提供下载链接和题目——https://cn-sec/archives/1408102.html#google_vignette

1. [单选题]王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分) C

A. 宝玉已是三杯过去了

B. 武松那日早饭罢

C. 卿有何妙计

D.就除他做个弼马温罢

很诡异，“这本”电子书是哪本我怎么知道，做到最后一题才明白。详见最后一道题

2. [多选题]王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括? (2分)  AD

A. 青衣

B. 康城

C. 红磡

D. 沙田

E. 尖沙咀

一开始发现没有MTR Mobil这个程序，可能是火眼没有解析出来。只能直接去检索，发现确实有这么一个文件

这里我想岔了，以为真的有一个叫Database的文件，结果并没有。还好题目设计的简单，很快就能找到几个.db的文件，对照时间，发现符合的数据库，而且发现该数据库有BOOKMARK的列

这里发现有两个都是书签，但是一个先加入，一个后加入。文件最后的修改时间就是加入时间，所以后加入书签的应该是正确答案，也可以通过转换时间来验证。

3. [填空题]王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答) (1分)  90

这里应该限制修改时间

4. [单选题]检视王晓琳的手机照片，她于2022年10月2日到过什么地方? (1分)  A

A. 城门畔塘径

B. 大榄麦理浩径

C. 大潭郊游径

D. 京士柏卫理径

我一开始还以为要靠搜图来定位，结果人家拍了一张地图

5. [单选题]李大辉使用的是一台LG V10的手机，它的型号是什么? (1分)  C

A. LGH961C

B. LGH960H

C. LGH961N

D. LGH961D

E. LGH960C

6. [单选题]李大辉的手机最常搜索的类别 (Category) 是什么? (1分)  C

A. 旅游

B. 运动

C. 护肤品

D. 学校

7. [填空题]李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答) (1分)

做这道题应该是要找聊天记录、邮件或者是图片，但是没找到

8. [单选题]李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么? (1分)

A. https://bit.ly/3yeARc0

B. https://bit.ly/5vM12

C. 以上皆非

D. http://bit.ly/Hell0

没搜到，只能猜他点过这个钓鱼链接

9. [单选题]承上题，这封电邮是从哪个电邮地址寄出的? (1分)

A. Cavinchow456@yahoo

B. 2020ChanChan@hotmail

C. 以上皆非

D. 30624700Peter@proton.me

10. [单选题]承上题，寄出这封电邮的IP地址是? (2分)

A. 65.54.185.39

B. 10.13.105.56

C. 以上皆非

D. 58.152.110.218

11. [单选题]李大辉手机有一个 'order.xlsx' 的档案被加密了，解密钥匙是什么? (1分)  B

A. 20221101

B. Nov2022!

C. 2022_Nov!

D. P@ssw0rd!

很有意思，取证大师竟然跑出来有问题的照片，里头就有密码

12. [填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序 'KMB 1933'， 哪一枝街灯在经度 (Latitude) 22.4160270000， 纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)  近灯柱CE1453

检索KMB，发现只有可能从.db中获取信息，导出查看，找到有经纬度的表

13. [填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名) (2分) 20220922_152622.jpg

合理怀疑就是那张带密码的图片，因为当时瞄了一眼，它的时间格格不入

很有意思的是取证大师认为这张照片拍摄于2008年，搞笑的是lg-h961n发布于2015

其实弘连也能验证，因为拍摄时间和修改时间不一样

14. [单选题]分析李大辉的手机里的资料，他在哪一间公司工作? (2分)  C

A. 步步高贸易公司

B. 盛大国际有限公司

C. 美丽好化妆品公司

D. 永恒化妆品公司

加密文件里头有送货地址

和加密文件放在一起的

15. [填空题]林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)   G-785186

Google的短信验证码刚好只有这一条

16. [填空题]林浚熙手机的 'WhatsApp' 号码是什么? ( 号 码 ) @s.whatsapp? (以阿拉伯数字回答) (1分)  85259308538

