20FIC神秘取证,题涉及pc、misc、逆向、服务器、docker范围很广,题目难度较大

案件介绍:

赵某是某国家重要机关技术人员,由于沉迷网络赌博,被境外敌特份子利用将工作中技术文档转卖到境外非法获利数千元。2020年11月份被抓获,从其所随身携带的电脑中获得一个硬盘镜像。据掌握的嫌疑人聊天内容知,案件相关数据分散在电脑中的各个位置,现需要调查员对该嫌疑人电脑进行勘察,找到相关线索(竞赛中以FLAG形式留存在电脑中)。

PS:警方从嫌疑人所持手机中,发现了案件相关的聊天记录,具体内容如下:

===================================================================

B:是赵老嘛?我是寒号鸟。

Z:鸟哥好。

B:听说你最近需要用钱,什么事可以跟哥讲。

Z:唉,最近运气不好,欠了朋友几万块钱要到期了。没办法想找个兼职。

B:兄弟你工作单位这么好还需要找兼职?随随便便搞点资料就赚大发啦。

Z:哪能那么好的赚钱方式,哥你教教我。

B:我有个法子,你想听的话我可以帮帮你。

Z:哥您讲。

B:你工作不是都是做技术的嘛?你看能不能把相关的一些产品参数、工作进度、参与人员名单这些发点给我看看。我这边主要是做一些新时代产品的跟进,想要一些行业资料。你知道的这些资料要么就去咨询公司买,要么人家不肯卖。你要是有的话,我就不便宜别人了,你给我资料,我把钱给你得了。这样咱哥们都不亏:)我也好跟老板交差。

Z:啊?哥,这个不合规定唉,你知道的我们都是保密单位,对这一块抓的还挺严的。

B:我就跟你讲讲啊,你做不做自己决定哈,你想想反正这些数据也没啥大的作用唉。你最多就是拍几张照片嘛。只要不被别人发现,谁知道是你拍的呢?

Z:好的哥,我知道了,我想想再和你联系。

几天后…

Z:哥,我们单位管的很严格,确实没条件拍照拿文件,不过还好我有过人的记忆力,我上班期间,靠脑力记住一些关键内容,回家腾到我的电脑上。

B:不错,有想法,那你有多少就给我多少吧,到时候我给你算钱。

Z:好的,我信得过你,每天能记住的东西不多,我都零散的放在我的电脑上了,为了防止被发现,我都做过处理,反正有多少就给你发多少吧,您别嫌乱。

B:好的兄弟~

====================================================================

 

题目:

1:请计算检材中,原始介质的SHA256值:

区分概念,原始介质和检材的区别,介质就是E.01文件,镜像是加载之后的,作区分。

52bcc136e2724901850403f44f514bc2.png

 

2:请分析检材并找到FLAG1:

说实话也是乱找的题目,真的有点不喜欢,我是大海捞,文件乱看乱点,就是不太找得到

 

搞了半天是在桌面上flag1 我是真的无语死了,半天没有看到

eadaf93e813042e38c79e6dd98e6c496.png

 

3:据交代,嫌疑人隐藏的一些机密信息与电脑中的图片有关,请对疑似图片进行分析并找到FLAG2:

这里考了一个知识点,我在电脑里仿真无论怎么看图我都是找不到的,电脑里面图,看到死就这几张,都没什么好看的

b25cd4d8738a4c808ed470d4931eb6c9.png

 然后出题人本意就是为了让我看取证软件,因为这里考了一个NTFS流文件,必须看取证软件才看得到

6e35ad591fbe460389dfb5cdaf071278.png

单纯仿真的好处是,比较具有情景感,看得比较真实,但是出题人的意思就是提醒我们,也要在取证软件下看,比如我这次就认识了NTFS流文件,是一个隐写的好考法

 

不信邪的我最终去看了看,还真是如此,之前也一直忽视流文件,真是大意了

b2295612c63d4545a6c08fdd7842a4f8.png

 
4:请分析检材并找到FLAG3:

