22nxxz

难度简单，适合练手！

期末考试前最后一篇博客，还是很感谢范老师，范老师帮我突破了后台的思路mua！

一、请检查窝点中的手机检材，回答以下问题

直接分析不行，sd卡需要解压缩

1. 该OPPO手机的IMEI是：

1. 860370043989014,860370049389006
2. 860370049389014,860370049389006
3. 860370049389014,860370043989006
4. 860370049839014,860370049839006
5. 860370049389014 配置文件只有这个，

1. 

然后第二个是在back里面看到

查了一下，为什么这个有两个IMEI

1. 该涉案人所使用的的微信ID和关联的手机号是：
2. wxid_rn6kc87f1mb354 16521330311
3. wxid_rn5mjxpw1mb922 17721103461
4. wxid_wi8nf67f1lmd54 15528880561
5. wxid_kshn457f1lm123 15847880501

1. 涉案团伙的最后线 下犯罪窝点地址是：
2. 闵行区古美西路86弄44号
3. 田林路1036号科技绿洲三期16号楼101室
4. 上海市合川路科技绿洲3期5-3号楼
5. 闵行区合川路2555号
6. 

1. 犯罪团伙所用的诈骗应用apk的sha256值是

1. 71064939606EE601F2F5A888C75F3949CB82A8DF472D15D77EE2A3DF663FC8E9
2. DC0909D078AC1B692836BB0526E52633DDE49D1286631FA0EF9C744925DF545E
3. F67F61057828F57EA663CEBEDD638EE9A4BAF36F69DA7E002CBA54C9F8EAAF85
4. 96B1258E64DA18C323DE8ECE0F89D88B0F0B99F459F209B514F7F500D72B7D1B
5. 

1. 该涉案人手机在3月7日除了上海还可能去过哪个城市？

1. 长春
2. 成都
3. 武汉
4. 北京 

吐槽一句，奇安信出的题，怪不得弘连出不来

奇安信是这样做的

在长春的乃正发朋友圈，然后微信盆友圈定位数据库里面是有地理位置信息的，奇安信软件解析完全部存储在地理位置信息里面，然后看地理位置信息，就说犯罪嫌疑人有可能去了，我觉得不严谨

1. 该涉案人可能用的输入法是和版本号： 
2. 10.9.4
3. 8.32.22.2010171749
4. 10.94
5. 8.32.22.201071749

找到搜狗跳转源文件，但是不知道为什么，这里是sohu有点搜狐的意思

1. 该输入法没有哪项权限：

1. 照相
2. 连接网络
3. 修改型号
4. 读取文件

手搓，得出答案是没有修改型号

1. 该涉案人和被害人聊天使用skype软件的版本号是？
2. 8.80.0.137
3. 7.37.99.40
4. 6.65.12.11
5. 5.76.34.12

数据库里面看版本号，但是要判断软件是raider

或者cooker里面看数据库

1. 哪个不是该涉案手机连接过其他手机的蓝牙物理地址:

1. E0:9D:FA:3A:BB:3C
2. E0:64:FA:3A:8B:11
3. 00:45:E2:02:50:BC
4. 00:1A:7D:DA:71:11

1. 涉案APK的程序入口？

1. W2a.W2Ah5.jsgjzfx.org.cn
2. io.dcloud.PandoraEntryx
3. w2a.W2Ah5.jsgjzfx.org
4. io.dcloud.PandoraEntry

1. 涉案APK连接的服务器地址是？

A.h5.gjzfx.org.cn B.bspapp.com C.yhjj.com D.api.meiqia.com

逆向逻辑

1. 以下哪个是APK申请的权限？

1. 测试对受保护存储空间的访问权限
2. 申请系统管理权限
3. 修改手机状态和身份
4. 修改位置信息

1. APK向服务器传送的数据中，包含一下哪个字段？

1. mc
2. address
3. number
4. dc

讲实话，这个题目逆向做不清不楚的，我自己都搞不明白

还是抓包靠谱一点

二、请检查窝点中的计算机检材，回答以下问题

1. 涉案计算机的计算机全名是？ 

1. DESKTOP-VC69QPB
2. DESKTOP-KDN38R5
3. DESKTOP-SLU384N
4. DESKTOP-I92E87D

1. 涉案计算机有效账户最后一次登录时间是？ 

1. 2022-03-15 09:43:04 +08
2. 2022-03-15 09:43:04 +00
3. 2022-03-15 17:43:04 +08
4. 2022-03-15 17:48:04 +00