17. [单选题]通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳? (1分)  D

A. 郊野公园

B. 游泳池

C. 交通工具

D. 酒店房间

首先在他手机里头找，发现只有一堆办公室的照片，只有最近删除里头有一张看起来像酒店的照片。后来找到他和Liu Lam的聊天记录，里头也有一张。

18. [填空题]林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)  IMG_0444JPG

就是刚刚找到的删除的那张

19. [填空题]王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如F0A1C5E1) (2分)  D0 CF 11 E0

文件签名就是指文件头，放到winhex里头就好了

20. [填空题]承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答) (2分)

WONG SAI PING

两种方法来看这个档案：

1.改文件名

上面这个文件头是常见的，改成xls就能打开（其实上面人家也提醒了这是excel文件）

2.直接通过弘连预览（直接预览不行，非得“回到原始位置”）

另一个聊天记录里头有对应的名字

21. [单选题]分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方? (2分)  B

A. 荃湾站

B. 沙田站

C. 以上皆非

D. 国际金融中心二期

能看到的只有waze和地址有关的，但是弘连上的时间都没有和17号相关的，只能导出原数据库查看。时间看“end time”，还是用时间戳转换。

22. [填空题]承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159) (2分)

124500

23. [填空题]于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)  IMG_0730.HEIC

一开始是想着看其他应用里出现的照片，再看他手机里是否有这些照片，但是我不知道怎么执行这个操作，就没别的思路了。但是下一题提示了应该看数据库。

根据下一题，很遗憾，来源以外的照片还是很多，但是com.apple.sharingd是苹果的共享功能，而com.apple.springboard是负责处理桌面图标的，这样就又排除了一部分。
这里还有四个可能的选项，那我就只能找不同了。发现其中一项的两个属性与其它三个不同

其中一个gpshorizontalaccuracy好像能确定问题

说明这照片离设备有2000米左右，大概率就不是本机拍的了

24. [单选题]根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)  B

A. ZIMPORTEDFROMSOURCEIDENTIFIER

B. ZIMPORTEDBYBUNDLEIDENTIFIER

C. ZRECEIVEMETHODIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

很抽象，因为表实在太多了，没有经验和直觉得翻译表名才能确定是哪张表里放相关数据。

25. [单选题]承上题，这张照片通过什么方式接收? (2分)  B

A. WhatsApp软件传送

B. 以上皆非

C. 蓝牙传送

D. Signal软件传送

E. 网页下载

26. [填空题]承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (3分)  IMG_0730.HEIC

这里就很难受了，因为我只有原本的名字，上面的题也写了原本的名字

27. [填空题]林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)  HALO和今天

只看弘连是不知道哪个是上锁文件，只能找源文件，发现有对应的数据库

然后又是喜闻乐见的找不同，发现有ZIPASSWORDPROTECTION是不同的，那就很明显了

28. [填空题]承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答) (2分)

34567

随便猜的，根本不知道要干什么。

29. [单选题]林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)  C

A. Windows 10 Pro 22H2

B. Windows 10 Home 21H2

C. Windows 10 Pro for Workstations 21H2

D. Windows 10 Pro for Workstations 21H1

仿真一下，win+r：winver

30. [填空题]林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白，以大写英文及阿拉伯数字回答) (1分) EXPRESSVPN

直白的在桌面上

31. [填空题]承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络? (如答案为 2022-12-29，需回答 20221229) (2分)  9.15

系统日志

32. [填空题]检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如BITCOIN) (1分)  BITCOIN

