2023年龙信杯题解

 2023年龙信杯除了一些只能用龙信本身软件做的题目的全题目解答

案情简介

检材密码：RLEQc2Xe65Q5GiCuRNMFrw==

2023年9月，某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。

公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。 犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

检材清单

*对象*	*检材类型*	*检材名称*
嫌疑人	电脑	计算机镜像.7z（大小：14.3 GB，MD5：97b5ba6df341dce41ff635431d60f0cd）
手机	手机镜像.7z（大小：9.95 GB，MD5：98338c50d7642e16f81f0d81dc8325da）
调正数据	服务器1	服务器镜像1.7z（大小：1.60 GB，MD5：fddefefa05a053d9233b049b6615264c）
服务器2	服务器镜像2.7z（大小：2.70 GB，MD5：b5ccf6f93825f78463cecd007f2f9c7b）
公司	流量包	流量包.7z（大小：80.3 MB，MD5：2144d3397e03e0220bdb44a1df58dfbb）

参考文章

2023龙信杯 - WXjzc - 博客园 (cnblogs.com)

2023年第一届“龙信杯”电子数据取证竞赛-CSDN博客

第一届“龙信杯”电子数据取证竞赛Writeup_龙信杯最后一题-CSDN博客

移动终端取证

1.请分析涉案手机的设备标识是___。（标准格式：12345678）

85069625

序列号

2.请确认嫌疑人首次安装目标APP的安装时间是__。（标准格式：2023-09-13.11:32:23）

2022-11-16.19:11:26

这也是要龙信的软件去做的，弘连做不了先过

3.此检材共连接过__个WiFi。（标准格式：1）

6

4.嫌疑人手机短信记录中未读的短信共有__条。（标准格式：12）

17

导出短信数据库做题

read这列控制着是否已读。读消息大概率是1.

统计

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是___。（标准格式：http://www.baidu.com/admin/index.html）

http://www.ziyuanhu.com/d/file/upload/201810231323/20160724114420916.jpg

6.请分析涉案海报的推广ID是____。（标准格式：123456）

114092

上一题提到海报，直接去搜有关后缀jpg

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1

还是短信数据库看信息

8.通过分析，嫌疑人推送的微信账号是__。（标准格式：Lx20230916）

Gq20221101

聊天记录

9.请校验嫌疑人使用的“变声器”APK的包名是____。（标准格式：com.baidu.com）

com.chuci.voice

10.号商的联系人注册APP的ID是_____。（标准格式：12345678）

36991915

11.嫌疑人于2022年11月份在___城市。（标准格式：成都）

苏州

又是去年的软件题

12.嫌疑人共购买___个QQ号。（标准格式：1）

8

注意题目表述

APK取证

根据案件背景去推断，涉案apk是甜心蜜聊

1.分析手机镜像，导出涉案apk，此apk的md5值是____。（标准格式：abc123）

d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是____。（标准格式：com.qqj.123）

lx.tiantian.com

3.分析该apk，app的内部版本号是__。（标准格式：1.1）

1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是___。（标准格式：11）

12

5.分析该apk，app的主函数入口是_____。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是____。（标准格式：android.permission.NETWORK）

android.permission.READ_SMS

7.APP使用的OPPO的appkey值是____。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是____。（标准格式：com.qqj.123）

app.goyasha.com

或者直接看url字符串

9.分析apk源码，APP 后台地址登录的盐值是___。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

