2024盘古石晋级赛复盘参考[全解]

最新推荐文章于 2025-04-16 21:09:44 发布

Zero宇灏

最新推荐文章于 2025-04-16 21:09:44 发布

阅读量2.9k

点赞数 15

文章标签：服务器

本文链接：https://blog.csdn.net/2301_80223014/article/details/139235685

版权

检材密码：2b26ba7ed35d622d8ec19ad0322abc52160ddbfa

复盘内容仅代表个人思路，如有错误请各位佬指正。

服务器部分

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆]

8065

Netstat -anpt查看已使用的网络端口，访问主机ip，通讯端口为8065

2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆]

12.18

docker inspect mattermost-preview

env

3.分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写][★★☆☆☆]

mattermost_test

同上

4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1][★★☆☆☆]

5.分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母][★★★☆☆]

54d916mu6p858bbyz8f88rmbmc

可以登入gxyt管理员后台团队设置中查看

也可以连接好数据库，查看teams表格，invited为邀请码

6.分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字][★★★☆☆]

将yiyan的密码改成maoxueliu的，登入yiyan的后台进行查看

7.分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写][★★★☆☆]

F8ADB03A25BE0BE1CE39955AFC3937F7

8.分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字][★★★★☆]

登入gxyt管理员后台，在系统控制台中，找到站点配置，查看成员和团队

9.分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05][★★★☆☆]

2024-04-25-15-33

在日志中查看发现有一个ip发出了大量的登录尝试，查看第一次尝试失败的登录时间为2024-04-25 07:33:18，Z是UTC时间换成北京时间为2024-04-25-15-33

10.分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆]

否

执行ls发现有install.sh文件，执行cat install.sh，看到服务器管理软件为宝塔，不支持32位系统

同时就可以登录进宝塔面板了

或者直接登录进去，发现是宝塔开心版，不支持32位系统

11.分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

自动执行预定命令或脚本，需要查看cron任务

执行crontab -l，从命令就可以得出

0 0 * * 0 /root/backup.sh表示每个星期天的午夜0点执行一次。0 （0分）0（0时） * * 0（星期天）

12.分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

IvPGP/8vfTLtzQfJTmQhYg==

查看备份文件backup.sh,其中发现备份文件的密码是通过AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt)进行创建的。

13.分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

威尼斯

直接访问地址

或者添加虚拟机NAT的IP地址，进行访问，发现自动跳转到www.google.com

在/www/wwwroot/touzilicai.com下找到index.php文件，发现了有关跳转的命令（PHP的HTTP重定向功能），删除后重新访问就进去了

网站标题，查看网站元素，title为威尼斯

14.分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆]

2024-04-25-09-49

可以从管理后台进去，也可以直接翻看数据库文件，但是发现数据库文件被删除了，需要找一下备份文件

进入phpmyadmin，如果报错，查看日志可以发现是 mysql 的 sock 被占用，需要删除mysql.sock.lock文件，重新进入mysql。这里没有找到2828的库，应该是被删除了，前面做备份文件密码的时，有碰到过，在/root/backup目录下

用密码先对备份文件进行解密，命令在backup.sh中可以找到，更改相应内容直接执行就行

解压之后可以得到数据库文件，可以直接使用工具查看数据库，也可以导入到宝塔面板phpmyadmin中查看

也可以直接用命令上传，执行mysql -u root -p 2828 </root/backup/2828_20240427154000.sql，完成后，重新登入就有内容了

也可以将sql文件直接导入数据库取证工具进行查看

从网站日志中找到后台登录地址进行访问

可以进入后台的登录界面，现在需要从数据库中找到登录的账号和密码，或者进行修改。

在think_admin中直接可以找到管理员登录的username和password，解密后是123456

但是登进去还需要一个安全码，执行grep -r "/www/wwwroot/touzilicai.com" -e "安全码"，找到LoginController.class.php文件