又是摆在桌面上，electrum是比特币的钱包

33. [填空题]林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (2分)  tellaw_ieh

34. [多选题]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)  ACDE

A. Tor Browser

B. Opera

C. Google Chrome

D. Internet Explorer

E. Microsoft Edge

跑出来的

35. [单选题]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)  C

A. https://mail.google/mail

B. https://web.whatsapp

C. https://gmail

D. https://facebook

 36. [多选题]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)  ABCD

A. docker image教学

B. tor教学

C. php sql教学

D. electrum教学

E. javascript教学

直接过滤历史记录即可

37. [单选题]林浚熙的计算机安装了一个通讯软件 'Signal'，它的用戶資訊儲存路径是什么? (1分)  A

A. UsersHEIAppDataRoamingSignal

B. Program Files (x86)Signal

C. UsersHEIDesktopSignal

D. UsersuserRoamingSignal

跳转原文件

38. [填空题]通讯软件 'Signal' 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分) DBSQLITE

同上一题

39. [填空题]承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答) (3分)  4

40. [填空题]林浚熙在 'Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)   85270711901

-852 是香港的国际区号

41. [多选题]承上题，两人在 'Signal' 的对话中有些讯息 (Message) 包含附件，这些讯息的 'ID' 包括? (2分)

A. 46a8762b-78ea-49aa-a6f5-b24975ec189f

B. 9729bf92-ab9c-45f7-8147-66234296aele

C. 5b9650fe-3bb6-4182-9900-f56177003672

D. 47233ffe-1a73-4b3d-b97c-626246ec3129

我的电脑导出数据库不知道为什么打不开，有点可惜做不了这道题

42. [填空题]承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)  N91088774024

43. [单选题]林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)  A

A. 1

B. 2

C. 4

D. 3

44. [单选题]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)  A

A. UsersPublicDocumentsVirtual Machines

B. Program FilesVirtual Machines

C. UserHEIRoamingVirtual Machines

D. UsersHEIDocumentsVirtual Machines

跳转源文件

45. [单选题]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)  D

A. Ubuntu 22.04.1 LTS

B. CentOS Linux release 7.6.1810(Core)

C. CentOS Linux 7.5.1804 (Core)

D. Ubuntu 20.04.5 LTS

能通过驱动来看

46. [多选题]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)  CD

A. man

B. admin

C. root

D. ftpuser

E. nobody

这里想着进到虚拟机里头去看，但是没法直接在虚拟机里启动。所以导出仿真，注意，要仿真的盘应该是.vmdk格式的文件。（这里应该是有密码要绕过的，直接丢给弘连了）

方法一：仿真查看

在/etc/vsftpd.chroot_list即可查看，但这样好像并不准确。vsftpd.chroot_list 文件包含一个用户列表，每行一个用户名。如果用户在这个列表中，那么他们在登录 FTP 服务器后不会被限制在他们的主目录（即不会被 “chroot”）。这只是一个特定的表。

方法二：直接分析

但这里其实有坑，因为在历史命令里头可以看到root用户编辑了ftpusers这个文件，而这个文件是禁止用户使用ftp的。这里可以看到root被注释掉了，所以也是ftp用户。

47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)  AE

A. APACHE

B. WORDPRESS

C. LIGHTTPD

D. IIS

E. NGINX

一目了然

48. [单选题]网页服务器目录内有图片档案，而此档案的储存位置是? (1分)  C

A. /var/www/post

B. /var/www/html/post/vendor

C. /var/www/html/post/css

D. /var/www/html/post

E. /var/www/html/post/src

直接在虚拟机里访问这些路径即可，这道题是变相的告诉网站路径。

49. [单选题]分析网页服务器的网站数据，假网站的公司名称是什么? (1分)  B

A. Global Logistics

B. Krick Post Global Logistics

C. Krick Global Logistics

D. Krick Post

网站目录下的图片

50. [单选题]检视假网站首页的显示， 'AY806369745HK' 代表什么? (1分)  C

A. 邮件收费号码

B. 邮件序号

C. 邮件号码

D. 邮件参考号码

检索一下

51. [填空题]分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分) vu.txt

代码审计，发现输入以后到process.php，传递参数开始写文件，文件名就叫vu.txt

52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)  AB

A. 产生档案

B. 发出邮件

C. 改变函数

D. 更新数据库

可以看到，除了上面的写文件，还发送了邮件

53. [填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)

rtatsceucpacocbdacs

54. [多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)  ABE

A. 电话号码

B. 短讯验证码

C. 信用卡号码

D. 电邮地址

E. GPS位置

这里就是要收集的信息

55. [填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)  5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56. [填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)  3306

