20FIC神秘取证,题涉及pc、misc、逆向、服务器、docker范围很广,题目难度较大

已于 2023-11-26 20:13:17 修改
阅读量1.6k 收藏 5
点赞数 4
分类专栏: 取证精华 文章标签: 学习
于 2023-04-03 12:04:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntrybw/article/details/129878295
版权

案件介绍:

赵某是某国家重要机关技术人员,由于沉迷网络赌博,被境外敌特份子利用将工作中技术文档转卖到境外非法获利数千元。2020年11月份被抓获,从其所随身携带的电脑中获得一个硬盘镜像。据掌握的嫌疑人聊天内容知,案件相关数据分散在电脑中的各个位置,现需要调查员对该嫌疑人电脑进行勘察,找到相关线索(竞赛中以FLAG形式留存在电脑中)。

PS:警方从嫌疑人所持手机中,发现了案件相关的聊天记录,具体内容如下:

===================================================================

B:是赵老嘛?我是寒号鸟。

Z:鸟哥好。

B:听说你最近需要用钱,什么事可以跟哥讲。

Z:唉,最近运气不好,欠了朋友几万块钱要到期了。没办法想找个兼职。

B:兄弟你工作单位这么好还需要找兼职?随随便便搞点资料就赚大发啦。

Z:哪能那么好的赚钱方式,哥你教教我。

B:我有个法子,你想听的话我可以帮帮你。

Z:哥您讲。

B:你工作不是都是做技术的嘛?你看能不能把相关的一些产品参数、工作进度、参与人员名单这些发点给我看看。我这边主要是做一些新时代产品的跟进,想要一些行业资料。你知道的这些资料要么就去咨询公司买,要么人家不肯卖。你要是有的话,我就不便宜别人了,你给我资料,我把钱给你得了。这样咱哥们都不亏:)我也好跟老板交差。

Z:啊?哥,这个不合规定唉,你知道的我们都是保密单位,对这一块抓的还挺严的。

B:我就跟你讲讲啊,你做不做自己决定哈,你想想反正这些数据也没啥大的作用唉。你最多就是拍几张照片嘛。只要不被别人发现,谁知道是你拍的呢?

Z:好的哥,我知道了,我想想再和你联系。

几天后…

Z:哥,我们单位管的很严格,确实没条件拍照拿文件,不过还好我有过人的记忆力,我上班期间,靠脑力记住一些关键内容,回家腾到我的电脑上。

B:不错,有想法,那你有多少就给我多少吧,到时候我给你算钱。

Z:好的,我信得过你,每天能记住的东西不多,我都零散的放在我的电脑上了,为了防止被发现,我都做过处理,反正有多少就给你发多少吧,您别嫌乱。

B:好的兄弟~

====================================================================

 

题目:

1:请计算检材中,原始介质的SHA256值:

区分概念,原始介质和检材的区别,介质就是E.01文件,镜像是加载之后的,作区分。

52bcc136e2724901850403f44f514bc2.png

 

2:请分析检材并找到FLAG1:

说实话也是乱找的题目,真的有点不喜欢,我是大海捞,文件乱看乱点,就是不太找得到

 

搞了半天是在桌面上flag1 我是真的无语死了,半天没有看到

eadaf93e813042e38c79e6dd98e6c496.png

 

3:据交代,嫌疑人隐藏的一些机密信息与电脑中的图片有关,请对疑似图片进行分析并找到FLAG2:

这里考了一个知识点,我在电脑里仿真无论怎么看图我都是找不到的,电脑里面图,看到死就这几张,都没什么好看的

b25cd4d8738a4c808ed470d4931eb6c9.png

 然后出题人本意就是为了让我看取证软件,因为这里考了一个NTFS流文件,必须看取证软件才看得到

6e35ad591fbe460389dfb5cdaf071278.png

单纯仿真的好处是,比较具有情景感,看得比较真实,但是出题人的意思就是提醒我们,也要在取证软件下看,比如我这次就认识了NTFS流文件,是一个隐写的好考法

 

不信邪的我最终去看了看,还真是如此,之前也一直忽视流文件,真是大意了

b2295612c63d4545a6c08fdd7842a4f8.png

 
4:请分析检材并找到FLAG3:

虽然理论上取证题目前后是有逻辑提示的,但这个是真的一点提示都无

记事本打开binary,看到二进制果断想到转ASCII

ad26abb2b172482d82b8d50a476017ef.png

 在线我没有搜到好的,我觉得可以直接用脚本

2b31c1b401434f23996adc880cf7bf42.png

 一手脚本

e024bf2b4ae0463a9f23c048c59dc7f8.png

或者用弘连解密

6f16c6330fb5464ba586a6f8c0445601.png

 

