2023蓝帽杯初赛--取证部分

dbuj7

已于 2023-09-01 17:54:31 修改

阅读量1.4k

点赞数

文章标签：网络安全

于 2023-09-01 17:53:35 首次发布

本文链接：https://blog.csdn.net/m0_64787014/article/details/132627718

版权

首先对这次初赛发表一下自己的看法：
感觉这次的蓝帽杯出题说实话跟五月份盘古石杯的出题思路差不多QAQ（指的是答案抽象程度等，但是有些题目还是出的挺好的）
由于本人的其他两位队友比赛时都有事情在忙，答题时间比较短，所以基本算是本人一个人打出来的（当然不是说队友没打，他们做出来好几道正确答案捏QAQ）
还有就是，半决赛去不了了wuwuwu~
在这里插入图片描述
接下来就进入复盘吧

1. 涉案apk的包名是？

com.vestas.app

在这里插入图片描述

2. 涉案apk的签名序列号是？

0x563b45ca

在这里插入图片描述

3. 涉案apk中DCLOUD_AD_ID的值是？

2147483647

反编译后使用jadx查看源码中AndroidManifest.xml文件查找DCLOUD_AD_ID即可!
在这里插入图片描述

4. 涉案apk的服务器域名是？

https://vip.licai.com
抓包查看，去掉端口即可
在这里插入图片描述

5. 涉案apk的主入口是？

io.dcloud.PandoraEntry
主入口就是主activity 在这里插入图片描述

6. 该镜像是用的什么模拟器?

雷电模拟器
看日志文件在这里插入图片描述

7. 该镜像中用的聊天软件名称是什么？

与你
在这里插入图片描述

8. 聊天软件的包名是？

com.uneed.yuni
在这里插入图片描述

9. 投资理财产品中，受害人最后投资的产品最低要求投资多少钱？

5万
在这里插入图片描述

10. 受害人是经过谁介绍认识王哥？

华哥
在这里插入图片描述

11. 请给出计算机镜像pc.e01的SHA-1值？

23f861b2e9c5ce9135afc520cbd849677522f54c
在这里插入图片描述

12. 给出pc.e01在提取时候的检查员？

pgs
在这里插入图片描述

13. 请给出嫌疑人计算机内IE浏览器首页地址？

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE
仿真起来直接打开IE看
在这里插入图片描述

14. 请给出嫌疑人杨某登录理财网站前台所用账号密码？

yang88/3w.qax.com
在这里插入图片描述

15. 请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？

2023春季更新(14309)
仿真起来看
在这里插入图片描述

16. 请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？

24cfcfdf1fa894244f904067838e7e01e28ff450
在这个E01镜像里面是查不到这个文件的
在这里插入图片描述
去仿真看一下，发现D盘有个disk.img的镜像，于是取证软件导出

跑出来发现确有该文件，计算即可

17. 请给出嫌疑人VeraCrypt加密容器的解密密码？

3w.qax.com!!@@
搜密码就出来个txt，就出来了QAQ
在这里插入图片描述

18. 请给出嫌疑人电脑内iSCSI服务器对外端口号？

3261
在这里插入图片描述

19.请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？

user/panguite.com
在这个界面里面可以看到用户名是user
在这里插入图片描述
但是密码是不知道的，于是想到去找配置文件去。很巧在C:\Program Files\StarWind Software\StarWind目录下找到了StarWind.cfg这个文件，肯定是配置文件了，打开搜索user即可

20. 分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？

1019
对刚找到的disk.img镜像分析，发现里面有一个2G大小的txt文档，打开发现为乱码，结合上面题目找VC容器密码，判断其为VC容器，密码即为17题答案，发现正确，打开发现提现记录.xlsx文件。
在这里插入图片描述

在这里插入图片描述

21. 请给出计算机内存创建北京时间？

2023-06-21 01:02:27
imageinfo命令（volatility）
在这里插入图片描述

22. 请给出计算机内用户yang88的开机密码？

3w.qax.com
弘连有
在这里插入图片描述

23. 提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？

2023-06-21 01:01:25
在这里插入图片描述

24. 请给出用户yang88的LMHASH值？

aad3b435b51404eeaad3b435b51404ee
hashdump命令，显示的第一个哈希值是LMHASH,第二个是HTLMHASH
在这里插入图片描述

25. 请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？

2023-06-21 00:29:16
mftparser命令
在这里插入图片描述

26. 请给出“VeraCrypt”最后一次执行的北京时间？

2023-06-21 00:47:41
pslist命令
在这里插入图片描述

27. 分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？

2
火眼直接看
在这里插入图片描述

28. 请给出用户最后一次访问chrome浏览器的进程PID？

2456
还是pslist命令（前面一个是pid，后面是ppid）
在这里插入图片描述

29. 分析涉案服务器，请给出涉案服务器的内核版本？

3.10.0-957.el7.x86_64

30. 分析涉案服务器，请给出MySQL数据库的root账号密码？

ff1d923939ca2dcf
已知该服务器使用宝塔搭建网站，登录宝塔查看配置文件去
在这里插入图片描述

31. 分析涉案服务器，请给出涉案网站RDS数据库地址？

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
看宝塔面板日志即可
在这里插入图片描述

32. 请给出涉网网站数据库版本号?