57. [填空题]Docker容器 'mysql'，用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)  2wsx3edc

常规的docker启动办法：先查看配置的历史记录，查看配置文件，查看启动命令，再进行启动，启动后进入容器，若仍无法登录，skip跳表绕过等方法，跳表后可取出加密后的登录密钥串，可进行爆破获取确切的登陆密码。

这里直接就能看到登陆历史

58. [填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)

59. [填空题]检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229) (3分)

这两道题需要navicat连接mysql，但是不知道为什么我仿真出来的虚拟机没有ip地址，花了很久时间也没有解决。

60. [多选题]通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案? (5分)  ABD

A. 勒索金钱

B. 诈骗

C. 抢劫

D. 购买毒品

E. 传送儿童色情物品

在电脑上买了毒品，前面构建钓鱼网站诈骗，还有一开始偷拍HR勒索钱财

61. [填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)  352978115584444

不知道怎么回事我这里有两个IMEI号

62. [多选题]王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)  ACE

A. WhatsApp

B. QQ

C. 微讯 (WeChat)

D. LINE

E. Signal

在应用列表里一个一个过滤才是最保险的

63. [单选题]王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答) (1分)  C

A. 2022-10-01 17:39:53

B. 2022-09-30 18:30:28

C. 2022-09-30 17:39:53

D. 2022-10-01 16:30:22

一个一个翻，在WhatsApp传过两个，对应时间的话应该是第二个，也就是当初发给嫌疑人那个假pdf真excel

64. [填空题]承上题，这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)  AE0D6735BBE45B0B8F1AB7838623D9C8

导出来跑一下

65. [单选题]王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)

A. 85259308538

B. 85269707307

C. 85297663607

D. 85246427813

跳转到源文件

66. [多选题]王晓琳发出这个 'PDF' 档案的原因是什么? (1分)  C

A. 分享档案内容

B. 错误发出

C. 寻求协助

D. 无法开启

遇到问题

67. [单选题]承上题，分析王晓琳与上述用户的对话，他们的关系是什么? (1分)  D

A. 师生

B. 家人

C. 客户

D. 同事

68. [单选题]王晓琳于何时要求上述用户删除一张照片? (1分)  D

A. 2022-09-28

B. 2022-09-30

C. 2022-10-06

D. 2022-10-03

69. [单选题]承上题，该用户向王晓琳提出什么要求以删除这张照片? (1分)  C

A. 毒品

B. 性服务

C. 金钱

D. 加密货币

70. [单选题]王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)  C

A. 红楼梦

B. 水浒传

C. 三国演义

D. 西游记

做这道题的方法有很多，反正我都没想到就是了，因为我觉得她会用.txt来阅读。实际上应该是用了iBooks的软件，再跳到源文件夹慢慢翻，当然全局搜索最开始的四个选项也可以就是了。

47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)  AE

A. APACHE

B. WORDPRESS

C. LIGHTTPD

D. IIS

E. NGINX

一目了然

48. [单选题]网页服务器目录内有图片档案，而此档案的储存位置是? (1分)  C

A. /var/www/post

B. /var/www/html/post/vendor

C. /var/www/html/post/css

D. /var/www/html/post

E. /var/www/html/post/src

直接在虚拟机里访问这些路径即可，这道题是变相的告诉网站路径。

49. [单选题]分析网页服务器的网站数据，假网站的公司名称是什么? (1分)  B

A. Global Logistics

B. Krick Post Global Logistics

C. Krick Global Logistics

D. Krick Post

网站目录下的图片

50. [单选题]检视假网站首页的显示， 'AY806369745HK' 代表什么? (1分)  C

A. 邮件收费号码

B. 邮件序号

C. 邮件号码

D. 邮件参考号码

检索一下

51. [填空题]分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分) vu.txt

代码审计，发现输入以后到process.php，传递参数开始写文件，文件名就叫vu.txt

52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)  AB

A. 产生档案

B. 发出邮件

C. 改变函数

D. 更新数据库

可以看到，除了上面的写文件，还发送了邮件

53. [填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)

