【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图

2023盘古石杯晋级赛write up技术交流wechat N34939 高清截图解析
引用xiang同学https://mp.weixin.qq.com/s/NLuj2g7vrZHCaitUjUz5rg
欢迎关注公众号XiAnG学安全

更多网络安全CTF题目,欢迎来polarctf.com来刷题
下载地址1:
链接:https://pan.baidu.com/s/1bcEDEeh3A1RnHAhjmmZOZQ?pwd=vdy6
提取码:vdy6
下载地址2(备用下载地址):
https://pan.baidu.com/s/1LqMQN7JgDfaOfKCxPMKj3w
检材采用veracrytpt加密,解密密文为

usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

赛事官方给的标准题目和答案,以下解析为个人解题思路,如有批评指正与其他思路建议,欢迎交流!
在这里插入图片描述

Android程序分析
1、涉案应用刷刷樂的签名序列号是[答案:123ca12a][★☆☆☆☆]
11fcf899请添加图片描述

2、涉案应用刷刷樂是否包含读取短信权限[答案:是/否][★★☆☆☆]

请添加图片描述

3、涉案应用刷刷樂打包封装的调证ID值是[答案:123ca12a][★★☆☆☆]
a6021386163125
在这里插入图片描述

4、涉案应用刷刷樂服务器地址域名是[答案:axa.baidun.com][★★★☆☆]
vip.shuadan.com
在这里插入图片描述

5、涉案应用刷刷樂是否存在录音行为[答案:是/否][★★★☆☆]

基本信息-安全检测-恶意行为报告
在这里插入图片描述

6、涉案应用未来资产的包名是[答案:axa.baidun.com][★☆☆☆☆]
plus.h5ce4b30d
在这里插入图片描述

7、涉案应用未来资产的语音识别服务的调证key值是[答案:1ca2jc][★★☆☆☆]
53feacdd
在这里插入图片描述

8、涉案应用未来资产的服务器地址域名是[答案:axa.baidun.com][★★★☆☆]
vip.usdtre.club
在这里插入图片描述

9、涉案应用未来资产的打包封装的调证ID值是是[答案:axa.baidun.com][★★☆☆☆]
H5CE4B30D
在这里插入图片描述

移动智能终端
1、根据容恨寒的安卓手机分析,手机的蓝牙物理地址是[答案:B9:8B:35:8B:03:52][★☆☆☆☆]
A9:8B:34:8B:04:50
在这里插入图片描述

2、根据容恨寒的安卓手机分析,SIM卡的ICCID是[答案:80891103212348510720][★☆☆☆☆]
89014103211118510720
在这里插入图片描述

3、根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是[答案:微信][★☆☆☆☆]
Potato
找到Potato
在这里插入图片描述

4、根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是[答案:好的][★★★☆☆]
后面再给你们搞
在/data/data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db
导出后用Navicat打开,找到一个表
在这里插入图片描述

SELECT SENDERNAME,TONAME,SUBJECT,DATE,BODY FROM “BAProvider$j” WHERE TONAME=‘容恨寒’ ORDER BY DATE DESC LIMIT 1筛选出最后一条发送给容恨寒的消息

解base64
在这里插入图片描述

5、根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是[答案:202cb962ac59075b964b07152d234b70][★★☆☆☆]
dc52d8225fd328c592841cb1c3cd1761
在检材中搜索刷单.rar,导出
![在这里插入图片描述](https://img-blog.csdnimg.cn/6ec218f276e94ba6a6cd4de000682d7f.png#pic_center

计算哈希值
在这里插入图片描述在这里插入图片描述

6、根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是[答案:abcdg@1234@hd][★★★☆☆]
wlzhg@3903@xn
接第3题,在数据库中找到一条关于密码规则的消息
在这里插入图片描述

进行掩码攻击,爆破一下中间4位数字
在这里插入图片描述

7、根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是[答案:15137321234][★★★★☆]
15137326185
导出聊天记录表为xlsx文件
在这里插入图片描述

脚本把base64转明文

在这里插入图片描述
在这里插入图片描述

找到与文件有关的表
在这里插入图片描述

导出,脚本解base64转明文
在这里插入图片描述

得到发送刷单.rar的用户为德彦慧,找到含有用户信息的表

在这里插入图片描述

8、根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门[答案:理财部][★★★★★]
技术部
根据聊天记录可以判断报表文件发送者是臧觅风,找到含有用户信息的表中臧觅风的手机号
在这里插入图片描述
找到部门相关的表
在这里插入图片描述
找到一个记录了userid和parentid关联的表
在这里插入图片描述