5.7.40
阿里调证文件夹里有个xb文件，使用notepad++打开查看最后显示日志名
在这里插入图片描述

33. 请给出嫌疑人累计推广人数？

69
这里需要我们重构网站哩
借用一下网上的做法
首先，我们要先还原数据库
参考文章：
https://blog.csdn.net/weixin_40230682/article/details/118703478

安装qpress
wget <http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar>
tar xvf qpress-11-linux-x64.tarchmod 775 
qpresscp qpress /usr/bin

在这里插入图片描述
安装xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

在这里插入图片描述

yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

在这里插入图片描述
使用xftp把.xb数据库传到服务器上，再

cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /www/server/data

在这里插入图片描述
解压完后进入/www/server/data进行解压，进行下面操作的时候会报错，但是不要紧

cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data
chown -R mysql:mysql /www/server/data

在这里插入图片描述
修改mysql配置文件

vim /etc/my.cnf
在[mysqld]块下添加lower_case_table_names=1

在这里插入图片描述
重启MySQL服务

登录数据库，这里也可以发现版本是5.7.40，同时可以看到数据库被成功重构

这时候一定给网站添加现在的IP为域名（一开始只有下面两个！！！）

进入网站但是报错了

但是我们在分析计算机镜像时发现后台管理网址为
http://vip.licai.com:8083/AdminV9YY/Login
在这里插入图片描述试一下在ip后面加AdminV9YY/Login，成功了

我们知道用户名为root，密码猜测123456，发现连不上，显示是没连接上数据库

于是继续更改.env文件，将数据库的DB_HOST改为localhost就可以连接上了，此时输入密码发现密码不正确
在这里插入图片描述
这时我们需要找到控制登录的文件，修改登录策略，这样任何密码都能进去
修改前：

修改后：

这样任何密码就都可以进去了

这里因为本人没注意要更改.env文件内容，重新仿真一次，虚拟机的IP有更改QAQ
这样就可以可视化数据查询了
在这里插入图片描述

34. 请给出涉案网站后台启用的超级管理员?

admin
使用navicat连接数据库，查看到root是超级管理，但是admin是后台管理
在这里插入图片描述
与此同时后台账号管理发现admin是超级管理，所以应该是admin

35. 投资项目“贵州六盘水市风力发电基建工程”的日化收益为？

4.00%
在这里插入图片描述

36. 最早访问涉案网站后台的IP地址为

183.160.76.194
在这里插入图片描述

37. 分析涉案网站数据库或者后台VIP2的会员有多少个

20
在这里插入图片描述

38. 分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为

2
这里在后台不好显示，我们使用navicat连接数据库，发现viplicai数据库中的member表为会员表，使用SQL查询语句即可

SELECT count(*) from member where bankaddress like '%上海%' and amount>0

其中bankaddress表示开卡行地址，amount指账户余额
在这里插入图片描述

39. 分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？

128457.00
见33题图QAQ

40. 分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？

17
文字游戏哈，受害人的上线就是嫌疑人，嫌疑人的ID为513935
构造SQL查询语句

select count(*) from member WHERE inviter=513935

其中inviter为推荐人即上线，而且字段设定为int不是char或者varchar
在这里插入图片描述

41. 分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？

60
SQL语句查询，下线>2就是推荐人ID>2，使用SQL语句查询即可

select inviter,count( * ) from member GROUP BY inviter having count(*)>2

这里右下角有总计数，为60个
在这里插入图片描述

42. 分析涉案网站数据库或者后台网站内下线最多的代理真实名字为

骆潇原
把上面查询进行倒序排序，发现ID为617624的人有最多的22个下线
使用SQL语句查询即可

select * from member where invicode=617624

这里invicode为本人ID
在这里插入图片描述

43. 分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱

15,078,796.38
计算哩QAQ，但是不是完全的计算。因为数据库里面的moneylog表记录着网站每一笔收入和支出。收入的话money_status这一列的值就为“+”，反之即为“-”。
在这里插入图片描述
那就SQL语句继续查询吧

select sum(moneylog_money) from moneylog where moneylog_status='+'
select sum(moneylog_money) from moneylog where moneylog_status='-'

在这里插入图片描述
计算器出结果

ENDING!
完结撒花

dbuj7

关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
3
评论
2023蓝帽杯初赛--取证部分

5万华哥pslist命令2456还是pslist命令（前面一个是pid，后面是ppid）
复制链接

扫一扫