可以注释掉，也可以直接找到安全码，安全码是123456

然后就可以登入管理后台了

看到注册时间是2024-04-25 09:49:12

也可以从think_user中找到受害人的reg_time，即注册时间为1714009752，转化为北京时间为2024-04-25 09:49:12

查看think_userlog，登录时间为2024-04-25-09-49，题目中说的是登录时间，应该是这个，但不要求秒，两个得出的答案都是一样的

15.分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234][★★★☆☆]

100000

最低点数对应的是bj28_3_usermin_point，找到其对应的点数为100000

如果登入后台了，也可以从基本配置中看到最低点数是100000

也可以从个人的进去，登录到zhiwanjing的账户，尝试进入贵宾厅，会进行提示

16.分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12][★★☆☆☆]

2000

从管理后台中查看客户输赢

或者从zhiwanjing个人后台查看投注明细，盈亏是2000

17.分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

/Home/User/tkppwdpost.html

火眼挂载后用D盾扫描，看到木马修改的时间是2024-04-25 18:56:22，然后去查看日志信息

这是应该是上传了con2.php木马文件，在前面继续看tmpugklv.php的相关记录，都是在访问/Home/User/tkppwdpost.html目录

18.分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php][★☆☆☆☆]

tmpugklv.php

D盾扫描后，发现有3个上传后门，但是只有ceshi是存在的

19.分析网站服务器检材，网站使用的数据库前缀是：[答案格式：test_][★☆☆☆☆]

think_

也可以在数据库配置文件中查看

20.分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]

2335

D盾查看eval后门参数，发现是2335

人工智能取证

1.分析义言的计算机检材，一共训练了多少个声音模型：[答案格式：123][★★☆☆☆]

使用BitLocker解密D盘，训练模型会留下日志，logs下面有4个文件夹，证明有4个声音模型

2.分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材：[答案格式：123][★★☆☆☆]

在output文件中查看voice2.list文件，发现一共训练了17条声音素材

3.分析义言的计算机检材，声音模型voice3，一共训练了多少轮：[答案格式：123][★★★☆☆]

在logs里面查看voice3的train.log

4.分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是：[答案格式：1234][★★★★☆]

9872

查看config.py，其中webui_port_infer_tts = 9872为推理生成语音界面的监听端口。tts 指的是文本到语音（Text-to-Speech）。

5.分析义言的计算机检材，电脑中视频文件有几个被换过脸：[答案格式:10][★★★★★]

从output中发现一个换脸视频

此外，从义言的计算机中，我们发现了一个加密容器Google.mp3，容器密码为RR%#CBSf7uYLQ#28bywT（详见义言计算机部分题解），解密后发现其中还有许多文件，尝试打开不了，在回收站里发现encrypt.exe，怀疑使用了encrypt.exe进行了加密，该文件应该是一个pyinstaller 打包的 python 脚本

这里使用pyinstxtractor.py解包

解包后得到

里面有很多.pyc文件，下面使用uncompyle6反编译，将.pyc文件转换为.py源代码文件，得到z.py

用记事本打开后，发现应该是被混淆了

解混淆后的代码

运行解密脚本对视频进行解密，得到41个解密后的视频文件，1+41=42

6.分析义言的计算机检材，换脸AI程序默认换脸视频文件名是：[答案格式：test.mp4][★★☆☆☆]

target-1080p.mp4

结合链接中内容

干货教程【AI篇】| 最强AI换脸软件Rope使用教程以及Rope整合包下载_rope换脸-CSDN博客，默认换脸视频会保存在videos下

7.分析义言的计算机检材，换脸AI程序默认换脸图片的文件名称：[答案格式：abc.abc][★★☆☆☆]

fc3d6cb14c0d4e52adcf8717f2740b5c.jpeg

默认换脸图片会保存在faces下

8.分析义言的计算机检材，换脸AI程序模型文件数量是多少个：[答案格式：10][★★☆☆☆]

查看models文件，里面有15个模型文件

计算机部分

1.分析伏季雅的计算机检材，计算机最后一次错误登录时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

2024-04-25-09-53-24

2.分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是：[答案格式：《奥本海默》] [★☆☆☆☆]

《坠落的审判》

Chrome浏览器历史记录

3.分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

2024-04-26-17-13-02

多处可印证即时通讯软件为Mattermost

4.分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频：[答案格式：3][★☆☆☆☆]