盐值搜索salt

跳转进这里的代码

10.分析apk源码，该APK后台地址登录密码是__。（标准格式：longxin123）

lxtiantiancom

11.对 APP 安装包进行分析，该 APP打包平台调证值是__。（标准格式：HER45678）

H5D9D11EA

12.此apk抓包获取到的可访问网站域名IP地址是___。（标准格式：192.168.1.1）

192.168.5.80

注意答案格式

13.分析apk源码，该apk的加密方式key值是____。（标准格式：12345678）

ade4b1f8a9e6b666

一开始看到加密的类里面有很多种加密方式

我们要找的应该是加密消息的地方，定位到这段代码

跟进代码找到加密消息的类，找到key

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

4008522366

PC检材联动

在加密容器里面的密文信息，大概是AES

针对加密脚本来找到解密过程

解密结果

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是___。（标准格式：123456）

Longxin360004

2.涉案计算机最后一次正常关机时间___。（标准格式：2023-1-11.11:11:11）

2023-09-16 18:20:34

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为___。（标准格式：1小时1分1秒）

13小时41分16秒

计算时间的时候有一个坑点，昨天的时间也要计算在内

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

Mimi1234

base基本特征

解密内容

6.接上题，请问该嫌疑人10月份工资是___元。（标准格式：123）

19821

接上题，明显的题目提示，找到加密文件

找到垃圾箱里面的压缩包文件有工资条

导出解压缩

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是__。（标准格式：Longxin0924）

Longxin@2023

浏览器密码，在今年已经可以算是常见考点了

去年做题的时候是手动仿真不绕密码才能进去的，取证软件与时俱进啊

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

C:\Program Files (x86)\Tencent\WeChat\2.png

找到txt敏感文件

推广ID：114092
海报路径：C:\Users\Public\Documents\1221
海报路径：C:\Program Files (x86)\Tencent\WeChat

找到对应路径下面的文件导出分别是1.jpg和2.jpg

两个图片的哈希值不一样

图片最后被加入一层隐写，刚好是第十题答案

9.请找出嫌疑人的2022年收入共___。（标准格式：123）

205673

这个容器的后缀是dd，和龙信本身的加密容器后缀是一样的，我本身是没有想到密码是直接用找到的海报的

电脑桌面上有TC加密容器，所以可以采用tc解密的方法解决

直接挂载上去

你的新挂载的容器是看不到被删除文件的，所以需要数据恢复软件R-studio、x-ray挂载磁盘

或者

获得文件

公式秒

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6523365008214741321

同上第8题

虚拟币分析

将加密容器的npbk备份文件导入夜神模拟器做题，注意断网条件下，因为联网可能会导致看不到想要的数据。

这样的话就可以直接在手机里面看到，或者直接取证vmdk当作手机去做都可以的

1.分析涉案计算机，正确填写中转地址当前的代币种类__。（标准格式：BNB）

ETH

2.分析涉案计算机，正确填写中转地址当前的代币余额数量___。（标准格式：1.23）

4.4981

同上

3.根据中转地址转账记录找出买币方地址。买币方地址：_（标准格式：0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

案情里面有提到过买方地址

下面两个地址

4.根据中转地址转账记录统计买方地址转账金额。转账金额： ETH.（标准格式:12.3）

150.5

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A. raw sausage art hub inspire dizzy funny exile local middle shed primary

B. raw sausage art hub inspire dizzy funny middle shed primary

C. raw sausage art funny exile local middle shed primary

A

此题是判断助记词格式的题，一般情况下助记词是12个单词，以空格区分

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

A.0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B.0x63AA203086938f82380A6A3521cCBf9c56d111eA

C.0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

B

嫌疑人地址

流量分析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

B

中间有一段时间10.5.0.19这个服务器一直在被116.211.168.203这个ip持续访问

2.分析“数据包1.cap”，出问题的服务器IP地址是___。（格式：127.0.0.1）

116.211.168.203

同上

3.分析“数据包1.cap”，文件下发服务器的IP地址是___。（标准格式：127.0.0.1）

120.210.129.29

toto真神，过滤http导出特定分组之后清晰很多

先分析下面的题目后

这句话很透彻啊

2023年第一届“龙信杯”电子数据取证竞赛-CSDN博客

10.5.0.19是攻击机，120.210.129.29是文件下发的服务器，下发了java.log文件给攻击机

4.分析“数据包1.cap”，攻击者利用___漏洞进行远程代码执行。（标准格式：XXX）

struct2

其实一定要明白一段流量在干嘛，流量包过大该过滤过滤，该跳就跳

把握好ip等各种特征

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为___。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

elf开头这里就很有可能是linux的文件，怀疑java.log可能是木马

导出该文件分析

沙箱检测

6.分析“数据包2.cap”，其获取文件的路径是____。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

明显的获取资源的数据流

解密

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是___。（标准格式：123）

passwd

身份的http报头

base解密获得密码

8.分析“数据包2.cap”，其下载的文件名大小有____字节。（标准格式：123）

211625

导出对象

服务器取证1

1.服务器系统的版本号是___。(格式:1.1.1111)

 7.9.2009

2.网站数据库的版本号是___。(格式:1.1.1111)

