2024盘古石杯初赛 复盘 学习记录

通过这一次 学习到了很多 复盘主要是看大佬的wp  主要是这一篇wp 

感觉真的看完之后能学习到很多知识 然后尝试站在巨人肩膀上重新做一遍 

还是金星路的师傅np！！！

如果有什么好的思路 球球大佬畅所欲言

以后还会经常来复习的！！

服务器取证部分

1.

查看ip地址以及端口 ip是192.168.48.133  

发现开放的端口有8065 一个不太寻常的端口 浏览器访问一下看

发现是一个及时通讯的网站 所以端口是8065

2.

通过上面ip a的命令发现有docker

进入docker命令行

发现连接的数据库        然后就直接输入chaxun

版本是12.18

3.

输入命令

docker inspect 64 | grep -i 'db' -C 10

找到了对应数据库的名字 以及账号密码 名字就是 mattermost_text

4.

用navicat连接一下

注意是通过ssh连接 先配置ssh的文件然后 再连接数据库

注意docker的ip是172.17.0.2

一共有82个表

5.

在数据库的表中可以查看到 或者直接进入网站中 就可以查看到

6.

加解方式是bcrypt

把密码改了之后登录吧

就可以看到了一共是两个文件

7.

f8adb03a25be0be1ce39955afc3937f7

8.

登录老板的账号之后到控制台里面就能查找到

9

出现大量相同的消息 应该就是开始攻击了

10、分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆].

仿真 然后修改密码 登录上面的内网面板地址

版本是8.0.2 

11、分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

查看自动脚本任务

12、分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

这里可以看到是用aes加密的密码 密码是mysecretpassword

13、分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

在这里注意要将网络设置为net模式 其实一开始就应该设置好

然后我们可以看到bt内部的域名

然后将主机的hosts文件修改一下 将对应的ip地址和域名相对应

然后尝试访问网站

网站的标题是威尼斯

14、分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆]

我们可以登录一下phpstudy

人工智能取证部分

分析义言的计算机检材，一共训练了多少个声音模型： [ 答案格式： 123][ ★★☆☆☆ ]

用手机取证部分解密出来的秘钥来解锁一下

在这个文件夹下面找到了三个训练的模型

分析义言的计算机检材，声音模型 voice2 ，一共训练了多少条声音素材： [ 答案格

式： 123][ ★★☆☆☆ ]

查看一下out put文件夹里面的内容 出来的结果就是17条

分析义言的计算机检材，声音模型 voice3 ，一共训练了多少轮： [ 答案格式： 123]

[ ★★★☆☆ ]

八轮

分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是： [ 答案格

式： 1234][ ★★★★☆ ]

找配置文件找到了 监听的端口是9874

分析义言的计算机检材，电脑中视频文件有几个被换过脸： [ 答案格式 :10]

[ ★★★★★ ]

因为里面有很多视频文件打不开 考虑应该是进行过加密

在软件库里面找到了一个加密的exe文件 尝试对其进行反编译

文件被混淆过了 现在我们尝试将其进行反混淆

不太懂这个方面   但是看别人的wp 应该是反混淆之后是

import os
def xor_process(file_path, output_folder):
try:
with open(file_path, 'rb') as file:
file_data = file.read()
filename = os.path.splitext(os.path.basename(file_path))[0]
result_data = bytearray()
for index in range(len(file_data)):
result_data.append(file_data[index] ^ ord(filename[index %
len(filename)]))
else:
output_file_path = os.path.join(output_folder, f"{filename}-
cn{os.path.splitext(file_path)[1]}")
with open(output_file_path, 'wb') as output_file:
output_file.write(result_data)
print(f"文件 {file_path} 处理成功！")
except Exception as e:
print(f"处理文件 {file_path} 出错：{e}")
if __name__ == '__main__':
folder_path = input('请输入要处理的文件夹路径：')
output_folder = input('请输入要保存处理结果的文件夹路径：')
if not os.path.exists(output_folder):
os.makedirs(output_folder)
for root, _, files in os.walk(folder_path):
for file in files:
file_path = os.path.join(root, file)
xor_process(file_path, output_folder)

然后解密之后就有对应的解密版本了仿真进去 把里面的解密一下

import os

def xor_decrypt(file_path, output_folder):
    try:
        # 读取加密文件内容
        with open(file_path, 'rb') as file:
            encrypted_data = file.read()
        
        # 从文件名中移除 '-cn' 并作为解密密钥
        filename = os.path.splitext(os.path.basename(file_path))[0].replace('-cn', '')
        
        # 初始化解密数据缓存
        decrypted_data = bytearray()
        
        # 对数据进行逐字节解密
        for index in range(len(encrypted_data)):
            decrypted_data.append(encrypted_data[index] ^ ord(filename[index % len(filename)]))
        