虽然理论上取证题目前后是有逻辑提示的,但这个是真的一点提示都无

记事本打开binary,看到二进制果断想到转ASCII

ad26abb2b172482d82b8d50a476017ef.png

 在线我没有搜到好的,我觉得可以直接用脚本

2b31c1b401434f23996adc880cf7bf42.png

 一手脚本

e024bf2b4ae0463a9f23c048c59dc7f8.png

或者用弘连解密

6f16c6330fb5464ba586a6f8c0445601.png

 

5:名称为SanDisk Ultra USB 3.0 USB Device的设备串号为:

直接爆搜,真简单

7b8082f23a804aeaa3650479ac792467.png

 

 

6:请分析检材并找到FLAG4:

这套题目很大的特点就是没有关联性,所以找flag要是按照题号提示就是给自己挖坑,所以没规律的找就好了

将REC解压之后发现这两个文件,其中REC001大小5G,但解压之后是空的,这里考了一个数据恢复,用到Rstudio

11c8707984c648ca98f6edce5220bd5a.png

 然后Rstudio恢复了之后是这样的,应该是恢复好的文件结构,但是我打开看没很看明白,

3b34793c288640ddb9a4f305d3a4e9ed.png

 打开之后看到这里有flag文件(我也是乱点,没看懂文件结构,看来还需要系统学)

19beee7d34034232b59b6519b84626c8.png

 把文件导出来之后发现是邮件.eml文件

4dc6dc4113f149eeb018b4f4b2d99b16.png

 

 打开之后顺利得到

dfb7e8e91b8c4485a1c9ef3af498600b.png

 看来还是要系统学习一下Rstudio的使用方法。(网上目前没有找到,但是我觉得他是很牛逼的恢复软件)

7:经询问,嫌疑人曾发送过一封含有解压密码的邮件,找到该压缩包,并计算加密压缩包的SHA256值:

 

历史记录里面和爆搜都是找到这个 ,浏览器界面可能是附件了压缩包

c6c861f5bea0483fa588eb35ce4ed5d8.png

 然后搜索相关文件,总共就这几个文件,一个一个溯源排查

swagger和archieve是vm内部的文件

flag是fic20下的

两个数字开头的都是临时文件,所以我猜测

一般是flag ,两个数字开头的 也有可能,所以为了进一步验证,提取出来:

经验证,数字开头是没有密码的,所以就是flag43b751c49565402cb9b2dac4c9e6814f.png

 

 

355cf8bde85e4c82809a0cdb56eed904.png

 aa83a462c24a43b0857cab2d68f7486a.png

 虽然这个是打不开,损坏的,但是我们这样推断也算严谨

25bd2ac55c57466cac368f05d64cdbce.png

 

8:请分析检材并找到FLAG5:

我猜测是要修复,我用rar无脑修复发现不可以,就直接010进行修复,把文件头改掉了

 

d0aba5d316b04d5aaa8da57a9d005167.png

 然后就可以顺利的打开并识别

fd27efe1db814c3db44d84704aa6e06d.png

 随便爆破一下,显示密码为0 ,我就很迷糊,密码为0代表什么含义,其实0代表的是无法识别这个压缩包的意思,但是这里我还在探究

eb84dd72d9324c49b8f3188fda75c6e0.png

然后我还是010一下看课真伪

对于熟悉zip的人来说,这个不成问题,其实是一个真实加密,没法用伪加密破解,然后用数字爆破也是报错,导致最后只能用passware爆破

3d4f57798160499690c40ca232fd1248.png

 

82fe4993e3a94dfb826d3d8abfdf16e9.png

 这题做不出来,只能先跳过

 

9:请计算MC100.jpg文件的SHA256值:

仿真出来算,虽然不知道为啥火眼算不了,也无法导出,跟便秘一样

b726680d1dd94581b190c758ff873ebb.png

 仿真拿出来就好

64e275d079404f5e8efdfa695e5cf7c4.png

 

10:请分析图片并找到FLAG6:

很明显答案就在图里面

8eb41a1ae7be4bc0b3ac6ddafe1e3fe6.png

 先010看一下文件结构,

整个看完就感觉这个里面隐写了东西

ccf92349c7124b1e967df5fe61bcca9e.png

果断foremost分解

753c6a680ed74362ba271e73b031725d.png

 得到两张图谱,看到flag,就是png

974c38d56e1b474da85fa831ec3a06b9.png

 