1. 涉案计算机登录次数最多的账户是什么？登录了多少次？

1. admin 16
2. admin 19
3. administrator 16
4. administrator 19

1. 涉案计算机是否连接过SanDisk优盘，该优盘的序列号是什么？

1. 4C530001180221100781
2. 4C530001180221109491
3. 5D7E0001180221100781
4. 5D7E 0001180221109491

1. 涉案计算机以太网的Ip地址是？

1. 192.168.1.100
2. 192.168.1.101
3. 172.168.1.100
4. 172.168.1.101

1. 涉案Windows计算机通过浏览器是否下载过哪个软件？ 

1. QQ
2. Navicat
3. Clash
4. wireshark

1. 嫌疑人使用navicat远程连接数据的IP是？

1. 45.77.15.219
2. 45.77.16.229
3. 35.66.15.219
4. 35.66.16.229

本来想解析源文件位置，但是实在是找不到，所以直接仿真做题，但是发现仿真也被删除记录了

奇安信软件可以做

1. 涉案计算机是否存在加密分区，采用了什么加密方式？

1.  Bitlocker
2. TrueCrypt
3. VeraCrypt
4. CnCrypt

bit显然

1. 涉案计算机加密分区里面word文档文件最后访问时间是什么?

1. 2022-03-14 19：14：45 +08
2. 2022-03-14 19：14：45 +00
3. 2022-03-14 19：10：53 +08
4. 2022-03-14 19：10：53 +00

1. 涉案计算机加密分区中的txt文件SHA256值为？

A.da54693b5f04ea703e23065b53d01d89ca36e0444dee62ba01622e6d186e4712

B.fa7a3b601325cfe85a9d6fff6514804d06754795175c87c3af162eac7dcf693a

C.972403b4b8fdfc211d5a14178be7e02e792cbe6a7bd6ff827ebb2c8909f4e2b8

D.b7254757595ce0228801bd53417895c2b6f28781d98bec8d854f4772c06aea29

1. 涉案计算机使用的远程连接工具ToDesk的版本是？

1. 4.2.6.03021556
2.  12.5.1.44969
3. 14.28.2935.2
4. 11.0.61030

这里可以判断a，但是后面的为什么没有

1. 哪个设备的IP曾经通过向日葵连接到本地计算机？

1. 11.91.214.117
2. 116.246.0.90
3. 58.244.39.225
4. 10.91.215.14

1. 嫌疑人使用的VPN使用了哪种加密算法

1. DES-128-CFB
2. AES-256-cfb
3. MD5
4. SHA

桌面上

定位文件夹

配置文件里面没有

感觉不一定对，然后又去看SSR，这个里面写的比较清楚，ssr也是翻墙，大意了

1. 以下哪个地址不会被自动识别走代理通道？

1. carfax.com/index.html
2. api.expekt.com
3. huluim.com/login
4. api.dns100.com

这里pac说明是外网，所以要不能再pac里面的

1. 以下哪个IP会被代理软件识别为国内IP段进行直连。

1. 1.16.0.1
2. 1.205.0.1
3. 35.2.0.1
4. 56.11.0.1

内网，就是中国ip

1. 查看涉案计算机系统日志，判断该涉案计算机最后一次刷新时区信息是什么时间？ 

A. 2022-3-17 9:59:14

B. 2022-3-16  10:02:13

C. 2022-3-15 12:54:44

D. 2022-3-17 10:06:38

或者事件查看器搜索时间

三、请检查窝点中的服务器检材，回答以下问题

1. Liunx服务器的系统内核版本 

1. 3.10.0-1127.el7.x86
2. 3.10.0-1127.el7.x86_64
3. 3.11.0-1127.el7.x86_64
4. 3.11.0-1127.el7.x86

