2024FIC竞赛wp

案情简介

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。

在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。

---

手机部分

1、嫌疑人李某的手机型号是？

A. Xiaomi MI 2s

B. Xiaomi MI 4

C. Xiaomi MI 6

D. Xiaomi MI 8

答案：B

解析：

2、嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

A. iPad Pro 11

B. Vivo Pad 2

C. MatePad Pro

D. Xiaomi Pad 6s

答案：D

解析：

3、嫌疑人李某手机开启热点设置的密码是？【答题格式：abc123】

答案：5aada11bc1b5

解析：

4、嫌疑人李某的微信内部ID是？【答题格式：wxid_abc123】

答案：wxid_wnigmud8aj6j12

解析：

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么【答题格式：http://www.baidu.com/adc】

答案：http://www.honglian7001.com/down

解析：

新佛曰：諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑

http://hi.pcmoe.net/buddha.html

6、受害者微信用户ID是？【答题格式：abc123】

答案：limoon890

解析：

7、嫌疑人李某第一次连接WIFI的时间是？

A. 03-14 15:55:57

B. 03-14 16:55:57

C. 03-14 17:55:57

D. 03-14 18:55:57

答案：B

解析：

8、分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

A. 12:00-14:00

B. 14:00-16:00

C. 16:00-18:00

D. 18:00-20:00

答案：C

解析：

9、请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？【答题格式：wxid_abc123】

答案：wxid_kolc5oaiap6z22

解析：

10. 请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？【答题格式：192.168.1.1:1000/abc】