        # 构建解密后文件的输出路径
        output_file_path = os.path.join(output_folder, f"{filename}{os.path.splitext(file_path)[1]}")
        
        # 写入解密数据到新文件
        with open(output_file_path, 'wb') as output_file:
            output_file.write(decrypted_data)
        
        print(f"文件 {file_path} 解密成功！")
    
    except Exception as e:
        print(f"处理文件 {file_path} 出错：{e}")

if __name__ == '__main__':
    # 获取用户输入
    folder_path = input('请输入要解密的文件夹路径：')
    output_folder = input('请输入要保存解密结果的文件夹路径：')
    
    # 确保输出文件夹存在
    if not os.path.exists(output_folder):
        os.makedirs(output_folder)
    
    # 遍历文件夹并解密文件
    for root, _, files in os.walk(folder_path):
        for file in files:
            file_path = os.path.join(root, file)
            xor_decrypt(file_path, output_folder)

然后就可以将里面导出来的文件 进行解密 之后就可以观看了 里面文件有点多 肉眼筛选一下ai产生的视频就可以了  

这道题真的学到了好多呀   ！！！  
 

分析义言的计算机检材，换脸 AI 程序默认换脸视频文件名是： [ 答案格式：

test.mp4][ ★★☆☆☆ ]

这里比较明显是这个 target-1080p.mp4

分析义言的计算机检材，换脸 AI 程序默认换脸图片的文件名称： [ 答案格式：

abc.abc][ ★★☆☆☆ ]

在可疑的照片里面选一下然后 调到源文件里面看一下发现是是ai文件夹里面的

分析义言的计算机检材，换脸 AI 程序模型文件数量是多少个： [ 答案格式： 10]

[ ★★☆☆☆ ]

在文件夹里面找到了一个  model文件夹 里面有15个模型

计算机取证

分析伏季雅的计算机检材，计算机最后一次错误登录时间是： [ 答案格式： 2024-01-

01-04-05-06][ ★☆☆☆☆ ]

分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是： [ 答案格式：《奥本

海默》 ] [ ★☆☆☆☆ ]

坠落的审判

分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间

是： [ 答案格式： 2024-01-01-04-05-06][ ★☆☆☆☆ ]

分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计

播放了多少个视频： [ 答案格式： 3][ ★☆☆☆☆ ]

软件是mv box 然后查看一下播放了多少视频

发现就一个视频

接上题，该软件的官网地址是： [ 答案格式： https://www.baidu.com][ ★☆☆☆☆ ]

接上题，该软件录制数据时，设置的帧率是： [ 答案格式： 20][ ★☆☆☆☆ ]

15

分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少

条虚拟语音： [ 答案格式： 2][ ★☆☆☆☆ ]

找到了 对应的默认下载目录

打开查看一下

分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是： [ 答案格式： 2024-01-

01-04-05-06][ ★☆☆☆☆ ]

分析毛雪柳的计算机检材，计算机操作系统当前的 Build 版本是： [ 答案格式：

17786][ ★☆☆☆☆ ]

分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文

件名是： [ 答案格式： log.log ，区分大小写 ][ ★☆☆☆☆ ]

直接就是翻appdata 里面 的Roaming文件夹 里面有软件存储的数据

分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是： [ 答案格式： 1234]

[ ★★★☆☆ ]

用回收箱里面的密码恢复不来

手机文件里面能找到一个密码 

分析毛雪柳的计算机检材，该团伙三月份的盈余多少： [ 答案格式： 1234]

[ ★★★☆☆ ]

分析义言的计算机检材，计算机连接过的三星移动硬盘 T7 的序列号是： [ 答案格式：

大写字母和数字 ][ ★☆☆☆☆ ]

分析义言的计算机检材，计算机的最后一次正常关机时间是： [ 答案格式： 2024-01-

01-04-05-06][ ★☆☆☆☆ ]

分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是： [ 答案格

式： admin][ ★☆☆☆☆ ]

分析义言的计算机检材，计算机中安装的 xshell 软件的版本号是： [ 答案格式：

Build-0000][ ★☆☆☆☆ ]

直接查看控制面板 就能出来软件的版本号

分析义言的计算机检材，曾使用 shell 工具连接过服务器，该服务器 root 用户的密码

是： [ 答案格式： admin][ ★★★☆☆ ]

直接软件出来 不过wp里面还有另一个很np的方式

分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是： [ 答案格

式： abc@abc.abc][ ★★☆☆☆ ]

垃圾邮件里面的附件分析一下就可以出来了

接上题，钓鱼邮件中附件的大小是多少 MB ： [ 答案格式： 12.3][ ★★☆☆☆ ]

接上题，上述附件解压运行后，文件的释放位置是： [ 答案格式：

D:\Download\test][ ★★☆☆☆ ]

