2022长安杯取证复现--检材1,检材2

最新推荐文章于 2024-05-04 16:10:35 发布
最新推荐文章于 2024-05-04 16:10:35 发布
阅读量973 收藏 10
点赞数 23
分类专栏: 取证 文章标签: 取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75120258/article/details/137927188
版权

案件背景

某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但 “HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。

检材1

1、检材1的SHA256值为

打开火眼,创建案件,导入文件,计算SHA256值

SHA256:9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

 2、分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2

把检材1仿真出来然后查看最近的登录日志,得到IP

172.16.80.100 

 3、检材1中,操作系统发行版本号为

在分析中,Linux基本信息的系统信息中可以看见操作系统发行版本号为

值: 7.5.1804 (Core)

4、 检材1系统中,网卡绑定的静态IP地址为

在网络信息里可以看见网卡绑定的静态IP地址

IP地址: 172.16.80.133

5、检材1中,网站jar包所存放的目录是 

打开历史命令,发现进入了好多次/www/app目录,进去看一下,发现很多jar包,所以确定他就是jar包所存放的目录

 

6、检材1中,监听7000端口的进程对应文件名为 

将jar包全部导出,使用jd-gui反编译工具(将jar包全部托进去即可)

在cloud.jar里找到了7000端口所以,监听7000端口的进程对应文件名为cloud.jar

7、 检材1中,网站管理后台页面对应的网络端口为

在检材2分析中的chrome浏览器历史记录中,发现了网站管理后台页面对应的网络端口为9090

8、 检材1中,网站前台页面里给出的APK的下载地址是

在图片文件里找到二维码图片一个一个扫,最终扫到APK下载地址

https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9、检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

和第五题一样,把jar包拖到jd-gui里,search搜索key,在admin-api.jar里找到了加密方式为md5

10、分析检材1,网站管理后台登录密码加密算法中所使用的盐值是

跟上一题一样,搜索md5Key,发现是一个全局变量,最后在BOOT-INF.classes.application.properties里找到盐值

XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

检材二

1、检材2中,windows账户Web King的登录密码是

在界面就能看到web king的密码

Web King | 135790

2、检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3 

在检材二Xshell的会话中,Xshell连接过两个地址,172.16.80.133和172.16.80.128,其中172.16.80.133是检材1,所以答案就为172.06.80.128

3、 检材2中,powershell中输入的最后一条命令是

win10 powershell的命令历史记录存储在

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine地址下的ConsoleHost_history.txt

可以删除某些或全部历史记录

在powershell中可以按上下方向键查询历史命令

或使用命令

get-history

我们直接在文件系统里搜索 ConsoleHost_history.txt,查看之后发现了powershell中输入的最后一条命令是ipconfig

 

4、 检材2中,下载的涉案网站源代码文件名为

在chrome浏览器里找到了下载记录

goDCE-master:数字货币交易所

huobi-autotrading-master:火币网自动化交易工具

ZTuoExchange_framework-master:ZTuo数字资产交易平台

 根据访问记录里的网站名称,可以确定答案为

ZTuoExchange_framework-master.zip

5、检材2中,网站管理后台root账号的密码为

在chrome浏览器的保存密码记录里找到root账号的密码为root

6、检材2中,技术员使用的WSL子系统发行版本是

关于wsl -list -verbose命令:列出已安装的Linux发行版

【操作系统】WSL 常用命令_wsl启动命令-CSDN博客

使用仿真软件,打开虚拟机,输入

wsl -l -v

 得到答案

 Ubuntu-20.04

 7、检材2中,运行的数据库服务版本号是

在检材二没有任何外加数据库,应该就是问WSL里面运行的数据库版本

直接用火眼查看mysql的版本就行了,这儿有一个b1,但b1是检材3数据库的备份

8、上述数据库debian-sys-maint用户的初始密码是

数据库debian-sys-maint用户的初始密码存储在/etc/mysql/debian.cnf中

直接搜/debian.cnf,找到了密码

password = ZdQfi7vaXjHZs75M

9、 检材3服务器root账号的密码是

在系统SSH历史输入命令里找到答案,172.16.80.128是检材3服务器的ip

已知信息:

【检材1】IP 为 172.16.80.133,用于搭建虚拟货币交易网站的前台(3000)和后台(9090)

【检材2】IP 为 172.16.80.100,是【技术员】用于远程管理【检材1】和【检材3】的机器

【检材3】IP 为 172.16.80.128,是【检材1】中搭建网站的数据库(33050)