11:经调查分析发现,嫌疑人在自己的网站上存放了1张含有FLAG信息的图片,可能位于http://106.14.204.160/pic/1至http://106.14.204.160/pic/1000的某个url地址之中,请分析查找FLAG7:

网站扫描,一手软件解决,也可以python脚本

excel填充到1000

76032ac8e61944e3bf4eac8a4fc2c37b.png

 然后转到txt里面

 

虽然我现在扫可能没什么用,但是比赛的时候网站肯定可以

0ef5c9999ec04167b27e6ce727434a76.png

这是比赛的,是找得到的

c9c8f04d27be4927ad0f2826f226aa68.png

12:Windows系统中,FIC2020用户的登录密码为:

 

做了这么多狗题,难得碰到一个人性化的,真是不容易。

886e2a6d8de6492983fe61110554f1d9.png

 

13:请分析并找到该检材中的加密分区,该加密分区的密钥为:

 

几个可疑文件,最后在文档里面顺利找到

c7e1543563c54d47a2e647db893fe702.png6a54ab5b30f14f7e8bb2a86fc6a71d0d.png

 然后看bitlocker需要这样解锁

4708266bfc1046b99389ece7b2ae5aa2.png

 火眼里面搜到txt发现被加密

2124664d74c145e59d031a2f48b6ef57.png

 这个时候我必须引用一下官方解析:

这个txt是一个efs加密文件,如果火眼将密码破解掉,这个文件无论如何是打不开的,唯一的办法是将这个镜像在仿真的时候就不绕过密码,所以再仿真一次,不绕过密码,应该就能打开了

56fe3386bf174192b5c38acc0ae1c0dc.png

 弘连不骗人,果然是可以看到的,涨知识了。

8960be4721484a8bb2891fa1d299554d.png

解开之后就看到了我最喜欢的flag

b420a55628014a11a641bb1aa6bc55f9.png

14:请分析检材并找到FLAG8:

答案上

8dfee7a5a252404d9091ef4124eded3c.png

这个很明显是压缩包,拖到桌面解压发现这个

然后我一开始猜测是网站文件,然后直接网址试一下发现是163的新闻网,觉得不对,实际上这是一个邮箱

fe2befeb119c45ddaee69b174090a1ce.png

 在桌面上的图标是空的

这样显示一般就是快捷方式,没有文件了,实际上这里的所有文件都被搞走了,所以

351acfcf460a4a42b2792fb92ab6f825.png

 很常见的方法就是用取证软件跑一下,毕竟人家是专业的。

看到邮件信息

026cc218cd934b0c84163b7d955ac05d.png

有价值的,其实这个secret是解解压前一个压缩包的密码,不过说实话我的脑洞是真的没有那么大

1bc7015eba62434c93b26b3d9a45628a.png

 

 然后解压后顺利得到flag5

56ca07a1423c4465977b02cdfdceabed.png
 

 

15:已知嫌疑人有一个用于存储数据的网站,该网站可用其账号密码登陆,请问登陆该网站的账号为:

 

有感觉的猜一下root

68b1044c9cae4a038705f01ac61373bb.png

16:14题中提到的网站登录页面损坏,请尝试在该网站中找到FLAG9:

 

网站出错,损坏,所以要人为登录,这里选择使用fidder

63ac02f42a744d8f9d5314d991732981.png

fidder命令输入账号密码

71bfcee61a6841d59be7b7eb57a56b3a.png

 但是网站还是不行,我估计是网站坏了,没有后期维护,毕竟3年过去,关心当时可以

c595b93ef2f64f08b25c089e0735719d.png

 

逆向不会

17:请分析桌面的可执行程序,通过输入正确密码可以得到上下两部分二维码,其中获取上半部分二维码对应的密码前4位为:

18:请分析桌面的可执行程序,通过输入正确密码可以得到上下两部分二维码,其中获取下半部分二维码对应的密码中,出现次数最多的字符为:

19:请分析检材并找到FLAG10:

