2022长安杯取证

检材1

根据报案人提供的网站域名和IP，警方调取了对应的服务器镜像“检材1”，分析掌握的检材回答下列问题

1.检材1的SHA256值为

2. 分析检材1，搭建该服务器的技术员IP地址是多少？用该地址解压检材2 

火眼证据分析中查看登录日志

3. 检材1中，操作系统发行版本号为

仿真时火眼就能解析出来

4. 检材1系统中, 网卡绑定的静态IP地址为

输入命令ifconfig查看

结果为172.16.80.133

5. 检材1中，网站jar包所存放的目录是(答案为绝对路径，如“/home/honglian/”)

在history中可以看到在/web/app目录下有很多jar包的运行记录

一共是五个：exchange.jar、admin-api.jar、cloud.jar、market.jar、ucenter-api,jar

就可以猜测该网站jar包的存放目录就是/web/app/

6. 检材1中，监听7000端口的进程对应文件名为

在历史命令中，可以看到使用了一个 sh start_web.sh 的脚本，后来通过rm的命令给删掉了，所以需要过滤历史命令。思路一是找到所有jar包，查看配置文件的启动端口即可，如果没有则查看所有前端vue的config，看是否启动在7000端口。正确答案为 cloud.jar

7. 检材1中，网站管理后台页面对应的网络端口为（答案填写阿拉伯数字，如“100”）

注意起网站后/web/app/admin才是真实的admin目录, admin-api.jar只是admin-api

与检材2进行联合分析, 在检材2的 Google Chrome 历史记录中, 可以看到后台管理对应 9090 端口, 且访问地址对应检材1的静态 IP

8. 检材1中, 网站前台页面里给出的APK的下载地址是（答案格式如下：“https://www.forensix.cn/abc/def”)

网站重构后，页面有一个apk的二维码，扫描过后得到链接

9. 检材1中，网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

将几个jar包导出，搜索password

password = Encrypt.MD5(password + this.md5Key);

密码加上md5key后整体进行MD5加密 

10. 分析检材1，网站管理后台登录密码加密算法中所使用的盐值是

定位这个md5Key

结果为XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

检材2

11. 检材2中，windows账户Web King的登录密码是

12. 检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

检材1是172.16.80.133，xshell还连接了172.16.80.128

13. 检材2中，powershell中输入的最后一条命令是

powershell会在用户目录\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine下保存历史命令文件，查看该文件可以找到最后使用的命令

结果为ipconfig

14. 检材2中，下载的涉案网站源代码文件名为

通过分析程序可以看到Chrome下载记录中下载的文件

结果为ZTuoExchange_framework-master.zip

15. 检材2中，网站管理后台root账号的密码为

使用分析程序查看，在谷歌浏览器保存了账号和密码

16. 检材2中，技术员使用的WSL子系统发行版本是（答案格式如下：windows 10.1）

登录虚拟机，直接 wsl 命令，可得 wsl -l -v，输入可得版本号

17. 检材2中，运行的数据库服务版本号是（答案格式如下：10.1）

火眼证据分析，MySQL解析

18. 上述数据库debian-sys-maint用户的初始密码是

直接在 wsl里看需要权限，但是没有这个权限，因此只能在windows 上找这个文件的位置

C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs\etc\mysql

19. 检材3服务器root账号的密码是

通过分析程序可以看到ssh的历史命令，得到密码

结果为h123456

检材3

20. 检材3中，监听33050端口的程序名（program name）为

解压，这个服务器为 admin-api.jar 的数据库地址,检材3中history有大量 docker 命令，启动 docker，发现就是33050

结果为docker-proxy

21. 除MySQL外，该网站还依赖以下哪种数据库

历史命令发现nohup了redis和mongo

结果为redis|mongodb

22. 检材3中，MySQL数据库root账号的密码是

mysql的账号密码就是 admin-api.jar 的配置文件中的密码

结果为shhl7001

23. 检材3中，MySQL数据库在容器内部的数据目录为

/var/lib/mysql，容器内部的mysql，先进入容器docker exec -it mysql57 /bin/bash，发现有4个路径

只有/etc/mysql里面有配置文件，进去找一圈，mysqld.cnf倒数第6行datadir是mysql的数据目录

结果为/var/lib/mysql

24. 涉案网站调用的MySQL数据库名为

分析admin-api.jar时，可以看到

结果为b1

25. 勒索者在数据库中修改了多少个用户的手机号？(答案填写阿拉伯数字，如“15”)