rtatsceucpacocbdacs

54. [多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)  ABE

A. 电话号码

B. 短讯验证码

C. 信用卡号码

D. 电邮地址

E. GPS位置

这里就是要收集的信息

55. [填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)  5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56. [填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)  3306

57. [填空题]Docker容器 'mysql'，用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)  2wsx3edc

常规的docker启动办法：先查看配置的历史记录，查看配置文件，查看启动命令，再进行启动，启动后进入容器，若仍无法登录，skip跳表绕过等方法，跳表后可取出加密后的登录密钥串，可进行爆破获取确切的登陆密码。

这里直接就能看到登陆历史

58. [填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)

59. [填空题]检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229) (3分)

这两道题需要navicat连接mysql，但是不知道为什么我仿真出来的虚拟机没有ip地址，花了很久时间也没有解决。

60. [多选题]通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案? (5分)  ABD

A. 勒索金钱

B. 诈骗

C. 抢劫

D. 购买毒品

E. 传送儿童色情物品

在电脑上买了毒品，前面构建钓鱼网站诈骗，还有一开始偷拍HR勒索钱财

61. [填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)  352978115584444

不知道怎么回事我这里有两个IMEI号

62. [多选题]王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)  ACE

A. WhatsApp

B. QQ

C. 微讯 (WeChat)

D. LINE

E. Signal

在应用列表里一个一个过滤才是最保险的

63. [单选题]王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答) (1分)  C

A. 2022-10-01 17:39:53

B. 2022-09-30 18:30:28

C. 2022-09-30 17:39:53

D. 2022-10-01 16:30:22

一个一个翻，在WhatsApp传过两个，对应时间的话应该是第二个，也就是当初发给嫌疑人那个假pdf真excel

64. [填空题]承上题，这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)  AE0D6735BBE45B0B8F1AB7838623D9C8

导出来跑一下

65. [单选题]王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)

A. 85259308538

B. 85269707307

C. 85297663607

D. 85246427813

跳转到源文件

66. [多选题]王晓琳发出这个 'PDF' 档案的原因是什么? (1分)  C

A. 分享档案内容

B. 错误发出

C. 寻求协助

D. 无法开启

遇到问题

67. [单选题]承上题，分析王晓琳与上述用户的对话，他们的关系是什么? (1分)  D

A. 师生

B. 家人

C. 客户

D. 同事

68. [单选题]王晓琳于何时要求上述用户删除一张照片? (1分)  D

A. 2022-09-28

B. 2022-09-30

C. 2022-10-06

D. 2022-10-03

69. [单选题]承上题，该用户向王晓琳提出什么要求以删除这张照片? (1分)  C

A. 毒品

B. 性服务

C. 金钱

D. 加密货币

70. [单选题]王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)  C

A. 红楼梦

B. 水浒传

C. 三国演义

D. 西游记

做这道题的方法有很多，反正我都没想到就是了，因为我觉得她会用.txt来阅读。实际上应该是用了iBooks的软件，再跳到源文件夹慢慢翻，当然全局搜索最开始的四个选项也可以就是了。