从edge浏览器中，找到MVBOX虚拟视频播放的记录，在系统安装软件中得到印证

仿真后打开mvbox，其中有一个视频播放记录

5.接上题，该软件的官网地址是：[答案格式：https://www.baidu.com][★☆☆☆☆]

MVBOX虚拟视频播放器,是国内的卡拉OK,录歌,k歌软件-MVBOX官方网站

浏览器历史记录中找到

6.接上题，该软件录制数据时，设置的帧率是：[答案格式：20][★☆☆☆☆]

录制设置里面是15

7.分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音：[答案格式：2][★☆☆☆☆]

和义言的记录中一共有4条

其电脑的下载中也可以看到

8.分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

2024-04-25-19-08-08

9.分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是：[答案格式：17786][★☆☆☆☆]

19045

10.分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是：[答案格式：log.log，区分大小写][★☆☆☆☆]

main.log

11.分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是：[答案格式：1234][★★★☆☆]

11200

回收站里发现密码.doc、账本.xlsx两个文件，密码.doc中的密码是错误的

从手机相册里找到密码为maoxl2024!%*!

12.分析毛雪柳的计算机检材，该团伙三月份的盈余多少：[答案格式：1234][★★★☆☆]

158268

13.分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是：[答案格式：大写字母和数字][★☆☆☆☆]

X12720BR0SNWT6S

14.分析义言的计算机检材，计算机的最后一次正常关机时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

2024-04-28-18-51-56

15.分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是：[答案格式：admin][★☆☆☆☆]

root

16.分析义言的计算机检材，计算机中安装的xshell软件的版本号是：[答案格式：Build-0000][★☆☆☆☆]

Build-0157

查看目录均在D盘，D盘使用了bitlocker加密，从义言手机检材中获得bitlocker密钥，进行解密，仿真启动xshell，查看关于xshell

17.分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码是：[答案格式：admin][★★★☆☆]

root

从finalshell中导出“威尼斯_connect_config.json”，得到password是BHMVVkAIPDY9bj4SKcO5sQ==，进行解密得到root

18.分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是：[答案格式： abc@abc.abc][★★☆☆☆]

838299176@qq.com

垃圾邮件-flash邮件

19.接上题，钓鱼邮件中附件的大小是多少MB：[答案格式：12.3][★★☆☆☆]

2.39MB

20.接上题，上述附件解压运行后，文件的释放位置是：[答案格式：D:\Download\test][★★☆☆☆]

C:\Windows\Temp

21.接上题，恶意木马文件的MD5 值是：[答案格式：小写][★★☆☆☆]

f539aab0af03836e73ec1727db8a6d50

接上题，查看释放文件

22.接上题，恶意木马文件的回连IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

192.168.137.77

23.分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名：[答案格式：abc.abc][★★★☆☆]

a78bd8b5bec5f60380782bd674c7443p.bmp

在回收站中发现隐写软件LSB_hide.exe，测试一下隐写后的文件特征是后缀名为.bmp，全局搜索bmp文件，按照文件大小排序，其中比较可疑的是a78bd8b5bec5f60380782bd674c7443p.bmp，导出使用LSB_hide.exe提取，用winhex查看，得到RR%#CBSf7uYLQ#28bywT

24.分析义言的计算机检材，保存容器密码的文件大小是多少字节：[答案格式：123][★★★☆☆]

火眼耗时任务特征分析

使用上述密码可以挂载

25.分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是：[答案格式：2024-01-01-04-05][★★☆☆☆]

2024-04-25-14-18

26.分析义言的计算机内存检材，navicat.exe的进程ID是：[答案格式：123][★★☆☆☆]

9336

IPA取证

1.分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写][★★★★☆]

default.realm

找到记账APP为iCost，跳转到源文件，在Documents里面找到realm格式文件，realm是数据库文件

2.分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234][★★★★★]