接上题，恶意木马文件的 MD5 值是： [ 答案格式：小写 ][ ★★☆☆☆ ]

接上题，恶意木马文件的回连 IP 地址是： [ 答案格式： 127.0.0.1][ ★★☆☆☆ ]

我不知道为啥我的是这个 我看wp里面的是内网ip 

分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名： [ 答案格式：

abc.abc][ ★★★☆☆ ]

找到了隐写的应用 然后破解一下

搜索bmp文件然后就可以破解出来咯

就是这里的第一个bmp文件

分析义言的计算机检材，保存容器密码的文件大小是多少字节： [ 答案格式： 123]

[ ★★★☆☆ ]

这里可以加密的内容挂载上来 所以密码就是这个文件里的内容

分析义言的计算机内存检材，该内存镜像制作时间 (UTC+8) 是： [ 答案格式： 2024-

01-01-04-05][ ★★☆☆☆ ]

分析义言的计算机内存检材， navicat.exe 的进程 ID 是： [ 答案格式： 123]

[ ★★☆☆☆ ]

IPA取证部分

分析毛雪柳的手机检材，记账 APP 存储记账信息的数据库文件名称是： [ 答案格式：

tmp.db ，区分大小写 ][ ★★★★☆ ]

自动分析出来的数据库没有存储记账的信息 然后翻文件夹中的document文件找到realm数据库

可以发现

所以文件就是这个default.realm

分析毛雪柳的手机检材，记账 APP 中， 2 月份总收入金额是多少： [ 答案格式： 1234]

[ ★★★★★ ]

找到两笔收入一个是兼职一个是 工资 加一起就是11957

分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱

账号是： [ 答案格式： abc@abc.com][ ★★★☆☆ ]

这个当时我是通过其他手机的数据库中找到的 其实在im服务器中也可以直接出题

现在我们翻一下文件夹找这个答案

火眼自动分析出来的目录下面好像没有啥东西 用盘古石分析一下

找到了一个存储群组的位置 打开数据库就可以看到老板的邮件

接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道

的时间是： [ 答案格式： 2024-01-01-04-05-06][ ★★★☆☆ ]

这个其实在那个im服务器中直接就可以看到 这里翻数据库也可以看出来

接上题，该私聊频道中，老板最后一次发送聊天内容的时间是： [ 答案格式： 2024-

01-01-04-05-06][ ★★★☆☆ ]

然后转一下时间戳就可以出来

APK取证部分

APK 取证

分析伏季雅的手机检材，手机中诈骗 APP 的包名是： [ 答案格式： abc.abc.abc ，区

分大小写 ][ ★☆☆☆☆ ]

然后 这个包名就是   w2a.W2Ah5.jsgjzfx.org.cn

分析伏季雅的手机检材，手机中诈骗 APP 连接的服务器地址是： [ 答案格式：

127.0.0.1][ ★☆☆☆☆ ]

这里的服务器是192.168.137.125

分析伏季雅的手机检材，手机中诈骗 APP 的打包 ID 是： [ 答案格式：

_abc_abc.abc ，区分大小写 ][ ★☆☆☆☆ ]

__W2A__h5.jsgjzfx.org.cn

分析伏季雅的手机检材，手机中诈骗 APP 的主启动项是： [ 答案格式：

abc.abc.abc ，区分大小写 ][ ★☆☆☆☆ ]

io.dcloud.PandoraEntry

分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地

址是： [ 答案格式： 127.0.0.1][ ★★☆☆☆ ]

就在这里 192.168.137.97

接上题，该软件存储聊天信息的数据库文件名称是： [ 答案格式： abc.abc ，区分大

小写 ][ ★★☆☆☆ ]

在数据库的文件夹中的路径中搜索matter 直接就出来了 aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户： [ 答案格式：

1][ ★★☆☆☆ ]

接上题，该即时通讯应用的版本号是： [ 答案格式： 1.1.1][ ★★☆☆☆ ]

这里出来了 2.15.0

接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件

发送者的用户名是： [ 答案格式： abc][ ★★★★☆ ]

接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存

大小是： [ 答案格式： 20G][ ★★☆☆☆ ]

登录这个网站 发现是24G 的

分析义言的手机检材，手机中装有一个具备隐藏功能的 APP ，该 APP 启动设置了密

码，设置的密码长度是多少位： [ 答案格式： 5][ ★★★★☆ ]

我去当时找半天 没有一点思路呀 看别人的wp发现是找这个电量使用情况 计算器明显是异常行为

有连个计算器 第一个是用户自己下载的 另一个是系统安装的

这里有这个软件的破密指南：解密“计算器”应用程序 - 取证 - 一次一个字节 (wordpress.com)

