第七届“蓝帽杯”初赛取证题目超详细解析，检材可以看我的下载资源，有百度网盘的分享链接

前言：

刚刚打完比赛，准备晚上写一下wp，刚好整理一下题目，ctf的题目一般都有，取证不一定，所以我整理一下，方便大家复盘。

我之后又自己写了一遍解析，中间参考很多湖警向师兄的答案，师兄太强了，也推荐一下师兄的博客链接。

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解 | CTF导航

希望：岁月不息，灯火长明，不断奋斗吧。

题目：

1：【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

apk部分我感觉可以一把梭解决所有问题

com.vestas.app

2：【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

0x563b45ca

3：【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

129477173248

4：【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

打开软件即可看到

5：【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

就是主函数io.dcloud.PandoraEntry

6：【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

雷电很明显了

7：【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]

或者仿真起来也可以看

8：【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]

这里有两种做法

1：仿真起来做，也就是把备份恢复，得到我们的模拟机

操作步骤如下：

1：雷电多开器，选择备份与还原

 到这一步选择恢复文件，选择相应系统system.vmkd进行操作

9：【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

查找两人聊天记录5w

10：【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

华哥

11：【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]、

镜像和检材的sha-1值压根就不是一个东西，我之前就区分过，弘连算出来的是检材，而需要的是镜像的值，所以以后面的为准

然后答案是23F861B2E9C5CE9135AFC520CBD849677522F54C

 

然后我用xw算了一下

 然后查看属性发现和弘连是一个结果

12：【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

这题也是让我很震惊，我觉得检察员是某一个登录用户，所以就努力去找windwos登录用户

发现xw里面就写了检察员工 但是我想知道能否用其他软件看到，然后xw是否可以记录所有检材的相关信息，如果是这样的话，那这个真是太牛了，我发现弘连是看不到相关信息的，所以检查员还是需要这种老牌软件看，然后我又去探究一下这个软件的其他用途，我测试一下其他的功能，发现还是很牛逼的，技能库加一

13：【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

直接仿真查看，但是这个答案可能是不对的，我思考的首页就是打开第一页

然后我们湖警向师傅是这样做的，我觉得很有道理，看注册表是最彻底的，这样答案还是不对

 然后搜索主页是这样的

 我实在没懂，觉得题目略微有点文字游戏。

14：【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

首先我们确定，这个计算机是嫌疑人的计算机，然后我们看到两个密码

这里区分前台和后台，url就看的出来，下面一个是前台，前一个是后台

所以账号和密码就是：yang88  3w.qax.com

15：【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

自己造一个pdf文件，然后查询相关版本号

 版本如下：11.1.0.14309

16：【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

其实这个是比较难找的，因为直接搜索压根找不到

 然后我的队友王姐就@我帮找，随便翻翻，这个5G的文件如同清流一样实在是过于可疑

 然后我猜测这个是加密容器伪装起来的

，解压需要密码才能，所以我们换个办法

就是用windows分析，火眼直接添加新建材，害真是厉害，我一开始没更新，所以电脑是无法识别，然后我更新一下我发现弘连可以识别容器了，还真是恐怖，春神啊，太强了，真的

在里面找到了这个，然后我们计算一下哈希就出来了

 在这里我发现img文件取证软件是会识别成压缩软件，但是导入到自己电脑里是 解析不出来，必须要用软件来解析

17：【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

 然后这个解密姐涉及到一些问题，我记得我在做第六届蓝猫初赛的时候就做过。

然后继续观察，这个2G的文件太明显了

理论上可以从内存里面获得秘钥，所以我们尝试去内存里面提取秘钥

1：先用passware试试看，发现失败了

 2：然后我试试看半决赛用到的美亚解密

但是很遗憾，大师也不行，就是不行加载不出来

3：奇安信有点坏啊，只能自己的盘古石解析出来

盘古石的解密是在这个界面，让我找了半天，而且需要以镜像的形式添加进去，不是加密容器

 发现盘古石可以解密内存，这点还是比较厉害的

 然后就是用导出的内存秘钥解密，但是这里我很好奇，这个和美亚的有什么区别，所以我两个都导出看一下，理论上两个都是可以，那样我就可以做出来（用美亚）但是我看了一下，美亚只有bitlock所以只能盘古石，这波变相推销，差评！