5.6.50

3.宝塔面板的“超时”时间是___分钟。(格式:50)

120

宝塔一把梭

cp -r /www/backup/panel/ /root/ && cp -r /www/server/panel/data/ /root && rm -f /www/server/panel/data/close.pl &&bt default && bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5 && bt default

4.网站源码备份压缩文件SHA256值是___。(格式:64位小写)

be376e2409814309fd7eec79b7d2995a

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是___。(格式:abcd)

7f5918fe56f4a01d8b206f6a8aee40f2

可以看到盐值是md5加密后的lshi4AsSUrUOwWV

宝塔网站重构

宝塔 手机号登录绕过问题

参考文章：案例剖析：解决宝塔强制手机绑定问题的取证技巧与方法 (qq.com)

连接数据库问题

不知道数据库密码直接绕过mysql数据库密码

关闭数据库systemctl stop mysqld

编辑数据库配置文件vim /etc/my.cnf

在[mysqld]下面添加skip-grant-tables

重新开启sql:systemctl start mysqld

可以实现任意密码登录数据库

6.分发网站sb.wiiudot.cn一共存放了___条通讯录数据。（标准格式:1234）

67277

数据库统计条数

7.全部网站一共有___名受害人。(格式:xxx。不去重,不进行数据恢复)

506

注意看题目所有网站，所以要去对应网站源代码下面去找网站对应的数据库

sb.wiiudot.cn网站一共有267

tf.chongwuxiaoyouxi.com一共57个

wiiudot.cn绑定的一共182个

8.分发网站tf.chongwuxiaoyouxi.com里面一共有___位“组员级别”的管理员。(格式:数字)

26

组员对应id为22

统计组员人数

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是___。(格式:xxx)

443074

id为141

邀请码是443074

10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是___。(格式:xxx)

KE5f3xnFHYAnG5Dt

服务器取证2

1.请分析宝塔面板中默认建站目录是___。（标准格式：/etc/www）

/home/wwwroot

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是___。（标准格式：int(11)）

char(128)

符合条件的只有这个数据库

3.请分析“乐享金融”网站绑定的域名是___。（标准格式：www.baidu.com）

jinrong.goyasha.com

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是___。（标准格式：abcdefghijklmnopqrstuvwsyz）

d2174d958131ebd43bf900e616a752e1

找到对应网站的数据库

获得对应的mysql密码，navicat登录查看sjp数据库

做到这里的时候感觉有点不是很对，这题考的应该是找到登录密码生成逻辑

截取一部分代码

$result = Db::name('userinfo')->where(array('username'=>$data['username']))->whereOr('utel',$data['username'])->field("uid,upwd,username,utel,utime,otype,ustatus")->find();
​
if($result['upwd']==md5($data['password'].$result['utime']))

生成密码需要密码本身和utime,搜索数据库加密

ok啊，php直接构造

<?php
$data = 123456;
$utime = 1635837124;
$result = md5($data . $utime);
echo $result;
?>

网站重构要点

运行目录改到根目录

设置一个php版本

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是___。（标准格式：爱金融）

睿文化

6.请分析“乐享金融”一共添加了___个非外汇产品。（标准格式：5）

2

除了5之外的东西

这里注意选择没有被删除的，就两个

7.请分析“乐享金融”设置充值泰达币的地址是___。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

85CF33F97B46A88C7386286D0270CB3E

先过滤一波

最后一个

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是___。（标准格式：12345678）

1000087

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是___。（标准格式：张三）

​kongxin

仔细看题

正常人都会觉得放在bankcard里面的吧，但是不是张教瘦，他的uid对应着2917，可能遭到更改

需要找到他的用户名，他的用户名对应着kongxin

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是___。（标准格式：1888.668）

2896.924

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是___。（标准格式：2022-1-11.1:22:43）

2021-12-09 09:52:23

好的，直接查询是没有的

现在需要把宝塔里面的备份文件导入

这时候有结果了

转化一下时间

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

A

访问宝塔面板的日志：/www/server/panel/logs/request

输入通配符解压所有文件：gunzip *.gz

筛选

13.请分析该服务器镜像最高权限“root”账户的密码是___。（标准格式：a123456）

g123123

查看密码存放文件：/etc/shadow

付费记录？好的我穷

hash.txt

john --format=md5crypt --wordlist=rockyou.txt hash.txt