20:请分析检材中的照片,查看“本机照片”目录下的文件,分析其中照片的EXIF信息,其中位于地址(31 deg 8' 17.53" N, 121 deg 20' 23.41" E)的照片的文件名为:

21:请分析图片并找到FLAG11:

 不得不说,这比武脑洞大的没办法,不知道是谁出的题

然后flag11也是一个属性隐写题,我觉得这样出真的没什么意思,就是考一个软件

69d42991b3674979abe3244264e6d87b.png

22:文件名为“弘连取证录像软件”的文件总编辑时间为_____

23:请分析检材并找到FLAG12:

24:请分析检材中,运行的容器的完整ID为:

这里docker打不开是因为没有虚拟化,要虚拟化引擎

32535f6731fb4deeae1ef11a6826d94d.png

 

aa03a97f6a4c41a8bf6ad3f4930cdcc8.png

 虚拟化操作之后,重启要点击小鲸鱼docker desktop才可以打开,不然也是报错

1807cec587cf4bd8a254c8ec2b273a84.png

 春神为了安全关闭联网,之后都需要自己调机器联网,不然很多会打不开

f7c6843849934ff4bfd1ea6b2162122f.png

 之后docker ps就可以看到,但是我们知道容器id很长,这里就是一个缩写,所以我们要查看容器具体信息

e168cd62e3e5445bb1216fa1d8808156.png

 

25:请分析检材并找到FLAG13:

显然在docker里面,那就进入,但是我docker有点问题

29a18c38cb0d4934ab08672e40fcda32.png

 

26:DOCKER镜像中运行的数据库为:

91f75145551c489994e24ec85fda1d3d.png

 

27:容器中所使用的数据库连接到了本地的端口号为:

b73258e4c0be43dd99349caa525e21ed.png

 

28:请分析检材并找到FLAG14:

数据库使用方法

d7484be82c864449902bfd08c2bf8ba0.png

 

29:请分析嫌疑人设备中所使用的MYSQL数据库的版本为:

85c62a04c95c4616b70b904f8edf114e.png

 

30:请分析检材并找到FLAG15:

管理员进库

678e38a3c1744873b44873f7c3f7c4f7.png

但是不方便,最后navicat打开

1188156f2f87433b9588c1941195045f.png

发现是图片,ok。

3b2cf47c549c481497fbba32c2c9fb95.png

 

 

 

  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
这段代码是一个简单的C++程序,用于从文件中读取图的顶点和边信息,并存储在一个二维数组中。以下是对代码的解析: 1. `#include` 部分包含了一些必要的头文件。 2. `main()` 函数是程序的入口点。 3. `ifstream` 和 `FILE` 是用于文件操作的类和结构体。 4. `f.open("dsjc125.1.txt";` 打开名为 "dsjc125.1.txt" 的文件,如果打开失败则会输出错误信息并退出程序。 5. `char StrReading[100];` 用于存储从文件中读取的字符串。 6. `FIC >> StrReading;` 将文件中的下一个字符串读取到 `StrReading` 中。 7. `if ( FIC.eof() )` 检查是否已到达文件末尾。 8. `FIC >> N_node >> N_edge;` 从文件中读取图的顶点数和边数。 9. `for ( int x=0; x< N_node; x++ )` 和 `for ( int y=0; y< N_node; y++ )` 循环用于初始化二维数组 `Edge`。 10. `if ( strcmp(StrReading, "e")==0 )` 检查读取到的字符串是否为 "e",表示接下来是一条边的信息。 11. `FIC >> x1 >> x2;` 从文件中读取边的起点和终点。 12. `x1--; x2--;` 将顶点编号减1,因为数组索引从0开始。 13. `Edge[x1][x2]=Edge[x2][x1]=1;` 将边的信息存储到二维数组中。 14. `FIC >> StrReading;` 继续读取下一个字符串。 15. `FIC.close();` 关闭文件。 这段代码主要是读取一个图的顶点和边信息,并将其存储在一个二维数组中。但是代码缺少了一些变量的声明和定义,无法完整运行。如果需要更详细的解答,请提供完整的代码和文件内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值