第三届“长安杯”电子数据竞赛试题wp

话不多说，案情👇

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元；经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警；警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包--zhibo.apk（检材一），请各位回答下列问题：（题目中需要通过分析出来的答案对检材二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例：192.168.100.100-CAB2021）                          

1请计算检材一Apk的SHA256值（3FECEE93BE4F422C8446B77B6863EB6A39F19D8FA71FF0250AAC10F8BDDE73A）

                    

2 该APK的应用包名为   （plus.H5B8E45D3）

可以通过工具直接看👇

还可以通过ADB命令行查看👇

adb shell dumpsys activity top

     

3 该APK程序在封装服务商的应用唯一标识（APPID）为 (H5B8E45D)

4     "该APK具备下列哪些危险权限(多选题)：(ABCDE)

A.读取短信  B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信"   

可以通过工具直接分析

也可以根据jadx逆向看👇 图中都是该apk获取的权限

      

5     "该APK发送回后台服务器的数据包含一下哪些内容(多选题)：（ACDE）

A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息"    

这种题静态分析比较困难，动态抓包会容易些👇这里用的是fiddler抓包

抓包之前先随便添点自己模拟器的通讯录、短信等信息，便于看回传数据类型👇

上图可以看出回传了，手机号、验证码、通讯录（但需要url解码），但还有个GPS没显示，根据上一题获取权限也能分析出

6     该APK程序回传通讯录时,使用的http请求方式为（POST）

上题图👆                 

7     该APK程序的回传地址域名为【标准格式：www.abc.com】（www.honglian7001.com）

上上题图👆        

     

8     该APK程序代码中配置的变量apiserver的值为【标准格式：www.abc.com/abc】（http://www.honglian7001.com/api/uploads/）     

Jadx全局搜一下，没搜到

怀疑被加密。。。最后在资源文件中登陆页面找到加密字符

Sojson.v4解密👇

9     分析该APK，发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为【标准格式：www.abc.com/abc】 （http://www.honglian7001.com/api/uploads/apisms）

本来以为在jadx中找，结果还在刚才sojson加密的文件中

      

代码审计，就是在刚才的apiserver+apisms即为回传地址

10   经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为（test.db）

10、11题很坑。。。需要用雷电分析中自带的脚本跑，能跑出数据库名和密码

11   经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为（c74d97b01eae257e44aa9d5bade97baf）

如上👆

经过掌握的APK程序后台服务器回连地址，警方成功调取该服务器的镜像，请使用第7题的答案对检材二进行解压进行分析，并回答下列问题：                           

12   检材二的原始硬盘的SHA256值为： （E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589）

        

13   查询涉案于案发时间段内登陆服务器的IP地址为【标准格式：111.111.111.111】  （192.168.110.203）

根据前面案情可知，案发时间在4月24日，查看登陆情况（last命令）👇，虽然有几个不同ip，后面PC检材可以验证

pts指远程，tty指直连，down指正常关机，crash指强制关机

14   请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（负载均衡）【格式：文件存储】

首先看看端口，没发现啥

在看看历史命令，发现很多猫腻。下图是经常访问的目录

打开后发现配置文件ADProxy.js

代码审计一番，发现该服务器把ip分为四段，根据第三段所处范围决定发往三台不同服务器，减轻流量压力，因此，该服务器作用应是负载均衡。而且该服务器启动命令在历史记录中可发现👇

15   上一题中，提到的主要功能对应的服务监听的端口为：（80）

修改端口在之前的README.txt文件中可看，在const.js中👇

16   上一题中，提到的服务所使用的启动命令为：（node app.js）

上上题图👆               

17   经分析，该服务对于请求来源IP的处理依据是：根据请求源IP地址的第（3）位进行判断【标准格式：9】  

上上上题图，别忘了是从0开始

18   经分析，当判断条件小于50时，服务器会将该请求转发到IP为（192.168.110.111）的服务器上【标准格式：111.111.111.111】      

14题图  

19   请分析，该服务器转发的目标服务器一共有几台【标准格式：9】（3）      

14题图         

20   请分析，受害者通讯录被获取时，其设备的IP地址为【标准格式：111.111.111.111】（192.168.110.252）

寻找案发当日的日志👇

除了嫌疑人本地登陆的ip192.168.110.203外，还有两个ip，可能是两位受害人。一个是红米，一个是安卓，可以根据对手机的分析确定答案，但不管是哪个ip，都会被转发到113服务器上

21   请分析，受害者的通讯录被窃取之后，经由该服务器转发到了IP为（192.168.110.113）的服务器上【标准格式：111.111.111.111】

解析如上👆

通过对检材二的分析，警方进一步掌握并落地到了目标服务器地址，通过对服务器进行证据固定，得到服务器镜像--检材三，请使用第21题答案对检材三进行解密并分析，回答下列问题：

22   检材三的原始硬盘的SHA256值为： （205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF）

    

23   请分析第21题中，所指的服务器的开机密码为：（honglian7001）

这种题完全不用着急，后面pc远程连接记录肯定有

当然，也可以hashcat硬爆哈哈~

24   嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为：（hl123）      

首先bt 14找到宝塔入口

5重置密码就完事了

25   请分析用于重置宝塔面板密码的函数名为（set_panel_pwd）     

宝塔面板，配置在哪啥也不知道，上网搜下发现宝塔后台数据库叫default.db

搜下数据库，发现一堆关于宝塔文件的位置

在panel文件中手翻。。。找到tool.py文件，终于看到加密方式👇

             

