admin管理员组文章数量:1570217
第一部分
案情简介
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警。警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包—zhibo.apk(检材一)。请对检材一进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。
(题目 中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例: 192.168.100.100-CAB2021)
检查哈希值
本次题目采用VeraCrypt加密容器发放,用VeraCrypt将检材解密,然后挂载,然后我们就得到了一个apk文件和一个检材二的压缩包。
容器密码:
2021第三届CAB-changancup
该文件的哈希校验值(MD5)如下:
检材一&二:206f967d6c7ae8477a849e7a7eeedc5e
检材三:99989bdb5720a41f412cd91d2ad76ea1
检材四:d8a7554372f4dc1028c4d2379268f701
检材五:a2ae74451931ea5b010d2df2a4abcb98
注意事项:
解密密码会在比赛前15分钟发放,请使用VC程序加载容器文件,并使用解密密码进行解密;
题目中需要通过分析出来的答案对检材二、三、四、五解密,检材二需要直接使用答案解压,检材三、四、五通过VC发放,解密密码为IP,需要在密码后增加一段盐值,该值会在比赛时题目里面有说明,请大家注意,例:192.168.100.100-salt。
第一题 请计算检材一Apk的SHA256值
使用windows自带的计算工具
certutil -hashfile 检材一-zhibo.apk sha256
3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a
第二题 该APK的应用包名为
使用GAD分析,得到
plus.H5B8E45D3
第三题该APK程序在封装服务商的应用唯一标识(APPID)为
唯一标识appid 是对apk的打包工具的记录 可以去调取注册打包工具人的详细信息
H5B8E45D3
可以使用雷电APP智能分析,直接得到,也可以了用jadx工具分析得到assets/data/dcloud_control.xml
第四题 该APK具备下列哪些危险权限(多选题):
A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信
第五题 该APK发送回后台服务器的数据包含一下哪些内容(多选题):
A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息
将该apk安装至模拟器,点击发现出现 “内涵一点”,直接用jadx搜索
进入该html发现一段代码,使用sojson.v4加密,解密
https://ctf.bugku/tool/sojson4
解密得到
A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息
第六题 该APK程序回传通讯录时,使用的http请求方式为()
抓包得到POST
第七题该APK程序的回传地址域名为【标准格式:www.abc】
见上
www.honglian7001
第八题 该APK程序代码中配置的变量apiserver的值为(后面不带/)
见5题sojson.v4解密
www.honglian7001/api/uploads
var apiserver ='http://www.honglian7001/api/uploads/';
第九题 分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为【标 准格式:www.abc/abc】
在代码60行左右能看到发送通讯录的代码
mui.ajax(apiserver +'apisms',
www.honglian7001/api/uploads/apisms
第十题 经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为
使用雷电APP分析的Frida脚本里的SQLite数据库,即可得到数据库名为
test.db
第十一题 经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为
同上题,也可得到初始密码为:
c74d97b01eae257e44aa9d5bade97baf
第二部分
用第7题的答案解压缩检材二
www.honglian7001
将检材二使用火眼仿真软件仿真出来
第十二题 检材二的原始硬盘的SHA256值为
E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589
第十三题 查询涉案于案发时间段内登陆服务器的IP地址为
进入之后 尝试history,发现命令比较少,使用下面的命令 转到root用户下,发现较多的history 可以使用重定向 将其导出
su root
根据检材背景资料1得知,报案人是在21年4月25日报警的,所以查看4月25日之前登陆的IP,使用last命令看到ip是
192.168.110.203
第十四题 请对检材二进行分析,并回答该服务器在集群中承担的主要作用是()【格式:文件存储】
负载均衡
第十五题 上一题中,提到的主要功能对应的服务监听的端口为:
80