5:名称为SanDisk Ultra USB 3.0 USB Device的设备串号为:

直接爆搜,真简单

7b8082f23a804aeaa3650479ac792467.png

 

 

6:请分析检材并找到FLAG4:

这套题目很大的特点就是没有关联性,所以找flag要是按照题号提示就是给自己挖坑,所以没规律的找就好了

将REC解压之后发现这两个文件,其中REC001大小5G,但解压之后是空的,这里考了一个数据恢复,用到Rstudio

11c8707984c648ca98f6edce5220bd5a.png

 然后Rstudio恢复了之后是这样的,应该是恢复好的文件结构,但是我打开看没很看明白,

3b34793c288640ddb9a4f305d3a4e9ed.png

 打开之后看到这里有flag文件(我也是乱点,没看懂文件结构,看来还需要系统学)

19beee7d34034232b59b6519b84626c8.png

 把文件导出来之后发现是邮件.eml文件

4dc6dc4113f149eeb018b4f4b2d99b16.png

 

 打开之后顺利得到

dfb7e8e91b8c4485a1c9ef3af498600b.png

 看来还是要系统学习一下Rstudio的使用方法。(网上目前没有找到,但是我觉得他是很牛逼的恢复软件)

7:经询问,嫌疑人曾发送过一封含有解压密码的邮件,找到该压缩包,并计算加密压缩包的SHA256值:

 

历史记录里面和爆搜都是找到这个 ,浏览器界面可能是附件了压缩包

c6c861f5bea0483fa588eb35ce4ed5d8.png

 然后搜索相关文件,总共就这几个文件,一个一个溯源排查

swagger和archieve是vm内部的文件

flag是fic20下的

两个数字开头的都是临时文件,所以我猜测

一般是flag ,两个数字开头的 也有可能,所以为了进一步验证,提取出来:

经验证,数字开头是没有密码的,所以就是flag43b751c49565402cb9b2dac4c9e6814f.png

 

 

355cf8bde85e4c82809a0cdb56eed904.png

 aa83a462c24a43b0857cab2d68f7486a.png

 虽然这个是打不开,损坏的,但是我们这样推断也算严谨

25bd2ac55c57466cac368f05d64cdbce.png

 

8:请分析检材并找到FLAG5:

我猜测是要修复,我用rar无脑修复发现不可以,就直接010进行修复,把文件头改掉了

 

d0aba5d316b04d5aaa8da57a9d005167.png

 然后就可以顺利的打开并识别

fd27efe1db814c3db44d84704aa6e06d.png

 随便爆破一下,显示密码为0 ,我就很迷糊,密码为0代表什么含义,其实0代表的是无法识别这个压缩包的意思,但是这里我还在探究

eb84dd72d9324c49b8f3188fda75c6e0.png

然后我还是010一下看课真伪

对于熟悉zip的人来说,这个不成问题,其实是一个真实加密,没法用伪加密破解,然后用数字爆破也是报错,导致最后只能用passware爆破

3d4f57798160499690c40ca232fd1248.png

 

82fe4993e3a94dfb826d3d8abfdf16e9.png

 这题做不出来,只能先跳过

 

9:请计算MC100.jpg文件的SHA256值:

仿真出来算,虽然不知道为啥火眼算不了,也无法导出,跟便秘一样

b726680d1dd94581b190c758ff873ebb.png

 仿真拿出来就好

64e275d079404f5e8efdfa695e5cf7c4.png

 

10:请分析图片并找到FLAG6:

很明显答案就在图里面

8eb41a1ae7be4bc0b3ac6ddafe1e3fe6.png

 先010看一下文件结构,

整个看完就感觉这个里面隐写了东西

ccf92349c7124b1e967df5fe61bcca9e.png

果断foremost分解

753c6a680ed74362ba271e73b031725d.png

 得到两张图谱,看到flag,就是png

974c38d56e1b474da85fa831ec3a06b9.png

 

11:经调查分析发现,嫌疑人在自己的网站上存放了1张含有FLAG信息的图片,可能位于http://106.14.204.160/pic/1至http://106.14.204.160/pic/1000的某个url地址之中,请分析查找FLAG7:

网站扫描,一手软件解决,也可以python脚本

excel填充到1000

76032ac8e61944e3bf4eac8a4fc2c37b.png

 然后转到txt里面

 