 解开之后发现很多好东西

直接打不开，所以010，然后猜测txt

 又猜一下觉得是doc？

 翻阅发现，在重要资料里面发现，发现vc密码，

 然后我又很好奇，解密一遍发现和盘古石的区别就是解密结果好看一些

18：【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

要在windows里面放虚拟机一般是要vm，然后我找来找去没找到，没想到这次换了一个思路

就这么些软件，我查询一下每个软件的用途，然后长见识了，要换来starwind也是一个虚拟机软件

 我们打开看看

端口一下子就出来了

19：【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

我们组在做这个的时候遇到的问题，一开始不会做，然后只能去无脑搜索，因为理论上这个服务器管理软件的账号密码应该是存储了

所以我们导出查看寻找

 证明chat不聪明

然后我们开始搜索，文件完全导出，我一开始用pycharm，发现不太行，我果断下载vsctudio

果然这个搜索是好用，功能真强大啊，还有找姓名还得用脑子

太强了，真的可以找到

<permission target="" chapLocalName="user" chapLocalSecret="panguite.com"

20：【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

OK，我们前面还原出来的有作用了

 拉一下1019

21：【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

Image date and time : 2023-06-20 17:02:27 UTC+0000 这是是创建伦敦时间
 Image local date and time : 2023-06-21 01:02:27 +0800这个是北京时间

22：【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

先hashdump，然后去倒查md5

（真混蛋，这个只有cmd5有，要花钱才能购买）

 

然后也有很多其他可以看到，比如仿真就查到，我这里再演示一下passware也可以查到

他会花1分钟，有一点点慢

23：【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

讲实话，这题我是不会做的，我比赛的时候，是用取证大师看设备连接时间的

（感觉也有一点道里）虽然也有这个01：25 但是不知道为什么，糊涂糊涂，内存题目内存为准

虽然我就觉得有点问题

然后正经事内存取证插件，我电脑插件都没有装，我怎么取证啊（这是湖南警向师傅的，学习）

 这是一篇关于插件安装的博文，我推荐一下

volatility2各类外部插件使用简介_volatility查看usb插件_Blus.King的博客-CSDN博客

具体就是涉及到这个插件，我是真的没装，所以做不出来

24：【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

其实这个题目不难，难在概念

我一直很疑惑，hashdump出来两个值，后面的是密码，前面的有什么用

然后我第一次见识到，他的大名：lmhash

25：【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

这个我用三个命令都尝试了一下，发现原版的内存取证都是看不到的

shellbag

filescan（出了很多dll文件，xlsx文件都出不来）

mftparser

我发现都是找不到这个文件的，但是我去看向师傅的博客，发现kali里面确实内存取证好很多

所以我之后和windows内存分手，本来嫌弃开着虚拟机麻烦，现在觉得还是有必要的，

26：【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

这个火眼可以直接看，最后一次使用时间，最后一次执行是在

这个时间，这是用火眼投机，我们用内存也能做

用pslist列出

 然后pstree

然后我们axmox

 什么狗软件，时间每一个是一样的

27：【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

怎么这么简单，我内存做到死没做出来，还是ax出来的

28：【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

 然后pslist也可以出

29：【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

uname -a

软件也可以看

30：【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

宝塔可以看

测试一下确实是这个密码

31：【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

到这其实问题很大，这里就4个数据库，没什么用，然后就问题很大

所以这里涉及到一个恢复数据库的操作，当时我们组是看这一份博客做的

阿里云Mysql5.7 数据库恢复 qp.xb文件恢复数据_菜鸟入行的博客-CSDN博客

然后我尝试在这里换一种思路，其实本质就是去解析这个xb文件

我们用弘连的数据库取证试试课

 这个rds地址其实我是不知道的

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

就是宝塔里的这个，可以通过查询获得 

32：【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

 我就用excel完成所有操作试试看，哈哈哈，向师傅做了高级办法，那我就朴实一点，excel

但是在我尝试之后，我感受到绝望，就是看着数据库盲猜，然后非常非常不方便，我用弘连解析的，完全受不了，所以兜兜转转，决定还是老老实实重构，cao 真的做了我好长时间，找不到

安装qpress

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"tar xvf qpress-11-linux-x64.tarchmod 775 qpresscp qpress /usr/bin

安装xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

然后我们把文件拖入服务器

 然后去恢复使用xbstream处理qp.xb文件

为了简单，我把文件夹改名 123_qp.xb

然后执行命令：

cat 123_qp.xb | xbstream -x -v -C /www/server/data

进入/www/server/data进行解压

cd /www/server/datainnobackupex --decompress --remove-original /www/server/datainnobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/datachown -R mysql:mysql /www/server/data

