2024獬豸杯复现学习

2024獬豸杯复现学习

检材

https://pan.baidu.com/s/1t_6Fwl6RgmEtF0UXRfVD1A?pwd=j583 解压密码：都考100分

一、手机备份包

手机基本信息

1.1、 IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

答案：2024-01-15.14:19:44

文件夹和备份日志可以看到时间

1.2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

ibackup viewer是一个iPhone备份读取工具，用来分析iOS备份并恢复iPhone的数据。用ibackup viewer打开ios备份

答案：3

1.3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

答案：89860320245121150689

用itunes backup explorer打开ios备份里的Manifest.plist

或者用另一个工具iTunesBackupTransfer，打开文件夹

然后一键导出

用visual stdio code打开文件夹，搜索iccid

1.4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

答案：20240115

小西米语言就是redmarch，相关目录在com.titashow.tangliao

在日志中找到日期

地图数据

1.5、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

答案：天铂华庭

之前有看到高德地图软件，应该思路就是这个

了解到高德地图有个关键文件girf_sync.db，用everything找到在路径App\com.autonavi.amap\Documents\cloundSyncData，用ForensicsTool工具可解密

解密后的文件girf_sync_dec.db使用navicat打开，找到天铂华庭

• SEARCH_SNAPSHOT表保存搜索记录
• ROUTE_HISTORY_V2_SNAPSHOT保存了导航历史

浏览器

1.6、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

答案：Bookmarks.db

可能算常识，搜了一下就有

1.7、手机机主计划去哪里旅游。（标准格式：苏州）

答案：拉萨

用autospy分析，创建一个new case，type选择local files，然后选择之前导出来的目录

双击生成的报告

在safari browser找到搜索记录

即时通讯

1.8、手机机主查询过哪个人的身份信息。（标准格式：龙信）

答案：龙黑

先在图库里找到了聊天记录的图片，看样子是想查一个号码的姓名，结合之前说的通讯工具

翻到了在App\com.titashow.tangliao\Documents\IM5_CN\9031bc3c805ac5e55ecaa151092c2c4b\IM5_storage\1407383114858132610

有个db文件，修改一下后缀为db，用navicat打开，可以和图片内容对得上，查到号码的姓名是龙黑

1.9、请问机主共转多少费用用于数据查询。（标准格式：1000）

答案：1100

同样的表，接着往下翻，总共1100

1.10、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

答案：4

看到短信里面有10个人的电话号码和身份证，思路就是身份证的第17位也就是倒数第2位，奇数是男性，偶数是女性，数一下奇数有5个，但答案好像是4个，不太严谨，知道思路就好

二、计算机取证

基本信息

2.1、计算机系统的安装日期是什么时候。（标准格式：20240120）

答案：20240112

使用autospy，新建new case，填一下case name，其他都不用填，然后到data source type，选择disk image or VM File,

只勾选recent activity，

经过查询，windows的安装日期在注册表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的InstallDate键，而注册表在：c:/Windows/System32/config

所以我们先找到注册表位置，然后找到software

在CurrentVersion中找到安装日期的时间戳

将时间戳解析为日期

系统痕迹

2.2、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

答案：data.zip

在recent documents里按date accessed排序，找到最近的是data.zip

数据库分析

2.3、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

答案：2021-03-17.15:42:26

根据上一题，猜测data.zip就是相关数据库文件，在tools中找到file search by attributes，搜索data.zip

右键选择View File in Directory定位文件在/img_计算机像.dd/vol_vol6/Users/Administrator/Desktop/data.zip

但是是加密的，在解压缩data.zip时间附近有个待会见.jpg

以同样方式搜索待会见.jpg，然后右键View File in Directory,找到待会见.jpg的路径，在同目录找到foxmail7的邮箱记录

右键extract files，提取zip到本机上，看了一下hash也符合

Get-FileHash -Path C:\Users\86138\Desktop\data.zip -Algorithm MD5

用archpr掩码攻击爆破密码，得到密码是15566666555

解压缩得到data文件夹，用visual stdio code打开文件夹，找到mysql版本，需要用phpstudy来模拟

参考链接(https://mp.weixin.qq.com/s?__biz=MzUyOTcyNDg1OA==&mid=2247483966&idx=1&sn=b5a5895e582f329abceb266b0c3e138d&chksm=fa5de6ebcd2a6ffdccfc2f2859224547d9e2d5f67e6e13df803685cd28e2bb3f58d49b719f5a&mpshare=1&scene=1&srcid=01242dz0URlxLlHuA7z4DhbW&sharer_shareinfo=9dfefe1227ce1a82f26b4ac93be98989&sharer_shareinfo_first=eb93aee8a905fa1c6af5c4789b9fdb38#rd)