9、根据容恨寒的安卓手机分析,MAC的开机密码是[答案:asdcz][★☆☆☆☆]
apple
在这里插入图片描述

10、根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是[答案:1234][★☆☆☆☆]
1976
在这里插入图片描述

11、根据魏文茵苹果手机分析,IMEI号是?[答案格式:239471000325479][★☆☆☆☆]
358360063200634
在这里插入图片描述

12、根据魏文茵苹果手机分析,可能使用过的电话号码不包括?[答案格式:A][★☆☆☆☆]
A、18043618705
B、19212175391
C、19212159177
D、18200532661

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

13、根据臧觅风的安卓手机分析,微信ID是[答案:wxid_av7b3jbaaht123][★☆☆☆☆]
wxid_kr7b3jbooht322
在这里插入图片描述

14、根据臧觅风的安卓手机分析,在哪里使用过交友软件[答案:杭州][★★★☆☆]
西安
在这里插入图片描述在这里插入图片描述

15、根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号[答案:1234524229][★☆☆☆☆]
5768224669
在这里插入图片描述

16、根据臧觅风的安卓手机分析,购买源码花了多少BTC?[答案:1.21][★☆☆☆☆]
0.08
在这里插入图片描述

17、根据臧觅风的安卓手机分析,接收源码的邮箱是[答案:asdasd666@hotmail.com][★☆☆☆☆]
molihuacha007@hotmail.com
在这里插入图片描述

18、嫌疑人容恨寒苹果手机的IMEI是?[★★☆☆☆]
353271073008914
在PC中有一个手机备份
在这里插入图片描述在这里插入图片描述

19、嫌疑人容恨寒苹果手机最后备份时间是?[答案格式:2000-01-01 13:36:25][★★☆☆☆]
2023-04-12 21:20:59
在这里插入图片描述

20、嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?[★★★★☆]
ec677dda-3387-4337-9b44-f7daae4fb29c
在这里插入图片描述

找到/AppDomain-com.yixin.yixin/Documents/login_device_id_v1
在这里插入图片描述

21、嫌疑人容恨寒苹果手机微信ID是?[★☆☆☆☆]
wxid_peshwv0rosih12
在这里插入图片描述

计算机取证
1、嫌疑人魏文茵计算机的操作系统版本?[答案格式:Windows 7 Ultimate 8603][★☆☆☆☆]
Windows 10 Professional 14393
在这里插入图片描述

2、嫌疑人魏文茵计算机默认的浏览器是?[答案格式:A][★☆☆☆☆]
A、Edge
B、Internet Explorer
C、Google Chrome
D、360浏览器
在这里插入图片描述

3、嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?[答案格式:A][★☆☆☆☆]
A、掠夺攻略.docx
B、工资表.xlsx
C、刷单秘籍.docx
D、脚本.docx

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4、嫌疑人魏文茵计算机中存在几个加密分区?[答案格式:3个][★★☆☆☆]
1个
在这里插入图片描述

5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?[答案格式:VeraCrypt]][★☆☆☆☆]
TrueCrypt
在这里插入图片描述

6、接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?[答案格式:C:\xxx\xxx][★★☆☆☆]
C:\Users\WH\Documents
在这里插入图片描述

7、嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?[答案格式: 000000-000000-000000-000000-000000-000000-000000-000000]][★★★☆☆]
000649-583407-395868-441210-589776-038698-479083-651618
取证大师中对D盘进行卷影分析,原始数据搜索恢复密钥
在这里插入图片描述

恢复密钥在卷影的未分配簇中
在这里插入图片描述

8、嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?[答案格式:11][★☆☆☆☆]
38
在这里插入图片描述

*9、投资理财团伙“华中组”目前诈骗收益大约多少?[答案格式:10万][★★☆☆☆]
10、通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?[答案格式:123][★★☆☆☆]
728
在这里插入图片描述

11、根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★☆☆☆☆]
239F39E353358584691790DDA5FF49BAA07CFDBB
在这里插入图片描述

