背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但 “HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
检材一
1 .检材1的SHA256值为
9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34
2 .分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2
172.16.80.100
3 .材1中,操作系统发行版本号为
仿真时可以查看
7.5.1804
4.检材1系统中,网卡绑定的静态IP地址为
172.16.80.133
5.检材1中,网站jar包所存放的目录是
从历史命令里面可以看出这些jar包的目录都是/web/app/
6 .检材1中,监听7000端口的进程对应文件名为
查看端口命令 netstat -aux或者netstat -altp都没有看到7000端口,所以应该猜测是某个文件启动后才监听这个端口,然后我们去找jar包
找到jar包,然后导出分析
导出后解压,然后一个一个查看
点开后发现这个文件监听7000端口
所以文件名为 cloud.jar
7 .检材1中,网站管理后台页面对应的网络端口为
在检材一中是没有发现的的
分析检材二时,发现了历史浏览记录里面有这个后台管理的网址
9090
然后可以看出这个人应该是远程控制检材一的电脑,然后删除了网站里的一些东西
8 .检材1中,网站前台页面里给出的APK的下载地址是
在检材一中是没法看到的,然后通过查看wp发现在图片里面尽然有这个二维码(真的太难想到了)
https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
9 .检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
导出的jar包是网站的jar包,所以我们再次回到jar包里面找有用的信息
先去admin里面找
发现了这串字符,然后MD5
10 .分析检材1,网站管理后台登录密码加密算法中所使用的盐值是
见上图
检材二
根据IP地址落地及后续侦查,抓获了搭建网站的技术员,扣押了其个人电脑并制作镜像“检材2”,分析所有掌握的检材回答下列问题
11 .检材2中,windows账户Web King的登录密码是
135790
12. 检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3
17.16.80.128
13. 检材2中,powershell中输入的最后一条命令是
做法有两个:
我的做法,我先是查看了
然后去这个存放powershell的文件路径里面找,然后找到了这个
查看一下是ipconfig
第二种,仿真
打开powershell按↑键查看上一条输入命令
发现就两条命令,然后第一条也是txt文档的第一条指令,所以判断上面那个文件就是存放历史指令的文件
14. 检材2中,下载的涉案网站源代码文件名为
查看浏览器下载记录,发现下载了四个zip
然后再结合浏览历史记录里面的ZTuo判断应该是第三个包
ZTuoExchange_framework-master.zip
15.检材2中,网站管理后台root账号的密码为
root
16.检材2中,技术员使用的WSL子系统发行版本是
从网上找查看指令
20.04
17.检材2中,运行的数据库服务版本号是
查看他的数据库,发现只有b1的和其他的不同,但b1应该是网站的,所以我们这里填其余的那些版本的
8.0.30
18.上述数据库debian-sys-maint用户的初始密码是
debian-sys-maint这个是Debian或Ubuntu服务器才有的自带用户默认的路径在Linux系统下的\etc\mysql\debian.cnf文件里我们去找这个文件
19.检材3服务器root账号的密码是
找ssh连接的指令
检材三
根据网站前端和技术员个人电脑上的线索,发现了网站后端所在的服务器IP并再次调证取得“检材3”,分析所有掌握的检材回答下列问题
20 检材3中,监听33050端口的程序名(program name)为
使用正常的查看端口指令并没有发现,我们xshell连上以后查看历史命令,发现大量docker指令
所以我们启动docker
然后继续查看端口指令
发现就是docker-proxy
21 除MySQL外,该网站还依赖以下哪种数据库
还是回到检材一的那个admin文件
mongodb
另外在历史命令里面也可以看到
22 检材3中,MySQL数据库root账号的密码是
shhl7001
23 检材3中,MySQL数据库在容器内部的数据目录为
查看历史命令,发现一直在查看这个文件
我们进去看一下
路径为 /var/lib/mysql
24 涉案网站调用的MySQL数据库名为
检材一当时就说了这个网站的数据库是b1
25 勒索者在数据库中修改了多少个用户的手机号?
