【电子取证】2021长安杯复现#操作记录&经验积累

本文不是2021长安杯全过程WP，而是对题目检材的一些操作记录和经验积累。

重点有：

1.雷电APP智能分析软件对APK包的取证分析

2.宝塔网站重建

3.RAID重组

案件详情

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元。经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警。警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包—zhibo.apk（检材一）。请对检材一进行分析，获取证据，并根据线索解锁更多检材，深入挖掘出更多与案件有关的信息。

检材一#APK分析0773499

APK包md5/sha1/sha256校验

Windows计算工具—certutil工具

 

APK包分析

APK包基础信息（雷电都能分析出来）

应用包名、APK程序在封装服务商的应用唯一标识（APPID）【雷电-调证值】、危险权限

APK行为信息（需要模拟）

抓HTTP包（对于http行为做分析）

• APK发送回后台服务器的数据包含以下哪些内容
• APK程序回传通讯录时，使用的http请求方式
• APK程序的回传地址域名为

在雷电模拟器上使用软件，同时开启代理模式抓包

我在通讯录添加一个联系人，然后使用软件

 

 

分析http包，data参数包含输入的手机号和邀请码、手机型号、123123应该为验证码、11111+11111+1是我添加的联系人，采用POST请求方式，回传地址域名为www.honglian7001.com

源码分析（非HTTP包行为）

主要还是jadx反编译（注意使用搜索ctrl+shift+f时输入法会变成繁体）

https://www.cnblogs.com/lsgxeva/p/13500813.html

• APK程序代码中配置的变量apiserver的值为

查看apk的assert文件，index.html存在一段sojson4加密字段，解密得到apiserver的值

 

 

• 发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为

短信信息，我们寻找关键字sms（从蓝帽杯得到的经验）。‘短信上传服务器接口地址’肯定也是apk向服务器发包，寻找类似发包的代码段

 

• 发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为
• 该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为

这两题都可以用雷电app的Frida脚本获得（感觉像是弘联推销产品的题目）

 

检材二#APK后台服务器（反向代理服务器）

提权

一开始账户为cjj，普通账户

su root密码被火眼自动更换为123456

曾登录IP

last命令回看登录信息，配合grep提取案发时间的信息

 

集群服务器

集群服务器是什么？ - 知乎

• 高可用性（HA）群集是高流量网站（例如在线商店或应用程序）的最佳选择，以确保关键系统保持可靠的性能，以实现最佳的连续性能。
• 负载平衡群集是一个服务器场，可将用户请求分发到多个活动节点，以加快操作速度，确保冗余，减少网络拥塞和过载并改善工作负载分配。负载平衡是服务器群集非常重要的用例。
• 高性能群集由连接到同一网络以执行任务的许多计算机组成。高性能集群连接到数据存储集群，并共同组成一个复杂的体系结构，可以极其快速地处理数据。存储和网络组件必须彼此保持同步，以实现无缝性能和高速数据传输。
• 群集存储由至少两个扩展性能，节点空间I / O（输入/输出）和可靠性的存储服务器组成。根据业务需求和存储需求，可以在紧密耦合的体系结构中针对主存储部署数据存储，并且可以将数据分为节点之间的很小的块，或者在独立的松散耦合结构中不存储数据跨节点，并提供更大的灵活性。在松散耦合的体系结构中，性能和容量受限于存储数据的节点的功能。与紧密耦合的体系结构不同，在此设置中，不能选择具有新节点的可伸缩性。

反向代理服务器

 

 

总的来说，反向代理服务器可以作为负载均衡的服务器集群成员

受害人设备IP分析

受害人访问软件遭到个人信息被窃取，可以通过代理服务器日志，分析host为软件域名的记录

检材三#目标服务器

三台服务器，确定为检材二指向的三个服务器

 

通过看网络信息—网络接口—ens33

确定web1-3依次是IP为111、112、113的服务器

该案中，检材二指向113服务器，所以仅仅对113服务器进行追踪分析

宝塔分析

用于重置宝塔面板密码的函数名为 set_panel_pwd()

宝塔面板重置网站密码功能调用的是tools.py

 

宝塔面板登陆密码的加密方式所使用的哈希算法为 md5

在tools.py中使用vi搜索功能 /set 按n键进行跳转，找到函数

 

宝塔面板对于其获认用户的密码一共执行了3次上题中的哈希算法

 cat /www/server/panel/class/public.py
 
 可以使用vi /www/server/panel/class/public.py或者下载该文件
 搜索salt

 

当前宝塔面板在加密过程中使用的salt值为 v87ilhAVumZL

cd /www/server/panel/data

发现default.db文件，将其下载，使用navicat打开，发现salt值

 

站库分离信息收集

TP框架，从app目录下寻找database.php即可

 

检材五#数据库服务器

 

三个DD文件

网站重建

raid重组

1. FTK挂载

 

 

挂载三个DD文件，add drive failed不用理会

1. 利用R-STUDIO进行RAID重组

创建RAID虚拟块

 

创建镜像——逐字节镜像——生成虚拟块 RAID 2.dsk

 

成功重组！！！！！！！！

 

开启服务，登入管理员后台

WEB服务器：进入宝塔，开启网站

数据库服务器

打开两个虚拟机后，就能访问/admin了

管理员账户密码，通过runtime/log获取运行日志

这个日志是TP5框架下，记录运行状态的日志文件

找到好几组name/password，都试一试。最终admin/security成功登录

 

navicat连接数据库

my.cnf添加跳过输入密码

连接成功

 

至此网站重建成功