cd /opt/honglianjingsai/chronusNode/
cat const.js
第十六题 上一题中,提到的服务所使用的启动命今为:
在history中,也可以查看readme
node app.js
第十七题 经分析,该服务对于请求来源IP的处理依据是()位进行判断【标准格式:9】
3
cd /opt/honglianjingsai/chronusNode/controller
cat ADProxy.js
第十八题 经分析,当判断条件小于50时,服务器会将请求转发到IP为()的服务器上【标准格式:111.111.111.111】
cat ADProxy.js
192.168.110.111
第十九题 分析,该服务器转发的目标服务器共有台【标准格式:9】
3台 同上
vi /etc/sysconfig/network-scripts/ifcfg-ens33
第二十题 请分析,受害者通讯录被获取时,其设备IP地址为
192.168.110.252
cd /opt/honglianjingsai/chronusNode/logs
ll
发现4.24日志只有一个
cat 2021-4-24-6-26.log
第二十一题 请分析,受害者通讯录被获取后,经由该服务器转发到了IP为()的服务器上
192.168.110.113
第三部分
下面挂载检材三:
用21题的答案加上盐值-CAB2021,也就是
192.168.110.113-CAB2021
有三个web服务器,但只有其中一个有额外信息,也就是web3,因为他是IP地址大于100的,也就是本次诈骗所用的IP,在里面我们能找到更多的信息。火眼仿真和火眼取证一起上。
输入bt 发现有宝塔面板
内网面板地址登录
http://192.168.110.113:8888/12345678
账号为hl123
选项5,修改新密码为123456
第二十二题 检材三的原始硬盘的SHA256值为:
请分析第21题中,所指的服务器的开机密码为:
205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF
第二十三题 请分析第21题中,所指的服务器的开机密码为:
在第四部分使用火眼分析
honglian7001
第二十四题 嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为:
hl123
链接宝塔时需要将本地虚拟机 虚拟网络编辑器 调整至110网段,并关掉DHCP,也可以链接finalshells
连接finalshell,修改密码
登陆成功
第二十五题 请分析用于重置宝塔面板密码的函数名为
set_panel_pwd()
宝塔面板重置网站密码功能调用的是tools.py
(由老版本宝塔充值密码命令可知:cd /www/server/panel && python tools.py panel testpasswd)
分析tools.py
cat /www/server/panel/tools.py
第二十六题 请分析宝塔面板登陆密码的加密方式所使用的哈希算法为
md5
在tools.py中使用vi搜索功能 /set 按n键进行跳转,找到函数
第二十七题 请分析宝塔面板对于其获认用户的密码一共执行了儿次上题中的哈希算法
3次,(初始一次MD5,后来又有两次MD5拼接)
cat /www/server/panel/class/public.py
可以使用vi /www/server/panel/class/public.py或者下载该文件
搜索salt
第二十八题 请分析当前宝塔面板在加密过程中使用的salt值为【区分大小写】
v87ilhAVumZL
cd /www/server/panel/data
发现default.db文件,将其下载,使用navicat打开,发现salt值
第二十九题 请分析该服务器,网站源代码所在的绝对路径为
/www/wwwroot/www.honglian7001
第三十题 请分析,网站所使用的数据库位于IP为()的服务器上,请使用该IP解压检材5,并重构网站
192.168.110.115
/www/wwwroot/www.honglian7001/app/databae.php
第三十一题 请分析数据库的登陆密码为
wxrM5GtNXk5k5EPX
第三十二题 请尝试重构该网站,并指出,该网站的后台管理界面的入口为【标准格式:/web】
参考网站
https://blog.csdn/qq_51233573/article/details/122668215
/admin
用第30题答案去vc加载检材5,加载密码:
192.168.110.115-CAB2021
加载完成之后将其使用FTK挂载,可读可写
然后进行RAID重组
创建块虚拟RAID和自动检测——将刚挂载的盘符拖动至父,然后自动检测
点击创建镜像,逐字节镜像,生成虚拟块 RAID 2.dsk
使用火眼睛仿真对其进行仿真
这时候访问,之前访问本地访问这个界面 因为没有连接数据库所以这里看不到界面
http://192.168.110.113/admin/common/login.shtml
第三十三题 .已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】
将其源码拖出来审计一下 找到其定义密码的函数找到其salt值
lshi4AsSUrUOwWV
/www/wwwroot/www.honglian7001/app/admin
第三十四题 请分析该网站的管理员用户的密码为
在下面日志文件中可以找到
security
