2024龙信杯部分wp
近期,某公安机关正式受理了一起受害者报案案件。受害者陈述称,其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动,即所谓的“选妃”过程。在受害者不察之下,整个交流过程被犯罪团伙暗中录音录像。 随后,该客服人员以提供更多潜在相亲对象为由,诱导受害者下载并安装了一款预先准备好的恶意木马应用程序(APP)。一旦受害者安装了此 APP,犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段,对受害者实施多次敲诈勒索和诈骗行为。面对持续的精神压力和经济损失,受害者最终不堪重负,决定向公安机关报案,以期揭露并制止这一恶劣的犯罪行为。
https://pan.baidu.com/s/1gN1Tq8VYAxTKJBByhhJjqA?pwd=a95v
注:wp仅为个人思路,如有错误麻烦各位大佬指正,实际答案以官方wp为准,公众号[数字侦探社]
1.分析手机检材,请问此手机共通过adb连接过几个设备?[标准格式:3]
这里当初以为的是3,policies表存储了与Magisk Hide功能相关的策略信息,保存了对哪些应用隐藏 root 权限的设置,并非连接过的设备
在misc下adb_temp_keys.xml中找到两条adbkey记录
adbkey通常存储的是ADB公钥(public key)或指纹信息,用于标识曾经与设备通过ADB进行过身份验证的主机
2.分析手机检材,机主参加考试的时间是什么时候?[标准格式:2024-06-17]
3.分析手机检材,请问手机的蓝牙Mac地址是多少?[标准格式:12:12:12:12:12:12]
4.分析手机检材,请问压缩包加密软件共加密过几份文件?[标准格式:3]
5.分析手机检材,请问机主的另外一个155的手机号码是多少?[标准格式:15555000555]
6.分析手机检材,其手机存在一个加密容器,请问其容器密码是多少。[标准格式:abc123]
7.分析手机检材,接上问,其容器中存在一份成员名单,嫌疑人曾经误触导致表格中的一个成员姓名被错误修改,请确认这个成员的原始正确姓名?[标准格式:张三]
用网钜进行层级分析,发现总部下第二层级中有一单列出来的,回溯到表格中查一下
相同手机号在其他地方为“陆俊梅”,所以这里认为原始正确姓名是“陆俊梅”
修改后重新导入,这里不对原始数据进行修正,后续直接使用软件进行分析会影响组织架构
8.分析手机检材,接上题,请确认该成员的对应的最高代理人是谁(不考虑总部)?[标准格式:张三]
9.分析手机检材,请确认在该组织中,最高层级的层次是多少?(从总部开始算第一级)[标准格式:10]
10.分析手机检材,请问第二层级(从总部开始算第一级)人员最多的人是多少人?[标准格式:100]
总部邀请的人有11人,这里应该是看直接下游人数(直接邀请人数)最多的,是贾书英59人
11.分析手机检材,机主共开启了几款APP应用分身?[标准格式:3]
12.分析手机检材,请问机主现在安装了几款即时通讯软件(微博除外)?[标准格式:1]
13.分析手机检材,请问勒索机主的账号是多少(非微信ID)?[标准格式:AB123CD45]
14.分析手机检材,接上问,请问机主通过此应用共删除了多少条聊天记录 ?[标准格式:2]
15.分析手机检材,请问会盗取手机信息的APP应用包名是什么?[标准格式:com.lx.tt]
16.接上题,请问该软件作者预留的座机号码是多少?[标准格式:40088855555]
综合,key是E10ADC3949BA59ABBE56E057F20F883E,iv是其前16位,即E10ADC3949BA59AB
17.接上题,恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少?[标准格式:lx@gmail.com]
18.接上题,恶意程序偷取数据的发件邮箱地址是多少?[标准格式:lx@gmail.com]
由上题得发送邮件的目录在b.b.a.g.a下,其中smtp常用来发送邮件
19.接上题,恶意程序偷取数据的发件邮箱密码是多少?[标准格式:abc123]
20.接上题,恶意程序定义收发件的地址函数是什么?[标准格式:a]
计算机取证(共20题,合计121分)请根据计算机镜像进行以下题目回答1.分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?[标准格式:1A23456ABCD]
2.分析计算机检材,身份证为"371963195112051505"这个人的手机号码是多少?[标准格式:13013524420]
15075547510
3.分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)[标准格式:100]
这里觉得是去重之前,计算表中有多少个身份证号码是重复的,脚本跑出来是0
4.分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?[标准格式:100]
5.分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?[标准格式:100]
6.分析计算机检材,计算机中存在的“VPN”工具版本是多少?[标准格式:1.1]
7.分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?[标准格式:http://xxx.xx/x/xxx]https://paste.ee/d/4eIzU
8.分析计算机检材,eduwcry压缩包文件的解压密码是什么?[标准格式:abcabc]
9.分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。[标准格式:全小写]
30f8820cf93a627c66195f0d77d6a409024c6e52
这里用pestudio查看wcry.exe,里面有一个PKZIP压缩包
换到resource hacker中导出该压缩包,将XIA保存为bin文件,将后缀改为zip
10.分析计算机检材,接上题,请问恶意程序记录的洋葱浏览器下载地址是多少?[标准格式:http://xxx.xxx/xxx/xxx.zip]
11.分析计算机检材,接上题,请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式:全小写]
12.分析计算机检材,接上题,恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式:2]
13.分析计算机检材,接上题,请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。[标准格式:Aabcdef]