虽然我现在扫可能没什么用,但是比赛的时候网站肯定可以

0ef5c9999ec04167b27e6ce727434a76.png

这是比赛的,是找得到的

c9c8f04d27be4927ad0f2826f226aa68.png

12:Windows系统中,FIC2020用户的登录密码为:

 

做了这么多狗题,难得碰到一个人性化的,真是不容易。

886e2a6d8de6492983fe61110554f1d9.png

 

13:请分析并找到该检材中的加密分区,该加密分区的密钥为:

 

几个可疑文件,最后在文档里面顺利找到

c7e1543563c54d47a2e647db893fe702.png6a54ab5b30f14f7e8bb2a86fc6a71d0d.png

 然后看bitlocker需要这样解锁

4708266bfc1046b99389ece7b2ae5aa2.png

 火眼里面搜到txt发现被加密

2124664d74c145e59d031a2f48b6ef57.png

 这个时候我必须引用一下官方解析:

这个txt是一个efs加密文件,如果火眼将密码破解掉,这个文件无论如何是打不开的,唯一的办法是将这个镜像在仿真的时候就不绕过密码,所以再仿真一次,不绕过密码,应该就能打开了

56fe3386bf174192b5c38acc0ae1c0dc.png

 弘连不骗人,果然是可以看到的,涨知识了。

8960be4721484a8bb2891fa1d299554d.png

解开之后就看到了我最喜欢的flag

b420a55628014a11a641bb1aa6bc55f9.png

14:请分析检材并找到FLAG8:

答案上

8dfee7a5a252404d9091ef4124eded3c.png

这个很明显是压缩包,拖到桌面解压发现这个

然后我一开始猜测是网站文件,然后直接网址试一下发现是163的新闻网,觉得不对,实际上这是一个邮箱

fe2befeb119c45ddaee69b174090a1ce.png

 在桌面上的图标是空的

这样显示一般就是快捷方式,没有文件了,实际上这里的所有文件都被搞走了,所以

351acfcf460a4a42b2792fb92ab6f825.png

 很常见的方法就是用取证软件跑一下,毕竟人家是专业的。

看到邮件信息

026cc218cd934b0c84163b7d955ac05d.png

有价值的,其实这个secret是解解压前一个压缩包的密码,不过说实话我的脑洞是真的没有那么大

1bc7015eba62434c93b26b3d9a45628a.png

 

 然后解压后顺利得到flag5

56ca07a1423c4465977b02cdfdceabed.png
 

 

15:已知嫌疑人有一个用于存储数据的网站,该网站可用其账号密码登陆,请问登陆该网站的账号为:

 

有感觉的猜一下root

68b1044c9cae4a038705f01ac61373bb.png

16:14题中提到的网站登录页面损坏,请尝试在该网站中找到FLAG9:

 

网站出错,损坏,所以要人为登录,这里选择使用fidder

63ac02f42a744d8f9d5314d991732981.png

fidder命令输入账号密码

71bfcee61a6841d59be7b7eb57a56b3a.png

 但是网站还是不行,我估计是网站坏了,没有后期维护,毕竟3年过去,关心当时可以

c595b93ef2f64f08b25c089e0735719d.png

 

逆向不会

17:请分析桌面的可执行程序,通过输入正确密码可以得到上下两部分二维码,其中获取上半部分二维码对应的密码前4位为:

18:请分析桌面的可执行程序,通过输入正确密码可以得到上下两部分二维码,其中获取下半部分二维码对应的密码中,出现次数最多的字符为:

19:请分析检材并找到FLAG10:

20:请分析检材中的照片,查看“本机照片”目录下的文件,分析其中照片的EXIF信息,其中位于地址(31 deg 8' 17.53" N, 121 deg 20' 23.41" E)的照片的文件名为:

21:请分析图片并找到FLAG11:

 不得不说,这比武脑洞大的没办法,不知道是谁出的题

然后flag11也是一个属性隐写题,我觉得这样出真的没什么意思,就是考一个软件

69d42991b3674979abe3244264e6d87b.png

22:文件名为“弘连取证录像软件”的文件总编辑时间为_____

23:请分析检材并找到FLAG12:

24:请分析检材中,运行的容器的完整ID为:

这里docker打不开是因为没有虚拟化,要虚拟化引擎

32535f6731fb4deeae1ef11a6826d94d.png

 

aa03a97f6a4c41a8bf6ad3f4930cdcc8.png

 虚拟化操作之后,重启要点击小鲸鱼docker desktop才可以打开,不然也是报错

1807cec587cf4bd8a254c8ec2b273a84.png

 春神为了安全关闭联网,之后都需要自己调机器联网,不然很多会打不开

f7c6843849934ff4bfd1ea6b2162122f.png

 之后docker ps就可以看到,但是我们知道容器id很长,这里就是一个缩写,所以我们要查看容器具体信息

e168cd62e3e5445bb1216fa1d8808156.png

 