这里第三部是有一个报错的

 这一步报错

然后需要修改mysql

修改mysql配置文件

vim /etc/my.cnf#在[mysqld]块下添加lower_case_table_names=1

 然后正常登录，我不需要绕过密码，可以直接访问

然后我们就可以重构网站了 ，网站报错，需要网站重构，这里是一个数据库报错，所以我猜测是数据库有关错误问题，所以我们去网站目录

责怪，这个数据库密码私自改，我们改回去试试看，因为前段就可以连接数据库；

 发信发现还是报错，然后我吗再看看，发现这里主机host，在服务器搭建的时候，网站是数据库的，但是现在应该改成主机，localhost

然后在我一顿操作之后还是爆粗，我真是套你个猴子，然后我又开始思考，我应该是没有绕过密码，就是网站端已经修改密码，然后我也是链接数据库的，但是没法查询备份恢复的数据，原因可能还是没有绕过，所以我去绕过。

然后我测试一下，发现绕过之后是可以查询的，所以密码表层不需要绕过，底层需要，所以绕过之后就查询的出来了。

 但是这个查不出来，xshell我自己也查不出来

 

我去navicat看看，我估计结果是差不多的，就是导入的时候有问题，所以导致看不到数据，所以我再来一次发现还是不行，然后我没救了，就开始尝试网站前端，我了个乖乖，前端又是可以进去的，那我们登录一下

 关于用户名和密码，要么找，要么绕过，我们先试试看找

这密码有点长，我觉得倒查绝对是查不出来的，所以我必须去找网站的登录文件，绕过

然后我们绕过，找到这个登录函数

涉及到代码解析

1：第一种一切正常，回显是status=0

2：如果登录次数大于设置次数，就status-=1 告诉你别尝试了

3：密码要经过加密函数加密

如果没有账户就会报错账户不存在

 接下来我们将关键代码修改

  if (Crypt::decrypt($Admin->password) ！= $request->input("password")) {

数据库密码和输入密码匹配，不对就报错，那么我们改为匹配对了报错，让这句话执行下去

                $msg = '密码不正确';
                DB::table('loginlogs')->insert([
                    [
                        'adminid' => $Admin->id,
                        'logintime' => Carbon::now()->format("Y-m-d H:i:s"),
                        'ip' => $request->getClientIp(),
                        'status' => 0,
                        'info' => $msg,
                    ]
                ]);

                return ['status' => 1， 'msg' => $msg];（对了状态码为0，所以我们状态码改了）

 然后网站进去了，但是如我所料，有一部分数据是没有的，所以部分页面报错

33：【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

嫌疑人是yang88 我们去搜索一下

 推广量69个

34：【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

这里写超级管理是root 但是网站管理是admin，所以还是要重构

 然后我们石锤了，admin，还有禁用的不算

35：【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

由于我的网站这一部分没重构起来，盗图，我也不知道为什么，数据库重构能重构一半

但是难不倒我，数据库导不进去，我直接手搓，去取38条数据

但是我仔细看了一下，恕我直言，

这个投资收益的标注让我真的很无语，4%

36：【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

只能猜测一下

 重构

37：【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

这个不重构压根没法看

由于我的桌面没重构起来，所以我直接看，不过这个

比看数据库好多了，有一种从自行车做到捷达的感觉，不好但是顶用

38：【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2个可以查出来

 然后为了显得我科技一点，我把navicat打开，我瞬间有一个天才想法，不是你给我导入失败，我直接给你手工导入，这不得成功，就是把数据给他补充进去，那样我的网站就完美运行了

可以报错显示这个表不存在，我思考可能是这个表真实不存在，只有一个名字，那好，我把他删了，然后在做一个，那样绝对是存在的

看来删是删掉，但是要建一个表很麻烦

 

 算了，放弃了，真是的。

39：【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

提现总额:128457.00’

40:【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

先看看上线是谁

 上线是这个yang88

 所以我们的任务就是查询yang88下线有多少，其实那个推荐号可以查询下线的

但是有一点我是存在问题的，就是这么多下线的计算方式如何，是全部计算还是计算直接下线，我认为这里略微没有说清楚

但是我这里就拿直接下线举例，我们来计算一下有多少下线，直接去navicat查询

我们分析一下menber表，发现这一列就是推荐人，英文翻译

sel语句：

select * from member where inviter ='513935'

数一下总共17个

 

41:【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

也就是sql语句的逻辑

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

42:【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

 

43:【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

navicat看明细

统计金额为正也就是入账的钱数

统计金额为负也就是转出的钱数

相减得到收益

总结：这套题目也就这么做完了，感谢向师兄的指导，不得不说师兄是真的很有实力的，我们还是太菜啦，不过这次比赛我的时间都太零散，安保期间也没法做题，还是本着学习的心态继续出发。