根据前面的提示,去这个/data/mysql/db文件夹下查看
我们这里可以使用xftp连接,打开真的很方便
然后我们查看该文件夹
查看log文件,进来搜phone然后查看数了一下就三个
26 勒索者在数据库中删除的用户数量为
搜索delete,一共28次
27 还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
查看指令,发现检材4都把数据库给删除了
但是我们知道检材二里面有检材四的数据库备份
直接用火眼自带的数据库分析分析,查看access表发现有两个地址
172.16.80.100是检材一的,所以这个172.16.80.197就是该题目的,解压检材4,成功
28 还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
cee631121c2ec9232f3a2f028ad5c89b
29 还原全部被删改数据,共有多少名用户的会员等级为'LV3'
连接到navicat
将检材二中的b1数据库复制出来导入到检材三的/data/mysql/db文件夹下
然后用navicat连接mysql
常规使用root shhl7001 SSH使用root 123456 记得先开启docker
导入进去发现b1的member数据库删了一部份数据,前面也提到过少了28个,所以我们这里去前面的8eda.log那个文件里找他的mysql日志,发现了他插入的语句
复制下来在navicat里面直接补全,然后查询等级3的用户
164个
30 还原全部被删改数据,哪些用户ID没有充值记录
直接查看这个balance=0的
31 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录?
1000
32 还原全部被删改数据,该网站中充值的USDT总额为
408228
检材4
33 嫌疑人使用的安卓模拟器软件名称是
检材4解压出来是一个npbk文件,去网上查了一下是夜神模拟器
注意这个东西是可以直接用bindzip解压的,然后取证直接取vmdk文件
34 检材4中,“老板”的阿里云账号是
forensixtech1
35 检材4中安装的VPN工具的软件名称是
v2rayNG
36 上述VPN工具中记录的节点IP是
37 检材4中,录屏软件安装时间为
2022-10-19 10:50:27
38 上述录屏软件中名为“s_20221019105129”的录像,在模拟器存储中对应的原始文件名为
去查找这个文件的路径,发现了这个文件保存的路径
拿到原始文件名
0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d
39 上述录屏软件登录的手机号是
在火眼里面是看不到的
这道题的做法是根据上面找到的数据库文件
必须要将这个record文件的配置文件一起导出来,不然看不到完整的数据,导入到一个文件夹后,用navicat查看
可以看到完整的手机号18645091802
40 检材4中,发送勒索邮件的邮箱地址为
skterran@163.com
加密程序
分析邮件可以知道这个勒索邮件是检材二也就是技术人员发的,去他的D盘里面可以找到这些文件,然后导出来,记得关闭火绒
41 分析加密程序,编译该加密程序使用的语言是
打开一看就知道python图标
42 分析加密程序,它会加密哪些扩展名的文件?
要先对加密程序进行逆向分析,从网上下载了一个脚本PyInstaller Extractor download | SourceForge.net
将脚本和exe放到一个文件夹下面,然后进行逆向
拿到了一个逆向后的文件
其中那个encrypt_file_1就是逆向后解开的文件
里面有两个.pyc文件,encrypt_file_1和struct(要自己加上.pyc文件尾)其中struct文件能打开,encrypt打不开,去看了一部分wp发现encrypt文件文件头有问题,我们用winhex进行修改
可以发现encrypt文件少了一部分文件头,我们给它加上,然后进行反编译
在网上找了个pyc文件反编译的工具在线的
然后将反编译出来的脚本复制出来
可以看到这几种加密文件txt.jpg.docx.xls
43 分析加密程序,是通过什么算法对文件进行加密的?
这是加密代码
复制到gpt上面看一下,发现加密过程是这样的
这是一个异或加密
44 分析加密程序,其使用的非对称加密方式公钥后5位为?
这一部分是公钥,然后后五位是u+w==
45 被加密文档中,FLAG1的值是
要使用解密文件.exe才能拿到flag
我们用解密encrypt的方法解密decrypt
这里就不再赘述
拿到了密码
4008003721
然后运行程序
加密勒索apk程序
这里说的apk是第八题说的那个网址下载的,我们把它下载下来分析
46 恶意APK程序的包名为
雷电直接跑
cn.forensix.changancup
47 APK调用的权限包括
48 解锁第一关所使用的FLAG2值为
这里要进行反编译分析了
看了一眼这个文件
发现他加壳了,首先进行脱壳
直接搜索flag
MATSFRKG
49 解锁第二关所使用的FLAG3值为
TDQ2UWP9
这道题目看了一些WP,由于我的代码水平真的很菜,实力还是上不去所以就到此为止吧。O(∩_∩)O
50 解锁第三关所需的KEY值由ASCII可显示字符组成,请请分析获取该KEY值
a_asd./1imc2)dd1234]_+=
爆破得出的