11957

使用realm studio查看数据库文件，type=1为收入，进行筛选

先转换出2月的时间，按照时间排列，在这个时间范围内只有2条，9600+2357=11957

3.分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

gxyt@163.com

分析得到gxyt为团队老板，可以从服务器查看

也可以从手机中数据库查看，在application.plist中看到了Mattermost的共享数据目录在

/private/var/mobile/Containers/Shared/AppGroup/BBE0D501-AB0B-422E-9B4D-02E2D86130D4

分析聊天记录得到老板user_id为enf863dp1ifi3ffos7bpduynny

User中找到对应的email为gxyt@163.com，username为gxyt

4.接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

2024-04-24-11-59-28

结合聊天记录分析，yiyan频道是和yiyan的聊天频道，Off-Topic和Town Square都是群聊，发财是和gxyt的聊天频道，找到gxyt加入频道的记录，时间为1713931168391，转换为北京时间是2024-04-24 11:59:28

5.接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

2024-04-25-10-24-50

找到gxyt最后一次发送的时间为1714011890182，转换为2024-04-25 10:24:50

APK分析

1.分析伏季雅的手机检材，手机中诈骗APP的包名是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

w2a.W2Ah5.jsgjzfx.org.cn

找到诈骗app为威尼斯，从服务器等均可印证

2.分析伏季雅的手机检材，手机中诈骗APP连接的服务器地址是：[答案格式：127.0.0.1][★☆☆☆☆]

192.168.137.125

找到源文件base.apk（在data/app目录下），导出用雷电APP智能分析，服务器地址为192.168.137.125

3.分析伏季雅的手机检材，手机中诈骗APP的打包ID是：[答案格式：_abc_abc.abc，区分大小写][★☆☆☆☆]

__W2A__h5.jsgjzfx.org.cn

查看源文件内容，id为__W2A__h5.jsgjzfx.org.cn

4.分析伏季雅的手机检材，手机中诈骗APP的主启动项是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

io.dcloud.PandoraEntry

5.分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是：[答案格式：127.0.0.1][★★☆☆☆]

192.168.137.97

从义言手机中找到mattermost的数据库app.db，找到服务器地址为192.168.137.97

6.接上题，该软件存储聊天信息的数据库文件名称是：[答案格式：abc.abc，区分大小写][★★☆☆☆]

aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

7.接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户：[答案格式：1][★★☆☆☆]

从user中看到一共6个用户

8.接上题，该即时通讯应用的版本号是：[答案格式：1.1.1][★★☆☆☆]

2.15.0

9.接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是：[答案格式：abc][★★★★☆]

yiyan

可以从服务器中直接看到

也可以从数据库中找到，从file中看到mp4格式的视频文件，post_id为hctctn8bnbd7meywjpmk3z9dhh

按照id在聊天记录中找到了此条内容，对应user_id为jrmi9kx8pfg9drc7b9dczh7neo，返回user中找到其用户名为yiyan

10.接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是：[答案格式：20G][★★☆☆☆]

24G

从聊天记录中找到个地址https://item.jd.com/10091688812789.html

11.分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位：[答案格式：5][★★★★☆]

APP为计算器

经搜索查找到加密原理，可供参考，以下内容参照其进行。

https://theincidentalchewtoy.wordpress.com/2021/12/07/decrypting-the-calculator-apps/

根据上述链接得知图案密钥在“/data/data/com.hld.anzenbokusufake/shared_prefs”文件夹中的“share_privacy_safe.xml”中，得到图案密文为AF809945A92BC6EAF96B6FE5758AB660

运行Frida脚本，获得Key和IV

加密模式为AES_CBC，加密密钥和IV均为Rny48Ni8aPjYCnUI，要将其转换为Hex格式

将图案的密文进行AES_CBC解密，得到图案设置密码为012467853，长度为9位

对应的图案为

12.接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用：[答案格式：1][★★★★☆]

解法一：仿真查看

按照上述教程了解到，数据在/data/data/com.hld.anzenbokusufake中，媒体文件在/sdcard/.privacy_safe中，从火眼中导出这两类文件，使用MT管理器复制到模拟器的相同路径下（雷电模拟器电脑目录为Documents\leidian9\Pictures，共享安卓目录为Pictures）