1. 该涉案服务器宝塔面板的访问限制域名是什么？

1. h1.jsgjzfx.cn
2. gjjszfx.cn
3. h5.jsgjzfx.cn
4. h5. gjjszfx.cn

记得host一下，不然访问不到

访问限制域名就是绑定域名，限制的意思是，以后只可以用这个域名进行访问，在面板设置里面擦哈看

1. 涉诈网站目录中数据库连接配置文件的路径 

A./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/config.php

B./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/Home/View/Qts/User/config.php

C./www/wwwroot/h1.jsgjzfx.cn/Application/Common/Conf/config.php

D./www/wwwroot/config.php

可以采取实际操作法，查询一下就好了

1. 登录涉案网站后台，显示有多少用户 

1. 922
2. 921
3. 920
4. 919

涉及到密码问题，我选择绕过

1.连接数据库查询wp_userinfo username admin的upwd字段 b28a5d45531b8a112bd552f29b309c10 去cmd5查询 解密为lz123123
账号admin 密码lz123123 验证码124578 登录

找到密码存放位置

但是我找不到验证码，然后我用已经查询到的密码倒着查，发现

wp_action_log里面存有网站登录记录

2.使用123456的md5值替换username admin的upwd字段e10adc3949ba59abbe56e057f20f883e
update wp_userinfo set upwd='e10adc3949ba59abbe56e057f20f883e' WHERE username='admin'
账号admin 密码123456 验证码124578 登录

但是我这里都报错，我也不知道为什么，所以我只能去后台修改登录逻辑

3.vi /www/wwwroot/h1.jsgjzfx.cn/Application/Admin/Controller/UserController.class.php
将
$this->error('登录失败,密码错误！');
改为
$this->error(md5(I('post.password')));
尝试账号admin 密码111111 验证码124578 登录 报错信息内看到111111加密后的密文96e79218965eb72c92a549dd5a330112
使用111111的md5值替换username admin的upwd字段96e79218965eb72c92a549dd5a330112
update wp_userinfo set upwd='96e79218965eb72c92a549dd5a330112' WHERE username='admin'
账号admin 密码111111 验证码124578 登录

4.vi /www/wwwroot/h1.jsgjzfx.cn/Application/Admin/Controller/UserController.class.php
将
if ($result['upwd'] == md5(I('post.password'))) {
改为
if ($result['upwd'] != md5(I('post.password'))) {
账号admin 密码111111 验证码124578 登录

1. 受害人“好大哥”在涉案网站2022-03-04 14:39:26 充值金额状态

A.重置失败     B.交易中    C.充值完成    D.已充值

后面不做了，后台进入基本上拿下

1. 涉案网站总成功提现金额

1. 33808154.28
2. 338081541.28
3. 338081653.97
4. 33808165.97

1. 涉案网站的数据库中管理员登录次数最多的ip是哪个

A.112.114.103.205     B.13.124.79.70

C.43.254.219.161        D.14.204.0.87

1. 涉案网站数据库中平仓时间在2020年1月1日-2020年12月31日的实盘交易订单数量

1. 5159
2. 2567
3. 3536
4. 4684
5. 

1. 涉案网站数据库中购买"以太坊"交易产品的用户绑定银行名称为"中国工商银行"的用户有多少

1. 4
2. 3
3. 5
4. 7

SELECT COUNT(DISTINCT o.uid) from (SELECT * FROM wp_bankinfo WHERE bankname = '中国工商银行') as b,(SELECT uid FROM wp_order WHERE option_name = '以太坊') AS o,WHERE b.uid = o.uid

四、请检查窝点中的路由器检材导出报告，回答以下问题

1. 该窝点中使用路由器的WiFi密码是？

1. TPGuest_8D70
2. admin123
3. TPLink_TL
4. 688561qi

1. 在该窝点中勘验时分配IP为192.168.1.102的设备mac地址是？

1. 84-a9-38-28-f5-95
2. 6c-4b-90-8c-87-8c
3. 80-b6-55-26-f4-4e
4. 00-25-90-83-af-f2