\www.honglian7001\runtime\log\202104\24.log
第三十五题 在对后台账号的密码加密处理过程中,后台一共计算几次哈希值
三次
如果找不到密码 可以连接数据库,重置密码,将12345加密成MD5替换
连接时,发现空用户导致连接数据库无法连接
第一种方法:
vi /etc/myf
在[mysqld]后面任意一行添加“skip-grant-tables”用来跳过密码验证的过程
点击ESC 使用 :wq!保存并退出
使用 service mysqld restart 重启MySQL服务
免密码登陆(注:敲入 mysql -u www_honglian7001 -p 命令然后回车,当需要输入密码时,直接按enter键,便可以不用密码登录到数据库当中)
第二种方法,直接可以使用mysql的SSH连接,使用ssh的账号和密码连接
登陆成功
第三十六题 请统计,后台中,一共有多少条设备记录
6002
第三十七题 请通过后台确认,本案中受害者的手机号码为
这里要注意时区 检材二也就是负载均衡服务器是utc时区,检材二中的日志记录情况 在2021.4.24 6:37(utc时间)左右上传了通讯录 其对应的utc+8时间应为 当日14:37左右手机型号也能对上 由此可以得到受害者手机号码
186644099137
第三十八题 请分析,本案中受害者的通讯录一共有多少条记录
34
第四部分
通过对检材二和三进行分析,警方通过IP落地,警方掌成功抓获犯罪嫌疑人,现将嫌疑人的PC机和手机进行了取证,分别制 作了镜像,请使用第13题的答案对检材四进行解密,并回答下列问题
192.168.110.203-CAB2021
第三十九 请计算检材四-PC的原始硬盘的SHA256值
E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B
第四十题 请分析,检材四-PC的Bitlocker加密分区的解密密钥为
使用取证大师分析
511126-518936-161612-135234-698357-082929-144705-622578
使用密钥串进行解密
然后点击上方自动取证,重新使用取证大师进行取证
第四十一题 请分析,检材四-PC的开机密码为
12306
MD5解密
38a236fbdf9d8e7f074fede16cafe250
或者将恢复密钥填进火眼仿真中,即可自动获取PC的开机密码
第四十二题 经分析发现,检材四-PC是嫌疑人用于管理服务器的设备,其主要通过哪个浏览器控制网站后台
Google Chrome
第四十三题 请计算PC检材中用户目录下的zip文件的sha256值
0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3
找到该文件,点击上面工具 哈希计算
第四十四题 请分析检材四-phone,该手机的IMEI号为
使用火眼证据分析软件分析手机镜像
868668043754436
868668044204431
第四十五题 请分析检材四-phone,嫌疑人和本案受害者是通过什么软件开始接触的
伊对
第四十六题 请分析检材四-phone,受害者下载恶意APK安装包的地址为
https://cowtransfer/s/a6b28b4818904c
第四十七题 请分析检材四-phone,受害者的微信内部ID号为
wxid_op8i06j0aano22
第四十八题 请分析检材四-phone,嫌疑人用于敲诈本案受害者的QQ账号为
1649840939
第四十九题 请综合分析,嫌疑人用于管理敲诈对象的容器文件的SHA256值为
导出前面提到的“我的赚钱工具”,尝试使用12306进行解密压缩包,得到一个虚拟机镜像,用虚拟机打开,发现有开机密码,使用仿真软件加载(选择那个不带后缀0002的镜像),得到密码money
寻找一番无果,发现有快照,还原快照
点开我的电脑,点击快速访问,发现有一个叫 小白鼠 的文件,密钥文件为key.zip,之后用VeraCrypt进行解密
计算小白鼠的SHA256得,也可以在取证大师中加载虚拟机文件
9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608
容器加载完成
第五十题 请综合分析嫌疑人检材,另外一受害者“郭先生”的手机号码为
打开郭先生的文件夹
15266668888
第五十一题 通过嫌疑人检材,其中记录了几位受害者的信息
5
第五十二题 请使用第11题的密码解压“金先生转账.zip”文件,并对压缩包中的文件计算SHA256值
解压密码
c74d97b01eae257e44aa9d5bade97baf
SHA256
cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510
命令
certutil -hashfile 金先生转账.jpg sha256
第五十三题 请综合分析,受害者一共被嫌疑人敲诈了多少钱(转账截图被隐藏在多个地方)
6600
支付宝提醒助手里面
伊对 金先生聊天记录里面
微信聊天记录里面
虚拟机压缩包里面
数据库里面,找到我的账单 右键保存数据为1.jpg
600+1000+2000+2000+1000=6600
也可以移步至公众号:flyable
版权声明:本文标题:2021年长安杯电子数据取证比赛复盘完整版(wp) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1727660978a1124242.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论