本文不是2021长安杯全过程WP,而是对题目检材的一些操作记录和经验积累。
重点有:
1.雷电APP智能分析软件对APK包的取证分析
2.宝塔网站重建
3.RAID重组
案件详情
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警。警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包—zhibo.apk(检材一)。请对检材一进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。
检材一#APK分析0773499
APK包md5/sha1/sha256校验
Windows计算工具—certutil工具
APK包分析
APK包基础信息(雷电都能分析出来)
应用包名、APK程序在封装服务商的应用唯一标识(APPID)【雷电-调证值】、危险权限
APK行为信息(需要模拟)
抓HTTP包(对于http行为做分析)
- APK发送回后台服务器的数据包含以下哪些内容
- APK程序回传通讯录时,使用的http请求方式
- APK程序的回传地址域名为
在雷电模拟器上使用软件,同时开启代理模式抓包
我在通讯录添加一个联系人,然后使用软件
分析http包,data参数包含输入的手机号和邀请码、手机型号、123123应该为验证码、11111+11111+1是我添加的联系人,采用POST请求方式,回传地址域名为www.honglian7001.com
源码分析(非HTTP包行为)
主要还是jadx反编译(注意使用搜索ctrl+shift+f时输入法会变成繁体)
https://www.cnblogs.com/lsgxeva/p/13500813.html
- APK程序代码中配置的变量apiserver的值为
查看apk的assert文件,index.html存在一段sojson4加密字段,解密得到apiserver的值
- 发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为
短信信息,我们寻找关键字sms(从蓝帽杯得到的经验)。‘短信上传服务器接口地址’肯定也是apk向服务器发包,寻找类似发包的代码段
- 发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为
- 该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为
这两题都可以用雷电app的Frida脚本获得(感觉像是弘联推销产品的题目)
检材二#APK后台服务器(反向代理服务器)
提权
一开始账户为cjj,普通账户
su root
密码被火眼自动更换为123456
曾登录IP
last
命令回看登录信息,配合grep
提取案发时间的信息
集群服务器
- 高可用性(HA)群集是高流量网站(例如在线商店或应用程序)的最佳选择,以确保关键系统保持可靠的性能,以实现最佳的连续性能。
- 负载平衡群集是一个服务器场,可将用户请求分发到多个活动节点,以加快操作速度,确保冗余,减少网络拥塞和过载并改善工作负载分配。负载平衡是服务器群集非常重要的用例。
- 高性能群集由连接到同一网络以执行任务的许多计算机组成。高性能集群连接到数据存储集群,并共同组成一个复杂的体系结构,可以极其快速地处理数据。存储和网络组件必须彼此保持同步,以实现无缝性能和高速数据传输。
- 群集存储由至少两个扩展性能,节点空间I / O(输入/输出)和可靠性的存储服务器组成。根据业务需求和存储需求,可以在紧密耦合的体系结构中针对主存储部署数据存储,并且可以将数据分为节点之间的很小的块,或者在独立的松散耦合结构中不存储数据跨节点,并提供更大的灵活性。在松散耦合的体系结构中,性能和容量受限于存储数据的节点的功能。与紧密耦合的体系结构不同,在此设置中,不能选择具有新节点的可伸缩性。
反向代理服务器
总的来说,反向代理服务器可以作为负载均衡的服务器集群成员
受害人设备IP分析
受害人访问软件遭到个人信息被窃取,可以通过代理服务器日志,分析host为软件域名的记录
检材三#目标服务器
三台服务器,确定为检材二指向的三个服务器
通过看网络信息—网络接口—ens33
确定web1-3依次是IP为111、112、113的服务器
该案中,检材二指向113服务器,所以仅仅对113服务器进行追踪分析
宝塔分析
用于重置宝塔面板密码的函数名为 set_panel_pwd()
宝塔面板重置网站密码功能调用的是tools.py
宝塔面板登陆密码的加密方式所使用的哈希算法为 md5
在tools.py中使用vi搜索功能 /set 按n键进行跳转,找到函数
宝塔面板对于其获认用户的密码一共执行了3次上题中的哈希算法
cat /www/server/panel/class/public.py 可以使用vi /www/server/panel/class/public.py或者下载该文件 搜索salt
当前宝塔面板在加密过程中使用的salt值为 v87ilhAVumZL
cd /www/server/panel/data
发现default.db文件,将其下载,使用navicat打开,发现salt值
站库分离信息收集
TP框架,从app目录下寻找database.php即可
检材五#数据库服务器
三个DD文件
网站重建
raid重组
- FTK挂载
挂载三个DD文件,add drive failed
不用理会
- 利用R-STUDIO进行RAID重组
创建RAID虚拟块
创建镜像——逐字节镜像——生成虚拟块 RAID 2.dsk
成功重组!!!!!!!!
开启服务,登入管理员后台
WEB服务器:进入宝塔,开启网站
数据库服务器
打开两个虚拟机后,就能访问/admin
了
管理员账户密码,通过runtime/log
获取运行日志
这个日志是TP5框架下,记录运行状态的日志文件
找到好几组name/password,都试一试。最终admin/security成功登录
navicat连接数据库
my.cnf添加跳过输入密码
连接成功
至此网站重建成功