然后跟着这上面的 做

然后解密一下

就可以得出来最后的密码是九位数

接上题，分析上述隐藏功能的 APP ，一共隐藏了多少个应用： [ 答案格式： 1]

[ ★★★★☆ ]

D:\2024盘古石晋级赛\Pixel(1)\data\media\0\.privacy_safe\db

在这个目录下面找然后就可以找到打开db里面的文件

里面的秘钥也是Rny48Ni8aPjYCnUI  注意打开方式

是使用sqlcipher 3 

然后打开看隐藏的app表

发现有5个

接上题，分析上述隐藏功能的 APP ，该 APP 一共加密了多少个文件： [ 答案格式： ]

[ ★★★★☆ ]

5个文件

接上题，分析上述隐藏功能的 APP ，该 APP 加密了一份含有公民隐私信息的文件，

该文件的原始名称是： [ 答案格式： abc.txt][ ★★★★☆ ]

看上面的内容就知道答案是 公民信息.xlsx

分析义言的手机检材，马伟的手机号码是：[答案格式：13012341234][★★★★☆]

对这两个文件内容解密

保存输出结果为文件 然后尝试 xlsx 和txt 因为上面看到了加密的文件类型有apk xlsx和txt

两个文件打开之后的内容就是这样子的

计算机取证里面一直寻找的bitlocker的秘钥也终于找到了

分析义言的手机检材，手机中存有一个 BitLocker 恢复密钥文件，文件已被加密，

原始文件的 MD5 值是： [ 答案格式：小写字母和数字 ][ ★★★★☆ ]

MD5: 497f308f66173dcd946e9b6a732cd194

手机取证部分

分析伏季雅的手机检材，手机的安卓 ID 是： [ 答案格式：小写字母和数字 ]

[ ★☆☆☆☆ ]

9e6c9838dafe7ba0

分析伏季雅的手机检材，手机型号是： [ 答案格式： HUAWEI-FL56T][ ★☆☆☆☆ ]

分析伏季雅的手机检材，其和受害人视频通话的时间是： [ 答案格式： 2024-01-01-

04-05][ ★☆☆☆☆ ]

2024-04-24-20-46

分析伏季雅的手机检材，手机中安装了一款记账 APP ，该记账 APP 存储记账信息的

数据库名称是： [ 答案格式： abcabc ，区分大小写 ][ ★☆☆☆☆ ]

找到了应用

在所有db文件的路径中搜索这个应用部分 比如money 然后依次点开看一下就知道了

MoneyLoverS2

接上题，该记账 APP 登录的邮箱账号是： [ 答案格式： abc@abc.com][ ★★★☆☆ ]

carleenloydlyis40@gmail.com

接上题，该记账 APP 中记录的所有收入金额合计是： [ 答案格式： 1234][ ★★★☆☆ ]

导出来然后可以不用sql语句 直接查表看

先发现cat_id 36是收入

然后去找36标签的

接上题，分析该记账 APP 中的消费记录，统计从 2022-3-1 （含）到 2023-12-1

（含）期间，用于交通的支出费用合计是： [ 答案格式： 1234][ ★★★☆☆ ]

筛选之后相加一下就可以了

分析毛雪柳的手机检材，手机中有一个记账 APP ，该 APP 的应用名称是： [ 答案格

式： Telegram ，区分大小写 ][ ★☆☆☆☆ ]

iCost应该是这个吧 

分析义言的手机检材，手机中登录的谷歌邮箱账号是： [ 答案格式：

abc@gmail.com][ ★★☆☆☆ ]

只有这个里面有信息

分析义言的手机检材，手机的 MTP 序列号是： [ 答案格式：大写字母和数字 ]

[ ★★☆☆☆ ]

分析义言的手机检材，除系统自带的浏览器外，手机中安装了一款第三方浏览器，

该浏览器的应用名称是： [ 答案格式：百度浏览器 ][ ★★☆☆☆ ]

悟空浏览器

接上题，上述浏览器最后一次搜索的关键字是： [ 答案格式：百度 ][ ★★☆☆☆ ]

ai写文章生成器

接上题，该浏览器最后一次收藏的网址是： [ 答案格式：

https://baidu.com/acc/123412341234123/][ ★★★☆☆ ]

分析义言的手机检材，其所购买的公民信息数据，该数据提供者的手机号码是： [ 答

案格式： 13012341234][ ★☆☆☆☆ ]

我服了当时找这个找了半天，结果应该是当时的软件没有分析出来

在截图里面就能找到

接上题，卖家的收款地址： [ 答案格式：小写字母和数字 ][ ★☆☆☆☆ ]

接上题，购买上述公民信息，义言一共支付了多少钱： [ 答案格式： 0.000123BTC]

[ ★☆☆☆☆ ]

查一下就出来了 0.07364352