任务目标
第一部分:电子数据提取与固定 (30%)
总体要求:根据提供的检材,完成指定电子数据提取
任务 1:检材 1.rar 上的任务 (14 分)
检材是一个手机备份,请通过技术手段提取以下信息。
1. 提取名称为“陈伦国”的联系人的手机号码,以此作为flag 提交。(答案格式如:
13012345678) (2 分)
13800620796
com.android.contacts文件夹这是通讯录与拨号文件夹
notepad打开搜索陈伦国
2.提取最早卸载的软件的包名称,以此作为 flag 提交。 (答案格式如:com.abc.dd) (3 分)
com.jndsapp.info
com.xiaomi.app.market是小米应用商城的包
在db下面有个market_2.db的库,package_remove_history表记录了卸载的时间
3.提取以“HUAWEI_”开头的 WIFI 连接的密码,以此作为 flag 提交。 (答案格式 如:abcd1234) (2 分)
39F!F=qH
com.android.config.settings 是 Android中“设置”的程序文件
miui_bak文件下cfg_bak记录了WiFi的名称
使用FileLocator搜索HUAWEI也是可以的
4. 提取嫌疑人预约的看牙医的时间,以此作为 flag 提交。 (答案格式如:2020-01-01 (到日即可) ) (4 分)
下周五2点
com.miui.notes是小米笔记的包
把文件格式转换成utf-8可以看到中文
5.提取爱聊应用中用户 id 以 4503 结尾的用户的昵称,以此作为flag 提交。 (答案格式 如:nihao 上海 1234) (3 分)
后来的我们
com.mosheng是爱聊应用的安装包
在db下找到16990363723037_user.db打开有table_user_detail表记录着用户信息
任务 2:检材 2.rar 上的任务 (16 分)
检材是一个电脑制作的镜像,请根据该镜像文件回答以下内容 (以下答案都采用英文半角) :
1.提取本地网口 ens33 的 IP 地址,并以此作为 flag 提交。 (答案格式:XX.XX.XX.XX)(1 分)
172.16.120.113
火眼解析网络信息
2.提取操作系统 root 用户的登录密码,并以此作为 flag 提交。 (答案格式:abcd1234) (2 分)
2003rootfinal
备忘.txt记录的有密码
可以新建一个虚拟机然后把disk.vmdk加进去测试密码
3.数据库中存放了大量用户的信息,请找到该表,提取手机号码为“13604329317”的用户的名称,并以此作为 flag 提交。 (答案格式:写出名称) (2 分)
vma
在火眼证据分析中找到mysql,数据库解析到数据库取证分析,sql语句查询
select name,phone_number,user_name from user
where phone_number='13604329317'
4. 已知电脑中有一个抓包文件,请对该文件进行分析,给出流量包中可以获取的最大的图 片的大小 (单位字节) ,并以此作为 flag 提交。 (答案格式:12345) (3 分)
217406
find找一下流量包位置在哪里
find / -name "*.pcapng"
导出http-->http,content type换成image/png,导出图片看大小
5.抓包文件中找到“组织架构.zip”文件,计算其 MD5 (128 位) 值,以此作为 flag 提交。 (答案格式:C4CA4238A0B923820DCC509A6F75849B,字母大写) (3 分)
5AE00DA858568A790CBDE139C4AAA6E3
搜索zip,找到data右键导出分组字节流,导出算一下哈希
6. 请给出“高柳”的上线的上线的名称,并以此作为flag 提交。 (例如:赵二的上线是张三,张三的上线是李四,则赵二的上线的上线就是李四) (5 分)
王勇
先把数据库的password字段的密码导出为txt,然后使用passware密码字典爆破找到密码为^73AwOro6K
第二部分:电子数据恢复 (30%)
任务 3:检材 3.rar 上的任务 (14 分)
1.对磁盘进行修复并加载成功后,计算磁盘的MD5 值,并以此作为flag 提交。 (答案格式:69271864341AA3B2C1E6F2DCA5E90666) (2 分)
E9A881988A46953422BCA3BA0EB2FF99
把四个镜像放到winhex里面,磁盘M,Q是正常的,磁盘L,X缺少一些引导,复制磁盘MQ的引导两部分ctrl+s保存,然后退出winhex重新打开磁盘L,X显示分区,标识修复成功
火眼证据分析工具箱里面可以组raid,把四块磁盘放到工具里面,软raid信息查询可以看到起始扇区为65664,点击生成文件
ftk挂载镜像,可以看到修复成功,可以看到里面的文件,然后把镜像放到哈希工具,
MD5:E9A881988A46953422BCA3BA0EB2FF99
2.对磁盘进行修复并加载成功后,磁盘共计有多少个扇区。 (答案格式:1) (2 分)
6094464
镜像放到winhex查看即可
3.给出磁盘中的数据库 root 用户最后一次修改密码的时间,并以此作为flag 提交。 (答 案格式:2022-12-12 12:01:11) (3分)
2021-03-17 15:49:52
数据库取证工具文件夹导入,找到mysql下的user表,root账号对应的password_last_changed:2021-03-17 15:49:52
4.磁盘中的数据库里有一张表记录了发布的通知,给出最后一次通知创建的时间,并以此 作为 flag 提交。 (答案格式:2022-12-12 12:01:11) (3 分)
2017-12-14 17:22:35
数据库取证工具里面可以恢复删除掉的数据带红叉的就说删除过的,
game库下面announcement_detail表里面update_time字段
使用sql语句
select MAX(update_time) from announcement_detail
时间戳最大为1513243355
转换时间为2017-12-14 17:22:35