26   请分析宝塔面板登陆密码的加密方式所使用的哈希算法为(md5) 

上题图👆     

27   请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法（3）

上上题图，发现加密过程中调用了public类，去看看这个类👇在/www/server/panel下

Public类中搜索password找到密码加密方式，发现md5加密2次，再加上之前tool.py加密一次，一共加密3次

28   请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】（v87ilhAVumZL）

打开宝塔面板数据库default.db，在user表中可看👇

29   请分析该服务器，网站源代码所在的绝对路径为（/www/wwwroot/www.honglian7001）

             

30   请分析，网站所使用的数据库位于IP为（192.168.110.115）的服务器上（请使用该IP解压检材五，并重构网站）【标准格式：111.111.111.111】

遍历网站文件，找数据库文件

                    

31   请分析，数据库的登陆密码为【区分大小写】（wxrM5GtNXk5k5EPX）

上图👆

32   请尝试重构该网站，并指出，该网站的后台管理界面的入口为【标准格式：/web】（admin/common/login）

发现给了三个数据库服务器的镜像，要raid重组。。。我用的Rstudio，直接组就能组起来，导出镜像时选vsk便于分析

在该数据库的网站urlconfig表中，可以看到后台地址👇

后台👇

33   已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】（lshi4AsSUrUOwWV）

在网站目录里翻👇

      

             

34   请分析该网站的管理员用户的密码为：

数据库表里，但是加密的👇加密方式也看过了，难解。。。

后来发现其实是在服务器日志文件里。。。24.log

进去之后搜POST，或者password都能找到密码

35   在对后台账号的密码加密处理过程中，后台一共计算几次哈希值(3)

上上题图👆               

36   请统计，后台中，一共有多少条设备记录（6002）

37   请通过后台确认，本案中受害者的手机号码为（18644099137）

翻他手机聊天记录，没找到手机号，看他聊天时间和后台数据库时间

确定手机号为18644099137

                    

38   请分析，本案中受害者的通讯录一共有多少条记录（1145066）

上上题图可知                    

通过对检材二和三进行分析，警方通过IP落地，警方掌成功抓获犯罪嫌疑人，现将嫌疑人的PC机和手机进行了取证，分别制作了镜像，请使用第13题的答案对检材四进行解密，并回答下列问题

39   请计算检材四-PC的原始硬盘的SHA256值（E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B）

              

40   请分析，检材四-PC的Bitlocker加密分区的解密密钥为（511126-518936-161612-135234-698357-082929-144705-622578）

直接全盘搜bit，结果真搜到了

                    

41   请分析，检材四-PC的开机密码为（12306） 

      

42   经分析发现，检材四-PC是嫌疑人用于管理服务器的设备，其主要通过哪个浏览器控制网站后台（Chrome）

翻浏览器记录

      

43   请计算PC检材中用户目录下的zip文件的sha256值（0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3）

目录👇

44   请分析检材四-phone，该手机的IMEI号为（868668043754436或868668044204431）

        

45   请分析检材四-phone，嫌疑人和本案受害者是通过什么软件开始接触的【标准格式：支付宝】（伊对）

翻聊天记录就完事了，内容很搞笑哈哈   

46   请分析检材四-phone，受害者下载恶意APK安装包的地址为（https://cowtransfer.com/s/a6b28b4818904c）

聊天记录里有

      

47   请分析检材四-phone，受害者的微信内部ID号为 （wxid_op8i06j0aano22）

翻

    

48   请分析检材四-phone，嫌疑人用于敲诈本案受害者的QQ账号为（1649840939）

      

49   请综合分析，嫌疑人用于管理敲诈对象的容器文件的SHA256值为（9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608）

结合43题，合理怀疑该压缩包有问题。导出后不知道解压密码，先用数字简单爆破一下，结果还真开了👇密码12306

打开是个虚拟机，把虚拟机打开看看，同时解析一下

在用户中找到登陆密码

登陆后是空电脑。。。。翻来翻去发现快照👇

恢复快照发现很多东西👇

经过人工遍历。。。在用户文档中找到容器“小白鼠”，算下哈希👇

50   请综合分析嫌疑人检材，另外一受害者“郭先生”的手机号码为（15266668888）

经过漫长的搜索，在虚拟机找到了加密容器和密钥文件👇

挂上之后找到郭先生👇

51   通过嫌疑人检材，其中记录了几位受害者的信息（6位）

如图👇5位，其实他还删除了个李先生。。。。。。

     

52   请使用第11题的密码解压“金先生转账.zip”文件，并对压缩包中的文件计算SHA256（CD62A83690A53E5B441838BC55AB83BE92FF5ED26EC646D43911F119C15DF510）

解压、导出、算

53   请综合分析，受害者一共被嫌疑人敲诈了多少钱（转账截图被隐藏在多个地方）（6600）

虚拟机中金先生转账2k

QQ聊天记录600

      

微信2k

192.168.115.115数据库1k，伊对1k

总共6k6

欢迎各位大佬前来交流~