难度简单,适合练手!
期末考试前最后一篇博客,还是很感谢范老师,范老师帮我突破了后台的思路mua!
一、请检查窝点中的手机检材,回答以下问题
直接分析不行,sd卡需要解压缩
- 该OPPO手机的IMEI是:
- 860370043989014,860370049389006
- 860370049389014,860370049389006
- 860370049389014,860370043989006
- 860370049839014,860370049839006
- 860370049389014 配置文件只有这个,
然后第二个是在back里面看到
查了一下,为什么这个有两个IMEI
- 该涉案人所使用的的微信ID和关联的手机号是:
- wxid_rn6kc87f1mb354 16521330311
- wxid_rn5mjxpw1mb922 17721103461
- wxid_wi8nf67f1lmd54 15528880561
- wxid_kshn457f1lm123 15847880501
- 涉案团伙的最后线 下犯罪窝点地址是:
- 闵行区古美西路86弄44号
- 田林路1036号科技绿洲三期16号楼101室
- 上海市合川路科技绿洲3期5-3号楼
- 闵行区合川路2555号
- 犯罪团伙所用的诈骗应用apk的sha256值是
- 71064939606EE601F2F5A888C75F3949CB82A8DF472D15D77EE2A3DF663FC8E9
- DC0909D078AC1B692836BB0526E52633DDE49D1286631FA0EF9C744925DF545E
- F67F61057828F57EA663CEBEDD638EE9A4BAF36F69DA7E002CBA54C9F8EAAF85
- 96B1258E64DA18C323DE8ECE0F89D88B0F0B99F459F209B514F7F500D72B7D1B
- 该涉案人手机在3月7日除了上海还可能去过哪个城市?
- 长春
- 成都
- 武汉
- 北京
吐槽一句,奇安信出的题,怪不得弘连出不来
奇安信是这样做的
在长春的乃正发朋友圈,然后微信盆友圈定位数据库里面是有地理位置信息的,奇安信软件解析完全部存储在地理位置信息里面,然后看地理位置信息,就说犯罪嫌疑人有可能去了,我觉得不严谨
- 该涉案人可能用的输入法是和版本号:
- 10.9.4
- 8.32.22.2010171749
- 10.94
- 8.32.22.201071749
找到搜狗跳转源文件,但是不知道为什么,这里是sohu有点搜狐的意思
- 该输入法没有哪项权限:
- 照相
- 连接网络
- 修改型号
- 读取文件
手搓,得出答案是没有修改型号
- 该涉案人和被害人聊天使用skype软件的版本号是?
- 8.80.0.137
- 7.37.99.40
- 6.65.12.11
- 5.76.34.12
数据库里面看版本号,但是要判断软件是raider
或者cooker里面看数据库
- 哪个不是该涉案手机连接过其他手机的蓝牙物理地址:
- E0:9D:FA:3A:BB:3C
- E0:64:FA:3A:8B:11
- 00:45:E2:02:50:BC
- 00:1A:7D:DA:71:11
- 涉案APK的程序入口?
- W2a.W2Ah5.jsgjzfx.org.cn
- io.dcloud.PandoraEntryx
- w2a.W2Ah5.jsgjzfx.org
- io.dcloud.PandoraEntry
- 涉案APK连接的服务器地址是?
A.h5.gjzfx.org.cn B.bspapp.com C.yhjj.com D.api.meiqia.com
逆向逻辑
- 以下哪个是APK申请的权限?
- 测试对受保护存储空间的访问权限
- 申请系统管理权限
- 修改手机状态和身份
- 修改位置信息
- APK向服务器传送的数据中,包含一下哪个字段?
- mc
- address
- number
- dc
讲实话,这个题目逆向做不清不楚的,我自己都搞不明白
还是抓包靠谱一点
二、请检查窝点中的计算机检材,回答以下问题
- 涉案计算机的计算机全名是?