47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)  AE

A. APACHE

B. WORDPRESS

C. LIGHTTPD

D. IIS

E. NGINX

一目了然

48. [单选题]网页服务器目录内有图片档案，而此档案的储存位置是? (1分)  C

A. /var/www/post

B. /var/www/html/post/vendor

C. /var/www/html/post/css

D. /var/www/html/post

E. /var/www/html/post/src

直接在虚拟机里访问这些路径即可，这道题是变相的告诉网站路径。

49. [单选题]分析网页服务器的网站数据，假网站的公司名称是什么? (1分)  B

A. Global Logistics

B. Krick Post Global Logistics

C. Krick Global Logistics

D. Krick Post

网站目录下的图片

50. [单选题]检视假网站首页的显示， 'AY806369745HK' 代表什么? (1分)  C

A. 邮件收费号码

B. 邮件序号

C. 邮件号码

D. 邮件参考号码

检索一下

51. [填空题]分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分) vu.txt

代码审计，发现输入以后到process.php，传递参数开始写文件，文件名就叫vu.txt

52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)  AB

A. 产生档案

B. 发出邮件

C. 改变函数

D. 更新数据库

可以看到，除了上面的写文件，还发送了邮件

53. [填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)

rtatsceucpacocbdacs

54. [多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)  ABE

A. 电话号码

B. 短讯验证码

C. 信用卡号码

D. 电邮地址

E. GPS位置

这里就是要收集的信息

55. [填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)  5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56. [填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)  3306

57. [填空题]Docker容器 'mysql'，用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)  2wsx3edc

常规的docker启动办法：先查看配置的历史记录，查看配置文件，查看启动命令，再进行启动，启动后进入容器，若仍无法登录，skip跳表绕过等方法，跳表后可取出加密后的登录密钥串，可进行爆破获取确切的登陆密码。

这里直接就能看到登陆历史

58. [填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)

59. [填空题]检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229) (3分)

这两道题需要navicat连接mysql，但是不知道为什么我仿真出来的虚拟机没有ip地址，花了很久时间也没有解决。

60. [多选题]通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案? (5分)  ABD

A. 勒索金钱

B. 诈骗

C. 抢劫

D. 购买毒品

E. 传送儿童色情物品

在电脑上买了毒品，前面构建钓鱼网站诈骗，还有一开始偷拍HR勒索钱财

61. [填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)  352978115584444

不知道怎么回事我这里有两个IMEI号

62. [多选题]王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)  ACE

A. WhatsApp

B. QQ

C. 微讯 (WeChat)

D. LINE

E. Signal

在应用列表里一个一个过滤才是最保险的

63. [单选题]王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答) (1分)  C

A. 2022-10-01 17:39:53

B. 2022-09-30 18:30:28

C. 2022-09-30 17:39:53

D. 2022-10-01 16:30:22

一个一个翻，在WhatsApp传过两个，对应时间的话应该是第二个，也就是当初发给嫌疑人那个假pdf真excel

64. [填空题]承上题，这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)  AE0D6735BBE45B0B8F1AB7838623D9C8

导出来跑一下

65. [单选题]王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)

A. 85259308538

B. 85269707307

C. 85297663607

D. 85246427813

跳转到源文件

66. [多选题]王晓琳发出这个 'PDF' 档案的原因是什么? (1分)  C

A. 分享档案内容

B. 错误发出

C. 寻求协助

D. 无法开启

遇到问题

67. [单选题]承上题，分析王晓琳与上述用户的对话，他们的关系是什么? (1分)  D

A. 师生

B. 家人

C. 客户

D. 同事

68. [单选题]王晓琳于何时要求上述用户删除一张照片? (1分)  D

A. 2022-09-28

B. 2022-09-30

C. 2022-10-06

D. 2022-10-03

69. [单选题]承上题，该用户向王晓琳提出什么要求以删除这张照片? (1分)  C

A. 毒品

B. 性服务

C. 金钱

D. 加密货币

70. [单选题]王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)  C

A. 红楼梦

B. 水浒传

C. 三国演义

D. 西游记

做这道题的方法有很多，反正我都没想到就是了，因为我觉得她会用.txt来阅读。实际上应该是用了iBooks的软件，再跳到源文件夹慢慢翻，当然全局搜索最开始的四个选项也可以就是了。

本文标签： 资格赛美亚新手wp