是小航呀~
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
陇剑杯2023-Incidentresponse2-取证
09-08
IncidentResponse_1 题目内容:挖矿程序所在路径是? IncidentResponse_2 题目内容:挖矿程序连接的矿池域名是? IncidentResponse_3 题目内容:攻击者入侵服务器的利用的方法是? IncidentResponse_4 题目内容:...
美亚杯全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚杯全国2018第四届电子数据取证竞赛-个人赛
22长安杯取证复现--检材3
qq_75120258的博客
05-03 957
使用仿真,先打开docker再查看端口得到答案。
2022长安杯复现--检材4
qq_75120258的博客
05-04 465
检材4.根据前期侦查分析,通过技术手段找到了幕后老板,并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材请根据检材4回答下列问题。
22长安杯电子取证复现检材一,二)
weixin_74020633的博客
04-18 927
启动检材二的镜像后,进入powershell,powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能,进入后按上键就可以查看历史命令PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。
2022长安杯取证
m0_75178803的博客
02-23 416
检材1根据报案人提供的网站域名和IP,警方调取了对应的服务器镜像“检材1”,分析掌握的检材回答下列问题。
2022长安杯电子取证复现
2301_79880442的博客
04-19 335
在分区1/web/app/目录下面找到jar文件,导出到本地并解压,一一打开查找,最后在cloud.jar文件里面找到监听7000端口的进程对应的文件名。找powershll的最后一条命令,打开检材2虚拟机的windows powershll,用上键就可以看到上一条命令,也就是最后一条命令。网站管理后台页面对应的网络端口,应该在admin目录下,找了半天都没有,看一下别人的。要找网站jar包的地址,可以查看压缩包jar哪里,然后看全路径。检材3的root账号密码,从命令入手,在历史命令里就可以看到。
2022第四届长安杯电子取证竞赛-apk部分
weixin_57640498的博客
11-16 1547
最后一题解题所参考内容有链接,不妥请马上联系我删除
2022长安杯赛后复现
m0_63253040的博客
11-01 1137
powershell取证 查看历史命令记录文件Windows Powershell相关(历史命令、命令)_shu天的博客-CSDN博客_powershell历史命令搜索ConsoleHost_history.txt。
2022第四届长安杯复盘(WP)
qq_56037764的博客
11-13 1902
史上最详细解题过程
【电子取证】2021长安杯复现#操作记录&经验积累
m0_74272345的博客
09-23 320
2021长安杯检材操作记录和经验积累
陇剑杯2023-Incidentresponse1-取证
09-08
IncidentResponse_1 题目内容:挖矿程序所在路径是? IncidentResponse_2 题目内容:挖矿程序连接的矿池域名是? IncidentResponse_3 题目内容:攻击者入侵服务器的利用的方法是? IncidentResponse_4 题目内容:...
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.part1.rar)
06-14
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.7z)...kali-linux-2022.2-vmware-amd64.part1.rar https://download.csdn.net/download/weixin_43800734/85641785 kali-linux-2022.2-vmware-amd64.part2.rar ...
CAcup.md复盘长安杯电子取证大赛
10-25
2021年长安杯电子取证大赛第一部分,第二部分复盘
注册与表格显示.rar
06-13
注册与表格显示.rar
aiohttp-3.8.0-cp36-cp36m-musllinux_1_1_x86_64.whl
最新发布
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
fpga有助于大家理解和学习
06-13
fpga
x-ways forensics: 综合取证分析工具
10-19
x-ways forensics是一款综合取证分析工具,用于数字取证和计算机取证。该工具提供了一系列功能,用于收集、分析和呈现证据,以帮助调查人员在犯罪调查、公司安全审计等领域进行数字取证工作。 x-ways forensics具有高度灵活性和可定制性,可应用于各种不同类型的取证任务。它可以通过扫描存储介质(如硬盘、移动存储设备)来收集电子证据,通过恢复被删除文件、提取元数据和日志等方式获取隐藏的信息。该工具支持各种文件系统和操作系统,包括Windows、Linux等,以便广泛适用于多种取证需求。 该工具集成了一系列功能强大的分析工具,可帮助用户快速找到关键证据。它提供了强大的搜索功能,可以根据关键词、文件类型和文件属性等条件进行搜索,并生成相应的搜索报告。此外,它还具备强大的分析能力,可提供文件和文件夹的完整视图,以及图形化的展示方式,以方便理解和呈现证据。 x-ways forensics还支持批量处理和自动化功能,可以帮助用户提高工作效率。用户可以创建脚本和预设,以系统化地进行取证分析过程,减少人为错误的可能性。它还提供了生成详细报告的功能,以便将取证结果进行整理和呈现给相关利益相关方,如法庭和调查人员。 总而言之,x-ways forensics是一款功能强大、灵活可定制的综合取证分析工具,广泛应用于数字取证和计算机取证领域。它的各种功能和工具可以帮助调查人员有效地收集、分析和呈现电子证据,以支持犯罪调查和安全审计等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值