25:请分析检材并找到FLAG13:

显然在docker里面,那就进入,但是我docker有点问题

29a18c38cb0d4934ab08672e40fcda32.png

 

26:DOCKER镜像中运行的数据库为:

91f75145551c489994e24ec85fda1d3d.png

 

27:容器中所使用的数据库连接到了本地的端口号为:

b73258e4c0be43dd99349caa525e21ed.png

 

28:请分析检材并找到FLAG14:

数据库使用方法

d7484be82c864449902bfd08c2bf8ba0.png

 

29:请分析嫌疑人设备中所使用的MYSQL数据库的版本为:

85c62a04c95c4616b70b904f8edf114e.png

 

30:请分析检材并找到FLAG15:

管理员进库

678e38a3c1744873b44873f7c3f7c4f7.png

但是不方便,最后navicat打开

1188156f2f87433b9588c1941195045f.png

发现是图片,ok。

3b2cf47c549c481497fbba32c2c9fb95.png

 

 

 

modest —YBW
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
订阅专栏
21FIC神秘比赛取证,综合性高,misc取证结合,网站全新的docker架构,题目蛮有意思。
ntrybw的博客
03-29 2154
由于题目特殊,内部试,检材必须私信我才能给,见谅见谅,真的是没办法,抱歉抱歉。案情一:警方收到受害者 A 报案称,其电脑感染勒索病毒,重要文件被病毒加密;经询问,A 称他在上网时,发现了一个帖子,其中有教程和“梯子”工具可以让他很方便的浏览境外网站,当他安装完成后,通过浏览器打开 google 网站后跳转到了一个色情网站,没有禁受住诱惑,A 点击了网站上的视频,播放视频需要下载播放器,当他下载完成并运行后,发现电脑重要文件被加密;
CTFShow-电子取证篇Writeup
Aluxian_的博客
05-18 2751
CTFShow-电子取证篇Writeup。
2023FIC竞赛题目
m0_69407979的博客
04-20 1339
2023FIC竞赛题目
【答案】2023年国赛信息安全管理与评估正式赛答案-模块3 CTF
Geek极安云科-致力于网络安全事业
01-22 1151
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。
CTF记——取证小集合
m0re's blog
11-07 6289
前言 最近接触到的取证题目很多,所以就总结一下这类。 不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。 "食用"方法 判断镜像信息,获取操作系统类型 volatility -f ?.img/raw/... imageinfo 知道操作系统类型后,用–profile指定 volatility -f ?.img --profile=... 查看当前显示的notepad文本 volatility -f file.raw --profile
【计算机取证期末复习
xiongIT的博客
06-08 6476
计算机取证
2024FIC 第四届全国网络空间取证竞赛—线上赛(服务器部分)
weixin_72667582的博客
05-05 1573
这次打了第四,还差一捏捏有点可惜了,思路没啥大问,手贱交错几条flag。
FIC6 24LC512.bin
07-16
AEM FIC-6 FIC6上面24LC512的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
CEVA4000手册FIC总线
04-11
fic总线协议 The information contained in this document is subject to change without notice and does not represent a commitment on any part of CEVA ® , Inc. CEVA ® , Inc. and its subsidiaries make no...
Multi-ICE.rar_FAMulti_RDI.d_FIC8120_ICE_multi ice
09-23
FIC8120 方案 Multi-ICE
CTF取证题目指南
01-09
在CTF中,取证包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证(除非它包含了密码学知识而被认为是密码类赛)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
FIC6 24LC128.bin
07-16
AEM FIC-6 FIC6上面24LC128的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
FIC8180_4CH_DVR台湾视频解决方案,智原FIC8180的四路数
07-04
FIC8180_4CH_DVR台湾视频解决方案,智原FIC8180的四路数
用于视觉对象跟踪的序列到序列学习
weixin_48833388的博客
06-21 712
【自监督-MIM】系列方法学习
Jeremy_lf的博客
06-24 871
Masked image modeling 是一种训练深度学习模型的技术,尤其是在视觉领域,类似于自然语言处理中的掩码语言建模(Masked Language Modeling)。它通过在输入图像中随机遮挡(或称为掩码)部分区域,然后训练模型来预测这些被遮挡部分的内容,从而提高模型的视觉理解能力。Masked image modeling 主要用于视觉自监督学习(Visual Self-Supervised Learning)任务,帮助模型学习图像的内在结构和表示,而无需依赖大量的标注数据。
