目录
一、前言
最近也是恰好备战第七届美亚杯,参加了美亚的培训,跟着复盘又重新做了一次2020年的赛题,个人赛很简单,网上也有很多版本,团赛好像没有完整的WP,当然我的WP也不够完整,也有部分的题没有得到答案,有什么不对的地方,师兄们可以指正。
总的来说难度不大,但是需要的时间应该是不少的,且关联性也比较强,尽管是团队协作也需要尽可能的多交流彼此发现的成果,不然很难达到协作的目的。
手机取证方面遇到了很大的难题,特别是安卓的wifi mac地址和IOS高版本的back up 取证,网上有一些资料,但是没有拿到dd文件能够取到的东西很有限。
运用到的工具:X-ways、取证大师、火眼一系列软件(仿真、分析)、效率源的手机取证工具、notepad++、quickhash
有高见的话,V:Faith_Tsir
二、Zello部分
- 30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9
- 想法比较取巧,直接查看磁盘最早的文件创建时间。可以看到是2020-09-03-10:22
- 直接查看即可:ubantu-vg
-
Pv卷和LV卷的信息都在/etc/lvm/backup中可以看到,用xways打开预览。PV UUID:IF6neD-j49V-704g-Uugw-X1fS-y4dE-8GV73g
-
同样VG UUID:XaJRmQ-S7Tp-tjaG-tmrX-VNyu-xhS7-
9zDttW - 直接查看: 5.4.0.48
-
20.04.1 LTS
-
Uname -a 查看:zello。文件位置位于/etc/hostname
-
查看/etc/machine-id:
- 仿真进去可以看到版本号,也可以通过查看\var\www\wordpress\wp-includes\version.php可以看到是“5.5.1”
- 通过选项还有history命令考虑到可能是ntp服务
查看/etc/ntp.cnf文件发现:NTP-server-host - 查看/etc/timezone或者仿真输入命令:timedatactl
-
通过last命令查看只有一个zadmain用户在登录
-
用D盾扫整个www目录,123.php很有嫌疑(这个名字就很离谱)拿去算一下
-
用记事本打开123.php,分析一下代码,很容易看懂。
- Title名字是Netflix
- 查看var/log/apache的日志,导出以后用notepad++查看,搜索一下,在log.3很明显的找到爆破痕迹。203.186.94.68(Hydra)。有渗透经验的同志应该很清楚Hydra(九头蛇爆破工具),在kali环境中使用,非常强大。
- http://zello-onlineshop.sytes.net
- 取证大师查看即可,xways也可以
- 取证大师可以直接看(忘记截图了)
- 直接搜索txt文件
- 题目有些出错,应该是9.29日的。查看access.log,很明显的发现是http get/post洪流
- 直接notepad++计数比较
- 还是选择使用直接利用选项计数比较
- 这其实是BOB的IP地址,在前面的案情里就可以发现,所以是在香港
- Count出来只有10条,Np++直接搜索“loggingout”(这题网上没有其他很好的答案)
- 前面有看到有爆破攻击“hydra“(详看第17题)
- 这个题不知道咋做。希望有大神给我解答。
三、Bob部分
路由器部分(29-34)
- 在BOB有关的图片里就可以找到路由器型号。
- BOB的调查报告里面里其的IP地址。
- 用X-ways查看Alice手机镜像 /etc/wifi/WCNSS_qcom_cfg.ini
- 找到一个,但是跟答案给的不对