2024弘联FIC决赛writeup（内含镜像）

题目整体还是很简单的，而且设计得很有引导性，做得非常爽。同时也学到了很多新东西，特别是包括PVE集群、AI这类的。不过有一说一，PVE集群相比与K8S集群可友好太多了，现在的K8S都不敢考太深了，出题人也懂大家，是真不好做。

容器：2024FIC-线下决赛容器
链接：https://pan.baidu.com/s/1pwFYaHPbR-xycRj8lf-BIQ?pwd=vl4f
提取码：vl4f

容器密码：2024Fic~Competition~Finals@杭州&Powered~By~HL!

FIC决赛

案情介绍

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。
警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。

计算机

1. 请分析卢某的计算机，并计算原始检材的SHA256值。

签到题，开心。

2. 嫌疑人回收站中的"备忘录.txt"文件SHA1 值为？

回收站的备忘录，比龙某的题亲民多了哈。

3. 嫌疑人使用ssh连接工具，该工具的名称为？【答案格式:fic123】

桌面就是。MobaXterm

4. 嫌疑人使用ssh连接工具，其中连接名为node的连接记录，连接的端口为？【答案格式:123】

5. 在2024-03-12 17:13左右，嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

在图库中发现了一个图片。


打开后发现时间也和题目相符。所以是5台

6. 软件“QtScrcpy”的配置文件显示，嫌疑人配置了__台安卓虚拟机（以连接端口计数）。【答案格式:123】

文件在我的文档中，直接通过everything就可以搜索到。

然后查看配置文件

可以发现全是在一个服务器中，只是端口不同。

计数一下，是15个。

7. 嫌疑人桌面文件"老婆.png"的SHA256哈希值为？【答案格式:abc123】

一进桌面就看见了，太醒目了，肯定有好玩的。

8. 嫌疑人把xls文件藏入老婆.png中，该xls的密码为？【答案格式:Abc123】

这么明说吗，藏xls。

按照文件头找到文件，导出来。
发现需要密码，打不开。
然后在备忘录.txt中发现了相关的信息。

那就只能爆破了。密码复杂度还挺高。还要跑一会儿。

合着P1ssw0rd是吧，我还跑半天。。。

9. 嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为？【答案格式:Abc123】

根据上题的密码，设置掩码，替换数字再跑。

P1ssw1rd

10. 嫌疑人使用的AI软件名称为？【答案格式:abc-df-abc】

​
​ 软件名称为Stable-Diffusion

11. 嫌疑人使用的AI软件监听端口为？【答案格式:1】

​
​ 查看浏览器历史记录，发现端口为7860

12. AI软件安装目录下的“2024-03-13”目录，其中由AI生成的图片有多少张?【答案格式:1】

​
​ 这里是41个，不过还有个文件夹，好像是这里面图片拼凑起来的，应该不算AI生成的
​
​ 图片内容也没有AI生成的信息。所以答案应该为41。

13. 嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为？

​
​ 生成汽车的模型为v1-5-pruned-emaonly.safetensors，在软件目录可以发现这个文件，然后计算其sha256。
​
​

14. 嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词，包含哪些？

A.china B.high way C.fast speed D.car on fire E.no people

直接用winhex打开，应该选择：BD

15. 嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

​
​ 直接winhex就可以查看，种子为：37192799952

PVE虚拟化平台

1. PVE虚拟化平台版本号为？【答案格式：1.1.1】

2. PVE虚拟化平台的web管理地址为？【答案格式：192.168.1.1:22】

3. 在PVE虚拟化平台中，当前共有多少个虚拟机？【答案格式：1】

数了一下，7个

4. PVE虚拟化平台的“vmbr1”网卡所使用的网段为？【答案格式：192.168.1.0/11】

5. PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为？【答案格式：123abc-123ba-123ad-23ab-12345abczc】

6. 在PVE虚拟化平台中，用户“Lu2k”被授予了多少个虚拟机的使用权限？【答案格式：1】

直接查看权限，共4个

7. 在PVE虚拟化平台中，shell历史命令中最后一条命令为？【答案格式：hello world】

8. 请分析嫌疑人最近一次销毁虚拟机的时间为

A.2024-03-13 10:34:20 B.2024-03-22 18:06:15
C.2024-03-22 18:15:17 D.2024-03-22 18:20:55