llama系列模型学习
weixin_40777649的博客
06-21 1061
而使用强化学习方法,则可以通过定制奖励函数,将正确答案赋予非常高的分数,将放弃回答的答案赋予中低分数,将不正确的答案赋予非常高的负分,使得模型学会依赖内部知识选择放弃回答,从而在一定程度上缓解模型的幻觉问。与Llama 1 一样,将所有数字拆分为单独的数字,并使用字节来分解未知的 UTF-8 字符。这主要原因是用于训练语言模型的大数据语料库在收集时难免会包含一些错误的信息,这些错误知识都会被学习,存储在模型参数中,相关研究表明模型生成文本时会优先考虑自身参数化的知识,所以更倾向生成幻觉内容。
昇思25天学习打卡营第2天|张量学习
最新发布
main_h_的博客
06-26 129
张量是一种特殊的数据结构,主要是描述矩阵 行列式这类。张量(Tensor)是MindSpore网络运算中的基本数据结构,类似日常的多维数组,不过比基础的数组多了一些描述信息。
6.S081的Lab学习——Lab7: Multithreading
qq_43264167的博客
06-19 1381
一个本硕双非的小菜鸡,备战24年秋招。打算尝试6.S081,将它的Lab逐一实现,并记录期间心酸历程。
#include <stdio.h> #include <stdlib.h> #include <iostream> #include <sstream> #include <fstream> #include <string.h> #include <time.h> #include <ctime> #include <vector> #include <string.h> int main() { ifstream FIC; FILE *fp; f.open("dsjc125.1.txt"; //File_Name表示文件名字 如File_Name = “dsjc125.1.txt" if ( FIC.fail() ) { cout << "### Erreur open, File_Name " << File_Name << endl; exit(0); } char StrReading[100]; FIC >> StrReading; if ( FIC.eof() ) { cout << "### Error open, File_Name " << File_Name << endl; exit(0); } int x1, x2; while ( ! FIC.eof() ) { char bidon[50]; if ( strcmp(StrReading, "p" )==0 ) { //FIC >> StrReading; FIC >> N_node >> N_edge; cout << "Number of vertexes = " << N_node << endl; cout << "Number of edges = " << N_edge << endl; for ( int x=0; x< N_node; x++ ) for ( int y=0; y< N_node; y++ ) Edge[x][y] = 0; } if ( strcmp(StrReading, "e")==0 ) { FIC >> x1 >> x2; x1--; x2--; if ( x1<0 || x2<0 || x1>= N_node || x2 >= N_node ) { cout << "### Error of node : x1=" << x1 << ", x2=" << x2 << endl; exit(0); } Edge[x1][x2]=Edge[x2][x1]=1; max_edg++; } FIC >> StrReading; } FIC.close(); return 0; }
07-09
这段代码是一个简单的C++程序,用于从文件中读取图的顶点和边信息,并存储在一个二维数组中。以下是对代码的解析: 1. `#include` 部分包含了一些必要的头文件。 2. `main()` 函数是程序的入口点。 3. `ifstream` 和 `FILE` 是用于文件操作的类和结构体。 4. `f.open("dsjc125.1.txt";` 打开名为 "dsjc125.1.txt" 的文件,如果打开失败则会输出错误信息并退出程序。 5. `char StrReading[100];` 用于存储从文件中读取的字符串。 6. `FIC >> StrReading;` 将文件中的下一个字符串读取到 `StrReading` 中。 7. `if ( FIC.eof() )` 检查是否已到达文件末尾。 8. `FIC >> N_node >> N_edge;` 从文件中读取图的顶点数和边数。 9. `for ( int x=0; x< N_node; x++ )` 和 `for ( int y=0; y< N_node; y++ )` 循环用于初始化二维数组 `Edge`。 10. `if ( strcmp(StrReading, "e")==0 )` 检查读取到的字符串是否为 "e",表示接下来是一条边的信息。 11. `FIC >> x1 >> x2;` 从文件中读取边的起点和终点。 12. `x1--; x2--;` 将顶点编号减1,因为数组索引从0开始。 13. `Edge[x1][x2]=Edge[x2][x1]=1;` 将边的信息存储到二维数组中。 14. `FIC >> StrReading;` 继续读取下一个字符串。 15. `FIC.close();` 关闭文件。 这段代码主要是读取一个图的顶点和边信息,并将其存储在一个二维数组中。但是代码缺少了一些变量的声明和定义,无法完整运行。如果需要更详细的解答,请提供完整的代码和文件内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值