提到数据库用户操作，那自然是找MySQL日志，首先用show variables where Variable_name='general_log_file';命令找到MySQL日志路径

当然这是docker容器中的路径，我们可以去它的外部映射路径/data/mysql/db里找该日志文件，搜索关键词update即可，其中只有三条是修改用户手机号：

UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11

26. 勒索者在数据库中删除的用户数量为

过滤 delete 关键字，可以看到一共有 28 条，且全部都与 member_id 相关

27. 还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压检材4

使用火眼数据库分析工具，然后在他的一个管理员登录表的日志文件中，有两个IP除了100就是197了

28. 还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

利用sql语句查询SELECT address,member_id FROM `member_wallet` WHERE member_id=500

结果为cee631121c2ec9232f3a2f028ad5c89b

29. 还原全部被删改数据，共有多少名用户的会员等级为'LV3'(答案填写阿拉伯数字，如“15”)

将member数据库导出成csv结构，office打开后筛选出member_grade_id=3，有158条，实际上 member 表中还有 28 条被删除的用户记录，28 个用户中有6个 LV3，共164个

30. 还原全部被删改数据，哪些用户ID没有充值记录(答案填写阿拉伯数字，多个ID以逗号分隔，如“15,16,17”)

通过分析，发现member_transaction是充值记录表，联合member表查询出未充值过的用户

使用sql语句select id from member where id not in (select distinct(member_id) from member_transaction)得到结果

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？(答案填写阿拉伯数字，如“15”)

使用sql语句SELECT count(*) FROM `member_transaction` where create_time>="2022-10-17 00:00:00" and create_time<"2022-10-18 00:00:00"从member_transaction表中查询

32. 还原全部被删改数据，该网站中充值的USDT总额为(答案填写阿拉伯数字，如“15”)

同样在member_transaction这个表里，发现交易币种是USDT

直接进行SQL查询

SELECT SUM(amount) FROM member_transaction WHERE symbol = 'USDT';

检材4

根据前期侦查分析，通过技术手段找到了幕后老板，并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材，回答下列问题

33. 嫌疑人使用的安卓模拟器软件名称是

解压出来是 npbk文件，百度下，夜神模拟器

34. 检材4中，“老板”的阿里云账号是

使用火眼对解压出的vmdk进行取证，直接搜索阿里云

35. 检材4中安装的VPN工具的软件名称是

查看程序列表

结果为v2rayNG

36. 上述VPN工具中记录的节点IP是

在模拟器中直接打开查看

37. 检材4中，录屏软件安装时间为

应用程序中搜索luping

结果为2022/10/19 10:50:27

38. 上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

进入/data/目录，安卓app的核心数据基本都在该目录下，找到录屏软件包名，进入databases子目录查看数据库信息，里面有个record.db文件

查看该数据库文件，在里面的RecordFile表中可以找到答案0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

39. 上述录屏软件登录的手机号是

录屏软件中我的->帮助与反馈->账号注销即可看到完整手机号

40. 检材4中，发送勒索邮件的邮箱地址为

使用火眼对邮件进行分析

参考文章：

2022第四届长安杯电子取证竞赛 服务器赛时思路&题解 Zodi4c_2022长安杯电子数据检材-CSDN博客

2022第四届长安杯复盘（WP）_长安杯复现-CSDN博客

2022长安杯 - XDforensics-Wiki

2022第四届长安杯复盘_长安杯2022年检材3密码-CSDN博客

2022 长安杯 writeup_2022长安杯writeup-CSDN博客

https://www.cnblogs.com/WXjzc/p/16842778.html