14.分析计算机检材,接上题,恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式:sub_xxx]
15.分析计算机检材,VeraCrypt加密容器的密码是什么?[标准格式:abc]
16.分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?[标准格式:12345]
17.分析计算机检材,接上题,机主实际篡改多少条微信数据?[标准格式:1]
18.分析计算机检材,接上题,机主共存款了多少金额?[标准格式:10万]
执行火眼耗时任务分析-其他应用,发现三个应用,其中ownbook中无数据
在/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1438793628033019010下找到其数据库im5db,导出用DB Browser打开
19.分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]
340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e
20.分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]
服务器取证(共16题,合计92分)请根据服务器进行以下题目回答
1.分析服务器检材,服务器会做登录密码验证,该登录验证文件位置在?[标准格式:/xxx/xxx/xxx.xxx]
/etc/profile.d/check-system.sh
这里是先用仿真软件仿真发现数据被删了,结合题目所说的登录密码验证,按e进入单用户模式
注:/etc/profile.d文件夹下的脚本文件会在用户登陆时被执行,所以怀疑登陆验证文件在其下,进去看看
怀疑是check-system.sh,从火眼里找到该文件查看,印证是
passwd root,这里我修改的密码是123456,修改完成后重启用改过的密码登陆
2.分析服务器检材,服务器ssh端口是多少?[标准格式:1234]
方法一:在/etc/ssh下查看sshd_config,找到ssh端口
3.分析服务器检材,服务器docker内有多少个镜像。[标准格式:100]
4.分析服务器检材,服务器内sqlserver默认账号的密码是?[标准格式:xxx]
docker exec -it 392 env发现该容器未启动 执行docker start 392
5.分析服务器检材,服务器内sqlserver存放了阿里云存储下载地址,该下载地址是?[标准格式:https://xxx]
https://xinfenfa.oss-accelerate.aliyuncs.com
docker inspect 392,其ipaddress为172.17.0.2
在cmf_config下
6.分析服务器检材,服务器内sqlserver内“cmf_user_action_log”表,表内存在的用户操作日志,一共操作次数是多少?[标准格式:100]
7.分析服务器检材,该服务器正在使用的数据库的持久化目录是什么?[标准格式:/xxx/xxx]
找到nginx配置文件conf.d查看到服务器名称为bl.dsnbbaj686.fit
按照路径,在/opt/bl.dsnbbaj686.fit/www/app下找到database.php查看到该数据库的用户名、密码和端口,对应的数据库类型为mongo,持久文件在/data/mongo
8.分析服务器检材,该网站后台正在使用的数据库有多少个集合?[标准格式:100]
在/opt/bl.dsnbbaj686.fit/www/runtime/log/202406下找到日志,发现原来的数据库为mysql,这里将数据库还原到mysql里
从这里也发现了网站管理后台的网址/admin/common/login.shtml
mysql密码为root123456,用户名为root,navicat连接
使用navicat导出向导和导入向导,将mongo表导入mysql中
将/opt/bl.dsnbbaj686.fit/www/app下database.php中的配置更改为mysql的
尝试了一下访问bl.dsnbbaj686.fit/appmanager/index/index.shtml进不去,再修改一下config.php,应用调试模式改为true
9.分析服务器检材,该网站的后台登录地址是?[标准格式:/xxx/xxx.xxx 全小写,不加域名]
在app_urlconfig表中找到mingadmin/common/login
从网站后台可以看到该url已禁用,结合日志分析后台登陆地址是/admin/common/login.shtml
10.分析服务器检材,该网站后台使用的管理员加密算法是?[标准格式:全大写]
在/opt/bl.dsnbbaj686.fit/www/app/appmanager下common.php中找到加密算法为bcrypt
11.分析服务器检材,该网站最早使用超级管理员进行删除管理员操作的IP地址是?[标准格式:x.x.x.x]
在app_admin_menu中,找到删除管理员操作对应的id为26
12.分析服务器检材,该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件,该文件内的账单交易订单号是多少?[标准格式:123456]
20240321000000005443369778283185
locate .zip查找.zip结尾的文件,在后台的有三个,下载下来计算sha256
尝试解压发现需要密码,用7zip打开发现注释,用passware kit爆破,得到密码MTj02
解压后,得到账单.txt,这里是一个base64编码和图片的转换
13.分析服务器检材,该网站存在网站数据库备份功能,该功能的接口地址是?[标准格式:/xxx/xxx 全小写,不加域名]
在/opt/bl.dsnbbaj686.fit/www/app/appmanager/controller下发现databackup.php文件,查看得到/appmanger/databackup
14.分析服务器检材,该网站存放银行卡信息数据表中,其中信息数量前十的公司对应旗下visa银行卡一共有多少金额?[标准格式:100.00]
二再筛选出这十家公司旗下visa银行卡,计算金额为21701599.63
15.分析服务器检材,该网站在2023年二月一共获取了多少条通信记录?[标准标准格式:100]
分析应该是admin_mobile表,navicat导出,用数据库取证工具分析
16.分析服务器检材,该网站的一条管理员信息存在数据篡改,请分析是哪个管理员信息遭到篡改,该管理员用户名是?[标准格式:ABCDE]
扫一扫
1230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