- DESKTOP-VC69QPB
- DESKTOP-KDN38R5
- DESKTOP-SLU384N
- DESKTOP-I92E87D
- 涉案计算机有效账户最后一次登录时间是?
- 2022-03-15 09:43:04 +08
- 2022-03-15 09:43:04 +00
- 2022-03-15 17:43:04 +08
- 2022-03-15 17:48:04 +00
- 涉案计算机登录次数最多的账户是什么?登录了多少次?
- admin 16
- admin 19
- administrator 16
- administrator 19
- 涉案计算机是否连接过SanDisk优盘,该优盘的序列号是什么?
- 4C530001180221100781
- 4C530001180221109491
- 5D7E0001180221100781
- 5D7E 0001180221109491
- 涉案计算机以太网的Ip地址是?
- 192.168.1.100
- 192.168.1.101
- 172.168.1.100
- 172.168.1.101
- 涉案Windows计算机通过浏览器是否下载过哪个软件?
- Navicat
- Clash
- wireshark
- 嫌疑人使用navicat远程连接数据的IP是?
- 45.77.15.219
- 45.77.16.229
- 35.66.15.219
- 35.66.16.229
本来想解析源文件位置,但是实在是找不到,所以直接仿真做题,但是发现仿真也被删除记录了
奇安信软件可以做
- 涉案计算机是否存在加密分区,采用了什么加密方式?
- Bitlocker
- TrueCrypt
- VeraCrypt
- CnCrypt
bit显然
- 涉案计算机加密分区里面word文档文件最后访问时间是什么?
- 2022-03-14 19:14:45 +08
- 2022-03-14 19:14:45 +00
- 2022-03-14 19:10:53 +08
- 2022-03-14 19:10:53 +00
- 涉案计算机加密分区中的txt文件SHA256值为?
A.da54693b5f04ea703e23065b53d01d89ca36e0444dee62ba01622e6d186e4712
B.fa7a3b601325cfe85a9d6fff6514804d06754795175c87c3af162eac7dcf693a
C.972403b4b8fdfc211d5a14178be7e02e792cbe6a7bd6ff827ebb2c8909f4e2b8
D.b7254757595ce0228801bd53417895c2b6f28781d98bec8d854f4772c06aea29
- 涉案计算机使用的远程连接工具ToDesk的版本是?
- 4.2.6.03021556
- 12.5.1.44969
- 14.28.2935.2
- 11.0.61030
这里可以判断a,但是后面的为什么没有
- 哪个设备的IP曾经通过向日葵连接到本地计算机?
- 11.91.214.117
- 116.246.0.90
- 58.244.39.225
- 10.91.215.14
- 嫌疑人使用的VPN使用了哪种加密算法
- DES-128-CFB
- AES-256-cfb
- MD5
- SHA
桌面上
定位文件夹
配置文件里面没有
感觉不一定对,然后又去看SSR,这个里面写的比较清楚,ssr也是翻墙,大意了
- 以下哪个地址不会被自动识别走代理通道?
- carfax.com/index.html
- api.expekt.com
- huluim.com/login
- api.dns100.com
这里pac说明是外网,所以要不能再pac里面的
- 以下哪个IP会被代理软件识别为国内IP段进行直连。
- 1.16.0.1
- 1.205.0.1
- 35.2.0.1
- 56.11.0.1
内网,就是中国ip
- 查看涉案计算机系统日志,判断该涉案计算机最后一次刷新时区信息是什么时间?
A. 2022-3-17 9:59:14
B. 2022-3-16 10:02:13
C. 2022-3-15 12:54:44
D. 2022-3-17 10:06:38
或者事件查看器搜索时间
三、请检查窝点中的服务器检材,回答以下问题
- Liunx服务器的系统内核版本
- 3.10.0-1127.el7.x86
- 3.10.0-1127.el7.x86_64
- 3.11.0-1127.el7.x86_64
- 3.11.0-1127.el7.x86
- 该涉案服务器宝塔面板的访问限制域名是什么?