答案：192.168.110.110:8000/login

解析：

---

服务器集群题

1、esxi服务器的esxi版本为？【关键字得分，答题格式：1.2】

答案：6.7

解析：

2、请分析ESXi服务器，该系统的安装日期为：

A. 2024年3月12日 星期二 02:04:15 UTC

B. 2024年3月12日 星期二 02:05:15 UTC

C. 2024年3月12日 星期二 02:06:15 UTC

D. 2024年3月12日 星期二 02:07:15 UTC

答案：A

解析：

3、请分析ESXi服务器数据存储”datastore”的UUID是？【答题格式：A1A1-B1B1-C1C1-D1D1】

答案：65efb8a8-ddd817f6-04ff-000c297bd0e6

解析：

4、ESXI服务器的原IP地址？【答题格式：255.255.255.0】

答案：192.168.8.112

解析：

5、EXSI服务器中共创建了几个虚拟机？【答题格式：1】

答案：4

解析：

6、网站服务器绑定的IP地址为？【答题格式：255.255.255.0】

答案：192.168.8.89

解析：

7、网站服务器的登录密码为？【答题格式：abc123】

答案：qqqqqq

解析：

8、网站服务器所使用的管理面板登陆入口地址对应的端口号为：【答案格式：1111】

答案：14131

解析：

9、网站服务器的web目录是？【答题格式：/etc】

答案：/webapp

解析：

10、网站配置中Redis的连接超时时间为多少秒【答题格式：20】

答案：0

解析：

11、网站普通用户密码中使用的盐值为【答题格式：123abc!@#】

答案：!@#qaaxcfvghhjllj788+)_)((

解析：

12、网站管理员用户密码的加密算法名称是什么

A. des

B. Rsa芽孢杆菌

C. md5

D. bcrypt加密

答案：D

解析：

13、网站超级管理员用户账号创建的时间是？

A. 2022-05-09 12:44:41

B. 2022-05-09 13:44:41

C. 2022-05-09 14:44:41

D. 2022-05-09 15:44:41

答案：C

解析：

14、重构进入网站之后，用户管理下的用户列表页面默认有多少页数据【答题格式：20】

答案：877

解析：

15、该网站的系统接口文档版本号为【答题格式：1.1.1】

答案：3.8.2

解析：

16、该网站获取订单列表的接口【答题格式：/abc/abc】

答案：/api/shopOrder

解析：

17、受害人卢某的用户ID【答题格式：11223344】

答案：10044888

解析：

18、受害人卢某一共充值了多少钱【答题格式：123456】

答案：465222

解析：

19、网站设置的单次抽奖价格为多少元【答题格式：20】

答案：10

解析：

20、网站显示的总余额数是【答题格式：20.12】

答案：7354468.56

解析：

21、网站数据库的root密码【答题格式：abc123】

答案：my-secret-pw

解析：

22、数据库服务器的操作系统版本是【答题格式：1.2.1234】

答案：7.9.2009

解析：

23、数据库服务器的Docker Server版本是【答题格式：1.10.0】

答案：1.13.1

解析：

24、数据库服务器中数据库容器的完整ID是【答题格式：123abcd】

答案：9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

解析：

25、数据库服务器中数据库容器使用的镜像ID【答题格式：123abcd】

答案：66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a

解析：

26、数据库服务器中数据库容器创建的北京时间

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:23

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

答案：B

解析：

27、数据库服务器中数据库容器的ip是【答题格式：255.255.255.0】

答案：172.17.0.2

解析：

28、分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是【答题格式：255.255.255.0】

答案：182.33.2.250

解析：

29、分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是【答题格式：255.255.255.0】

答案：43.139.0.193

解析：

30、数据库中记录的提现成功的金额总记是多少（不考虑手续费）【答题格式：20.12】

答案：35821148.48

解析：

31、rocketchat服务器中，有几个真实用户？【答题格式：1】

答案：3

解析：

32、rocketchat服务器中，聊天服务的端口号是？【答题格式：80】

答案：3000

解析：

33、rocketchat服务器中，聊天服务的管理员的邮箱是？【答题格式：abc@abc.com】

答案：admin@admin.com

解析：

34、rocketchat服务器中，聊天服务使用的数据库的版本号是？【答题格式：1.2.34】

答案：5.0.24

解析：

35、rocketchat服务器中，最大的文件上传大小是？（以字节为单位）【答题格式：1024】

答案：104857600

解析：

36、rocketchat服务器中，管理员账号的创建时间为？

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

答案：B

解析：

37、rocketchat服务器中，技术员提供的涉诈网站地址是？【答题格式：http://192.168.1.1】

答案：http://172.16.80.47

解析：

38、综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少【答题格式：10%】

答案：35%

解析：

39、综合分析服务器，该团队“杀猪盘”收网的可能时间段为

A. 2024/3/15 15:00:00-16:00:00

B. 2024/3/15 16:00:00-17:00:00

C. 2024/3/15 17:00:00-18:00:00

D. 2024/3/15 18:00:00-19:00:00

答案：B

解析：

40. 请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？【答题格式：abc@aa.com】

答案：lao@su.com

解析：

41. 分析openwrt镜像，该系统的主机名为【答题格式：MyPC】

答案：iStoreOS

解析：

42. 分析openwrt镜像，该系统的内核版本为【答题格式：12.34.56】

答案：5.10.201

解析：

43. 分析openwrt镜像，该静态ip地址为【答题格式：192.168.1.1】

答案：192.168.8.5

解析：

44. 分析openwrt镜像，所用网卡的名称为【答题格式：abc123】

答案：br-lan

解析：

45. 分析openwrt镜像，该系统中装的docker的版本号为【答题格式：12.34.56】

答案：20.10.22

解析：

46. 分析openwrt镜像，nastools的配置文件路径为【答题格式：/abc/abc/abc】

答案：/root/Configs/NasTools

解析：

47. 分析openwrt镜像，使用的vpn代理软件为【答题格式（忽略大小写）：abc123】

答案：PassWall2

解析：

48. 分析openwrt镜像，vpn实际有多少个可用节点【答题格式：6】

答案：54

解析：

49、分析openwrt镜像，节点socks的监听端口是多少【答题格式：1234】

答案：1070

解析：

50、分析openwrt镜像，vpn的订阅链接是【答题格式：http://www.baidu.com/aaa/bbb/ccc/ddd?privatekey=abc123456789】