所以选C

9. PVE虚拟化平台的openEuler系统镜像下载的开始时间为？

A.2024-03-12 12:03:12 B.2024-03-12 12:04:19
C.2024-03-12 12:10:09 D.2024-03-12 12:11:02

B

10. 根据嫌犯供述，可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机，其快照的时间为

A.2024-03-12 11:02:32 B.2024-03-12 11:24:11
C.2024-03-13 10:34:20 D.2024-03-13 9:43:23

选D

软路由

1. 软路由root用户的密码是？【答题格式：abc123】

这个东西密码是在PC中存储的。没错，就是mobaxterm，只不过需要输入主密码才会显示，火眼也需要通过主密码进行解密。那么主密码在哪儿呢？

没错，亲爱的备忘录中有。

没错，就是原批，不对，是OP2024fic

安装加密方式计算了一下，也是。

2. 软路由管理面板所用http协议监听的端口为？【答案格式：7001】

直接查看端口，发现有443和8080，都是试试。

3. 软路由的系统版本号为？【答案格式：1.1.1】

4. 软路由的WAN口所配置的网关为？【答案格式：1.1.1.1】

5. 软路由防火墙端口转发规则有多少条记录【答案格式：1】

记得看网络中的防火墙，状态那个不好看。然后有点多，我数了一下，有18条

6. 0 p e n C l a 5 h控制面板登录密钥为？【答案格式:Abc123】

7. 0 p e n C l a 5 h的局域网代理密码(SOCKS5/HTTP认证信息)为？【答题格式：Abc123】

8. 0 p e n C l a 5 h的订阅地址为？【答案格式：https://www.forensix.cn】

9. 代 理节点"香港501 中继 动态"的服务端口为？【答案格式:123】

10. OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是？【答案格式：/root/hl/abc.conf】

openwrt的包管理的镜像源配置为/etc/opkg/customfeeds.conf

云手机

1. PVE虚拟化平台的虚拟机"101(node1)"的droid用户登录密码为？【答案格式:Abc123】

一样的，在MobaXterm中。droid2024fic

2. PVE虚拟化平台的虚拟机"101(node1)"中Docker容器的镜像ID的前六位为？【答案格式：abc123】

3. 在PVE虚拟化平台的node1虚拟机中，容器手机的数量为？【答案格式：1】

5个

4. 在PVE虚拟化平台的node1虚拟机中,若要启动手机容器，有几条前置命令（docker命令不纳入计算）? 【答案格式：1】

2条

5. 在PVE虚拟化平台的"101(node1)"虚拟机中启动“priceless_knuth”手机容器后，该安卓手机的蓝牙MAC地址是多少？【答案格式: 12:34:ab:cd:a1:b2】

启动容器后，进去使用命令查看。

6. 警方现场勘验过程中，曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证，请问以下哪个端口可以明确是取证时使用过的端口？【多选题】

A.11111 B.12222 C.13333 D.23333 E.24444 F.35555

对node的虚拟化文件进行解析

发现102中安装了弘联取证工具，所以应该是在node2中进行了取证。所以应该选择DE

7. 在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中，所占用的端口号为？【答案格式:123】

在文件中找到对应的容器，

这是刚才文件的路径，但是在这个配置文件中，其实只能看见容器内部的端口，没有端口映射的信息，但是在这个文件目录下的另一个文件里面就有了。

可以发现绑定的是5555端口。

所以在路由器中所占用的端口号为25555。

8. 在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为？【答案格式:abc123】

这个图中可以发现，/data分区映射到了/root/data中去，所以直接去app目录查看。

发现有三个，不过不影响，md5值都是一样的。

所以答案为：0CE8F95BA0401769A9F4860749CC8206

9. 根据集群中手机内容分析，传销人员在评论区引流使用的qq号为？【答案格式:123】

QQ没找到，但是找到了TIM，直接用弘联进行解析，获取到了QQ号。

10. 通过云手机聊天记录可以得知，涉案传销网站域名为？【答案格式：www.forensix.cn】

传销网站

1. 涉案服务器集群中，sql数据库服务器112（sqlserver）对应的虚拟磁盘的SHA256值为？

发现直接导出的文件不能解析，直接从仿真好的虚拟机直接拷贝吧，但是发现了一个问题，虚拟机启动后，112也会启动，产生数据，就不是原始的镜像了，那只有重新仿真，并且不能让112启动，不能启动还是挺简单，毕竟基于虚拟化，我不给虚拟化环境就好。