5.磁盘中的数据库里有一张表记录了管理员账号,给出这张表里记录的密码的密文,并以 此作为 flag 提交。 (4 分)
cjyp2017zxcd
dealer_account_user表里面secret字段cjyp2017zxcd
任务 4:检材 4.rar 上的任务 (16 分)
1. 对虚拟机进行分析,并找出其中“李真宝”的身份证号,并以此作为flag 提交。 (2 分)
51111119410922966X
火眼解析找到BitLocker密钥文件
密钥245344-058476-611941-554180-502766-315854-137104-196614
直接在火眼里面输入BitLocker密钥
2. 对虚拟机进行分析,并找出其中“黄季恬”的身份证号,并以此作为flag 提交。 (2 分)
131121195402215888
data.txt是vc容器,123.mem是内存镜像
123.rar的解压密码在同级目录123.txt中
密码:gabczx1999
使用Elcomsoft Forensic Disk Decryptor加载data.txt,123.mem,分析完毕导出一个raw
最后在火眼挂载在文件可以看到raw镜像里面的内容
3.对虚拟机进行分析,并找出其中“王达离”的手机号,并以此作为flag 提交。 (3 分)
15001888577
rstudio跑一下,word文档记录的有
4.对虚拟机进行分析,并找出其中“陈右绮”的手机号,并以此作为flag 提交。 (4 分)
15806897653
先用rstudio跑一下,找打删除的图片,恢复出来看到陈右绮
盲猜手机号在名字下面,改一下图片的宽10进制转16进制
1200转16进制为4B0
在winhex里面替换第二行第二列的数据,就可以看到手机号了
5. 对虚拟机进行分析,并找出其中“杜春玟”的手机号,并以此作为flag 提交。 (5 分)
15382469711
Rstudio找到杜春玟这个图片,感觉是steg隐写
使用steg打开该图片
导出文件夹,发现里面有个图片,导入steg中,导出文件发现会出现几个文件
这个压缩包有密码,爆破密码1qaz2wsx
可以看到手机号为15382469711
第三部分:电子数据分析 (40%)
任务 5:检材 5.rar 上的任务 (17 分)
获取了一个服务器镜像,服务器镜像中包含了 1 个集群和网站服务,请通过技术手段进行 分析。
1.提取系统中容器名称为 namenode 节点的容器 ID,并以此作为 flag 提交。 (答案格式如:取前 12 位即可,12345678abcd) (2 分)
99131b4891b0
仿真起来
docker ps -a查看节点信息
2.获取集群中的名称为“tom-xiao”的用户的 card- id,并以此作为 flag 提交。 (答案格式如:110123456789023456) (2 分)
130109198001019201
先修改centOS下的/etc/selinux/config
vi /etc/selinux/config
将SELINUX=disabled 改成 SELINUX=permissive
3.数据库的备份数据以扩展名为 zip 的文件存储在系统中,找到该 zip 文件计算其 MD5 (128 位) 校验值,并以此作为 flag 提交。 (答案格式如: C4CA4238A0B923820DCC509A6F75849B,字母大写) (3 分)
164BDFC3E35173FF312270FA2BD5A7F6
linux命令find / -name '*.zip'
md5sum /var/www/pay.zip
4.找到网站连接数据库的密码,并以此作为 flag 提交。 (答案格式如:123456abcdef) (3 分)
@d*E5x^N
把www下载下来,使用vscode打开,搜索pwd可以看到面试base64加密的,db.php里面记录的有密码,base64转一下
5.给出数据库中存储网站的后台管理员的数据表的名称,并以此作为flag 提交。 (答案格 式如:abctable) (3 分)
pay_sjtadminsjt
查看hbase另外一张表‘passinfo’,获得pass为STmk6GZN
将解压下来的sql导入到数据库中,分析数据表及其内容即可定位
6.给出编号为 10100 的商户的资金交易变动后,最终的金额,并以此作为flag 提交。 (答 案格式如:100.100) (4 分)
34.200
任务 6:检材 6.rar 上的任务 (23 分)
1.请分析手机模拟器中的即时通讯 APP,计算该 APK 的 MD5,并以此作为 flag 提交。 (答 案格式:69271864341AA3B2C1E6F2DCA5E90666) (2 分)
891ABE5A8D00B23765D0CAF56D2ECCA6
即时通讯
chat是聊天的意思
2.给出该 APP 后台服务器的域名,并以此作为 flag 提交。 (答案格式:仅包含域名) (2 分)
xingchenim.cn
雷电app代理抓包发送短信可以抓到
3.给出该 APP 当前账号加密聊天记录数据库时使用的密钥,并以此作为flag 提交。 (4 分)
e6ecb900-aa41-439c-9de8-2503e00e308e
在setAuthInfo函数中,调用decodeToken函数来解密token并生成密钥
decodeToken中,对token解base64,随后调用decrypt_data进行解密,函数的定义在libemqtt.cc中
4.给出该 APP 中与“谭永”聊天最后一条消息的时间,并以此作为flag 提交。 (答案格式:2022-02-02 11 :11 :11) (3 分)
2022-08-02 03:45:25
5.给出该 APP 中用户发给“谭永”的压缩包文件的 MD5,并以此作为 flag 提交。 (3 分)
8ba084496cd8a7bb360d0b585472be94
6.对上述 APP 进行分析,找出“吴延凡”的身份证号,并以此作为 flag 提交。 (4 分)
54012219070114068X
1452
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