在虚拟机安装了phpstudy_pro，安装了对应版本的MySQL，把data目录里的内容全部替换为刚刚解压缩的内容

若遇到下面的情况

暂时先在my.ini里mysqld里末尾添加skip-grant-tables，跳过密码验证，但有些功能会受限

用本机的navicat连接虚拟机启动的mysql

在user表找到最近的密码更新时间，2021-03-17 15:42:26

2.4、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

答案：5

2.5、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

答案：488313

2.6、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

答案：1486

从team_list找到Finance部门的部门编号为d002

以下是hiredate表的结构

SELECT COUNT(emp_no) FROM hiredate WHERE dept_no = ‘d002’ and from_date >= ‘1999-01-01’

邮箱服务器

2.7、请问邮箱服务器的登录密码是多少。（标准格式：admin）

答案：900110

用diskgenius打开.dd文件

可以看到有被bitlocker加密的分区

在ios的笔记里有记录PCBL，也就是pc bitlocker的简写，找到bitlocker密码

经过查询得知hmailserver的登录密码在安装路径的bin文件夹下的hMailServer.INI里，且是MD5加密

找到md5加密的密码

解密得到900110

2.8、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

答案：3

hMailServer\Data\longxin.com目录下有3个文件夹，对应三个账号

2.9、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

答案：
server admin打开有问题，暂时无法复现

2.10、请问约定见面的地点在哪里。（标准格式：太阳路668号）

答案：中国路999号

用diskgenius把整个foxmail下载下来，打开foxmail软件，发现约定时间的邮件，并附带了待会见.jpg，猜测地点就在图片里，里面也有整个交易的邮件，帮助了解剧情

尝试修改jpg的高度

学习一下jpg的宽高格式

010打开图片，ctrl + f搜索找到FF C0，覆盖高度的字节为08 FF，ctrl+s保存

重新打开图片得到地址，中国路999号

三、apk分析

3.1、APP包名是多少。（标准格式：com.xxx.xxx）

答案：com.example.readeveryday

使用AndroidKiller打开实操1.apk文件，在工程信息窗口可以查看答案

3.2、apk的主函数名是多少。（标准格式：comlongxin）

答案：StartShow

3.3、apk的签名算法是什么。（标准格式：xxx）

答案：SHA1withRSA

用jadx打开apk

3.4、apk的应用版本是多少。（标准格式：1.2）

答案：1.0

用jadx，在AndroidManifest.xml

3.5、请判断该apk是否需要联网。（标准格式：是/否）

答案：是

apk相关权限在AndroidManifest.xml的uses-permission

android.permission.READ_CONTACTS 允许程序读取用户联系人数据
android.permission.READ_SMS 允许程序读取短信息
android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入外部存储（如SD卡）
android.permission.INTERNET 允许程序打开网络套接字，也就是联网

3.6、APK回传地址？（标准格式：127.0.0.1:12345）

答案：10.0.102.135:8888

在源代码里找到

3.7、APK回传数据文件名称是什么。（标准格式：1.txt)

答案：Readdata.zip

代码大概意思检查某个路径下是否存在 Readdata.zip 文件，如果存在，就将其上传到指定服务器接口http://10.0.102.135:8888/api/demo

3.8、APK回传数据加密密码是多少。（标准格式：admin）

答案：19_08.05r

接着往下翻，找到加密文件函数

3.9、APK发送回后台服务器的数据包含以下哪些内容？（多选）

A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

答案：ABE

看到有获取APP，获取通讯录，获取短信的函数

xmlwrite这里也只有这三个参数