仿真后会发现，连不上，需要改配置，具体如下：

改了之后通过远程控制工具进行下载。

2. 涉案服务器集群中，数据库服务器的root用户密码加密方式为？

A.SM3 B.SHA256 C.MD5 D.Bcrypt

查看shadow文件，可以看出，是sm3加密。所以选A

3. 涉案服务器集群中，数据库服务器的内核版本？【答案格式：1.1.1】

4. 涉案服务器集群中，Java服务器web服务监听的端口为？【多选题】

A.9030 B.9031 C.9032 D.9033

镜像是111，查看该镜像静态解析结果，在历史命令中发现，web包地址。

解包查看

配置对应的端口为9032。

5. 涉案服务器集群中，数据库服务器中Docker容器的数量为？【答案格式：1】

6. 涉案服务器集群中，数据库服务器有一个mysql容器节点，该容器的ID前六位为?【答案格式：abc123】

7. 涉案服务器集群中，数据库服务器mysql容器节点的数据库版本号为?【答案格式：1.1.1】

静态解析好像只看得到5.7，后面就没有了，那就仿真，记住还是要配网。

登录MySQL后，可以看见，版本为5.7.44

8. 从外部访问涉案网站"鲸易元MALL管理系统"管理后台所使用的域名为？【多选】

A.jy.proxy2.jshcloud.cn B.master.jy.proxy2.jshcloud.cn
C.jy.proxy.jshcloud.cn D.master.jy.proxy.jshcloud.cn

都开始问后台了，那么就要把整个服务器启动。

首先，112中的数据库都启动，将112的IP保持为192.168.100.112

111中spring都通过历史命令启动，保持IP为192.168.100.111

再启动110,但是我仿真出来就直接进救援模式，也懒得修。索性直接导出源代码，在真机上进行重构。记得将nginx的配置文件导出来进行修改。

主要是将location中root进行修改，有三个地方都要改一下。（其实只进后台的话，应该只需要改最后面那个。）

因为这俩域名都可进后台，所以选BD

9. “鲸易元MALL管理系统”管理后台所使用的网站框架为？

A.TOMCAT B.SPRING_BOOT C.Struts D.THINKPHP

所以很明显是B

10. “鲸易元MALL管理系统”管理后台运行时，依赖了几种不同的数据库？【答案格式:123】

MySQL和redis，2种

11. “鲸易元MALL管理系统”管理后台运行时，在生产环境(prod)下所连接的mysql服务器密码为？【答案格式:123】

honglian7001

12. “鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为？【答案格式:Abc123】

LfA2sPaJiVW3Th32YeCN0bsD8NIjF7

13. "鲸易元MALL管理系统"管理后台中，管理员（admin）的账号密码采用了什么样的加密方式？【答案格式：rc4】(不区分大小写)

很容易就可以找到对账号密码进行处理的地方。但是这里调用的是authenticationManager，然后这个类采用了@Resource进行自动注入，所以需要查看对应的bean所在位置。

抛去官方类，只有最上面两个类是自定义的，第二个是刚才看的，所以进行第一个类看看。

这个类定义了一个bean类，通过@Resource自动注入，会调用下面的BCrypt加密方法进行自动加密。所以密码采用了BCrypt加密。

其实直接看数据库，

这很明显就是bcrypt。

14. “鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为？【答案格式:18818881888】

15. “鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】

直接生成一个密码进行替换。

在会员信息中查看，有52908个。

16. “鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】

利用后台的筛选机制，筛一下，有248个

17. “鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析，总层级为多少层？(最高层级视为1层)【答案格式:123】

分层的话，先把表导出来吧（本来想走MySQL的，结果版本有点低，用不了递归）。那就用excel吧。

导出来后，使用vlookup进行计算出层级这里我的被邀请人是C，邀请人是H，层级是I，然后通过=IF(ISBLANK(H2),1,VLOOKUP(H2,C:I,7,FALSE)+1)后填充下部，层级就出来了。

数值最大为53，即有53层。

18. “鲸易元MALL管理系统”管理后台中，会员编号为sgl01的下游人数(伞下会员)数量为？【答案格式:123】

好吧，我认输，还得用网矩，不过之前还不知道，要用组织架构图才能进数据分析，导人员表只能进数据目录。

和excel做出来的一致。

18001

19. “鲸易元MALL管理系统”管理后台中，会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式:123】

在后台找了一下，没有看见充值金额相关的字段，那只有去数据库中查找。

在member_money_total中找到了，将该表导出。

好吧，还需要将member表导出（网页导出来的没有id）。

20. “鲸易元MALL管理系统”管理后台中，已支付订单的数量为？【答案格式:123】

21. “鲸易元MALL管理系统”管理后台中，已支付订单的支付总金额总计为多少元/RMB？【答案格式:123】

本来以为完了

什么钱用int存呀，有问题。

真有坑呀，要*0.01是吧。所以答案是71979976

22. “鲸易元MALL管理系统”管理后台中，在提现账号管理页面中银行卡的记录数为？【答案格式:123】

23. “鲸易元MALL管理系统”管理后台中，打款成功的提现记录数量为？【答案格式:123】

24. “鲸易元MALL管理系统”管理后台中，打款成功的提现应打款金额总计为多少元/RMB？【答案格式:123】

直接当面导出。

答案为10067655

25. “鲸易元MALL管理系统”管理后台中，拼券活动D仓位的收益率为？【答案格式:100%】

8%