答案：https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

解析：

---

Windows镜像

1、分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？【忽略大小写】

答案：FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

解析：

2、分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？【忽略大小写】

答案：B25E2804B586394778C800D410ED7BCDC05A19C8

解析：

3、据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值？【忽略大小写】

答案：E6EB3D28C53E903A71880961ABB553EF09089007

解析：仿真镜像

从第4题打开的容器中找到的文件，确定就是此文档

4、据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是？

答案：qwerasdfzxcv

解析：加密容器VC，加密文件2024.fic。尝试IQ2w#e$R不是加密容器的密码，根据尾部隐写的类型，查看该图片十六进制视图，在尾部找到密码qwerasdfzxcv。

  

5、分析技术员赵某的windows镜像，Bitlocker的恢复密钥是什么【答题格式：111111-222222-333333-444444-555555-666666-777777-888888】

答案：404052-011088-453090-291500-377751-349536-330429-257235

解析：从第4题打开的容器中找到的文件

6、分析技术员赵某的窗口镜像，Bitlocker分区的起始扇区数是【答题格式：1024】

答案：146794496

解析：

7、分析技术员赵某的windows镜像，默认的浏览器是

A. Chrome

B. Edge

C. IE

D. firefox

答案：A

解析：

8、分析技术员赵某的windows镜像，私有聊天服务器的密码为【答题格式：abc123】

答案：Zhao

解析：从Bitlocker分区中找到

9、分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？【答题格式：www.baidu.com】

答案：www.585975.com

解析：从Bitlocker分区中找到

10、分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

A. stable diffusion

B. ROOP

C. Midjourney

D. DiffusionDraw

答案：B

解析：

11、分析技术员赵某的windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为【答题格式：1.txt】

答案：db.jpg

解析：

powershell历史记录可以发现roop的运行记录，其中：

--source为指定源文件

--target为指定目标文件

--output为输出文件

另外的方法：

 从回收站中可以找到一个图片，在Bitlocker分区E盘，猜测为换脸的原图。如何找特殊名称的图片，对比后发现原始图片和生成图片

12、分析技术员赵某的windows镜像，ai换脸生成图片的参数中--similar-face-distance值为【答题格式：20.12】

答案：0.85

解析：同11题

13、分析技术员赵某的windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式：abc.txt】

答案：dst01.jpeg

解析：同11题

14、分析技术员赵某的windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？【答题格式：http://www.baidu.com/1.html】

答案：http://hi.pcmoe.net/buddha.html

解析：

15、分析技术员赵某的windows镜像，赵某架设聊天服务器的原始IP地址为？【答题格式：192.168.1.1】

答案：192.168.8.17

解析：从手机检材中可以找到聊天服务器

16、分析技术员赵某的windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

A. 2024-03-14 20:30:08

B. 2024-03-14 20:31:08

C. 2024-03-14 20:32:08

D. 2024-03-14 20:33:08

答案：C

解析：

17、分析技术员赵某的windows镜像，openwrt的后台管理密码是

答案：hl@7001

解析：

18、分析技术员赵某的windows镜像，嫌疑人可能使用什么云来进行文件存储？【答题格式：阿里云】

答案：易有云

解析：

19、分析技术员赵某的windows镜像，工资表密码是多少【答题格式：abc123】

答案：aa123456

解析：工资表为BitLocker加密分区中的名单.xlsx，输入错误密码有提示，从各种密码备份文件commonPwd.txt中找，只有两个含aa的密码，尝试aa123456成功

  

20、分析技术员赵某的windows镜像，张伟的工资是多少【答题格式：20】

答案：28300

解析：

---

官方复盘：​​​​​​​第四届FIC线上赛，官方复盘在这里！ (qq.com)