2022第四届长安杯电子数据取证竞赛题解报告
原创,作者Xmin
背景
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用“USTD币”购买所谓的“HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
检材1
1. 检材1的SHA256值为
火眼打开之后计算出希哈值:9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34
2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2
这个该怎么找,具体有两种办法,但是都是从登录日志来看,首先是把检材1仿真出来然后查看最近的登录日志
last | less
![[图片]](https://img-blog.csdnimg.cn/68010c740b3345c58e6586719ca23ca6.png
登录的ip是172.16.80.100
在一个是使用证据分析软件分析然后分析–>linux基本信息–>登录日志
从里面的摘要里面看到登录的ip是172.16.80.100
Linux日志解析里面也有
3. 检材1中,操作系统发行版本号为
cat /etc/redhat-release
Cntos Linux release 7.5.1804 (Core)
4. 检材1系统中,网卡绑定的静态IP地址为
ifconfig
172.16.80.133
5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)
分析–>Linux基本信息–>历史命令
分析历史命令可以得知网站的jar包在/web/app
里面
6. 检材1中,监听7000端口的进程对应文件名为
解这道题可以把app里面的jar包都跑起来看看,看看哪个jar包运行之后监听了7000端口
答案是cloud.jar
要分析完五个jar包才得出答案!
7. 检材1中,网站管理后台页面对应的网络端口为(答案填写阿拉伯数字,如“100”)
到这里,我们已经找到网站的jar包了,但是我们没有网站的启动脚本(从历史命令里可以得知他被root删除了),这时候网站的启动需要经过很多调试,操作很复杂,这也是这次长安杯留下的第一个坑。但是进入第二个检材之后就可以在磁盘里找到启动脚本
在检材2仿真的虚拟机中的Google浏览器里面有网站后台的登录页面,端口是9090
再一个,从取证工具里面也能看到管理员后台的端口是9090
8. 检材1中,网站前台页面里给出的APK的下载地址是(答案格式如下:“https://www.forensix.cn/abc/def”)
7·8两个题都需要把网站启动起来
从文件里面发现了一千多张图片文件,我直接搜索了app的文件名,有若干个二维码,其中就有一个叫app_andraio.png的二维码,怀疑这就是apk下载二维码,但是没有找出网址
用手机扫码之后可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
另外还可以把二维码down下来,然后从cyberchef解密一下
https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
对admin-api.jar
进行逆向分析,我们在什么都不知道