- h1.jsgjzfx.cn
- gjjszfx.cn
- h5.jsgjzfx.cn
- h5. gjjszfx.cn
记得host一下,不然访问不到
访问限制域名就是绑定域名,限制的意思是,以后只可以用这个域名进行访问,在面板设置里面擦哈看
- 涉诈网站目录中数据库连接配置文件的路径
A./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/config.php
B./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/Home/View/Qts/User/config.php
C./www/wwwroot/h1.jsgjzfx.cn/Application/Common/Conf/config.php
D./www/wwwroot/config.php
可以采取实际操作法,查询一下就好了
- 登录涉案网站后台,显示有多少用户
- 922
- 921
- 920
- 919
涉及到密码问题,我选择绕过
1.连接数据库查询wp_userinfo username admin的upwd字段 b28a5d45531b8a112bd552f29b309c10 去cmd5查询 解密为lz123123
账号admin 密码lz123123 验证码124578 登录
找到密码存放位置
但是我找不到验证码,然后我用已经查询到的密码倒着查,发现
wp_action_log里面存有网站登录记录
2.使用123456的md5值替换username admin的upwd字段e10adc3949ba59abbe56e057f20f883e
update wp_userinfo set upwd='e10adc3949ba59abbe56e057f20f883e' WHERE username='admin'
账号admin 密码123456 验证码124578 登录
但是我这里都报错,我也不知道为什么,所以我只能去后台修改登录逻辑
3.vi /www/wwwroot/h1.jsgjzfx.cn/Application/Admin/Controller/UserController.class.php
将
$this->error('登录失败,密码错误!');
改为
$this->error(md5(I('post.password')));
尝试账号admin 密码111111 验证码124578 登录 报错信息内看到111111加密后的密文96e79218965eb72c92a549dd5a330112
使用111111的md5值替换username admin的upwd字段96e79218965eb72c92a549dd5a330112
update wp_userinfo set upwd='96e79218965eb72c92a549dd5a330112' WHERE username='admin'
账号admin 密码111111 验证码124578 登录
4.vi /www/wwwroot/h1.jsgjzfx.cn/Application/Admin/Controller/UserController.class.php
将
if ($result['upwd'] == md5(I('post.password'))) {
改为
if ($result['upwd'] != md5(I('post.password'))) {
账号admin 密码111111 验证码124578 登录
- 受害人“好大哥”在涉案网站2022-03-04 14:39:26 充值金额状态
A.重置失败 B.交易中 C.充值完成 D.已充值
后面不做了,后台进入基本上拿下
- 涉案网站总成功提现金额
- 33808154.28
- 338081541.28
- 338081653.97
- 33808165.97
- 涉案网站的数据库中管理员登录次数最多的ip是哪个
A.112.114.103.205 B.13.124.79.70
C.43.254.219.161 D.14.204.0.87
- 涉案网站数据库中平仓时间在2020年1月1日-2020年12月31日的实盘交易订单数量
- 5159
- 2567
- 3536
- 4684
- 涉案网站数据库中购买"以太坊"交易产品的用户绑定银行名称为"中国工商银行"的用户有多少
- 4
- 3
- 5
- 7
SELECT COUNT(DISTINCT o.uid) from (SELECT * FROM wp_bankinfo WHERE bankname = '中国工商银行') as b,(SELECT uid FROM wp_order WHERE option_name = '以太坊') AS o,WHERE b.uid = o.uid
四、请检查窝点中的路由器检材导出报告,回答以下问题
- 该窝点中使用路由器的WiFi密码是?
- TPGuest_8D70
- admin123
- TPLink_TL
- 688561qi
- 在该窝点中勘验时分配IP为192.168.1.102的设备mac地址是?
- 84-a9-38-28-f5-95
- 6c-4b-90-8c-87-8c
- 80-b6-55-26-f4-4e
- 00-25-90-83-af-f2