12、根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?[答案格式:100,000,000][★★☆☆☆]
536,870,912
在这里插入图片描述

13、根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?[答案格式:A][★☆☆☆☆]
A、WeChatSetup.exea
B、Drive.exe
C、Potato_Desktop2.37.zip
D、BaiduNetdisk_7.27.0.5.exe
在这里插入图片描述

14、根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?[答案格式:abc123][★★★★★]
kangshifu0008
挂梯子访问谷歌浏览器下载链接下载zip和z01
在这里插入图片描述

里面是源码
在这里插入图片描述

在臧觅风的手机tg聊天记录中提到过解压密码是发件人的邮箱,解压一下
在这里插入图片描述

使用kangshifu0008解压成功
在这里插入图片描述

15、根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?[答案格式:22][★★☆☆☆]
2282
在这里插入图片描述

16、根据臧觅风的计算机分析,接上题,请给出服务器的密码?[答案格式:password[★★★★☆]
P@ssw0rd
在这里插入图片描述

17、根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★★★★★]
C1934045C3348EA1BA618279AAC38C67
在这里插入图片描述

18、根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?[答案格式:A][★☆☆☆☆]
F
仿真,找到TC
在这里插入图片描述

在历史访问记录中找到访问F盘的记录
在这里插入图片描述

19、根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?[答案格式:password12#][★★★★☆]
xiaozang123!@#
找到TC容器为资料.docx
在这里插入图片描述

使用Elcomsoft Forensic Disk Decryptor的Decrypt or mount disk(解密或/挂载磁盘)功能
在这里插入图片描述

选择Container(容器)
在这里插入图片描述

使用内存镜像解密TC容器
在这里插入图片描述

找到密钥
在这里插入图片描述

导出密钥
在这里插入图片描述

选择Mount Disk(挂载磁盘)
在这里插入图片描述

挂载在F盘在这里插入图片描述

在F盘找到一个文档,记录了KeePass的Master password
在这里插入图片描述

20、根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?[答案格式:xxx][★★☆☆☆]
后羿采集器
在这里插入图片描述在这里插入图片描述

21、根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?[答案格式:10,000][★★★★★]
19,225
之前在分析容恨寒手机时发现了臧觅风发送了爬取到的信息的文件
在这里插入图片描述

全部导出查看
100条
在这里插入图片描述

17条
在这里插入图片描述

18970条
在这里插入图片描述

96条
在这里插入图片描述

29条
在这里插入图片描述

13条
在这里插入图片描述

22、根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?[答案格式:A][★☆☆☆☆]
A、中国证券投资基金业协人员信息
B、仓山区市场监督管理局行政执法人员信息
C、清平镇卫生院基本公共卫生服务
D、仓山区市场监督管理局行政执法人员信息
在这里插入图片描述

23、根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?[答案格式:2211][★★☆☆☆]
8080
根据后面软路由分析找到端口号为8080
在这里插入图片描述

在Chrome的历史记录里面也确实访问过
在这里插入图片描述

24、根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?[答案格式:2211][★★☆☆☆]
7890
在这里插入图片描述

25、根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?[答案格式:abc1234df334…][★★☆☆☆]
d4029286acc8bfd97818d5f8724f0f0a
在这里插入图片描述

26、根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?[答案格式:www.baidu.com:1122][★★★☆☆]
im.pgscup.com:6661
桌面上找到potato
在这里插入图片描述
在这里插入图片描述

27、根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?[答案格式:2023-05-06 14:00:00][★☆☆☆☆]
2023-04-27 17:57:53
在这里插入图片描述

28、根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?[答案格式:A][★★★★☆]
A、ntdll.dll
B、iertutil.dll
C、wow64cpu.dll
D、wow64win.dll
在这里插入图片描述

29、根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?[答案格式:0xxxxx123…][★★☆☆☆]
0xab861963e000
在这里插入图片描述

30、根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?[答案格式:2023-05-06 14:00:00][★★★★☆]
2023-04-27 17:55:32
在这里插入图片描述

31、根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?[答案格式:C:\xxx\xxx][★★★☆☆]
D:\backup\mydata
同上题图

32、嫌疑人容恨寒苹果电脑的系统版本名称是?[答案格式:注意大小写][★☆☆☆☆]
macOS 12.6
电脑需要密码,密码在坚果Pro3手机备忘录,为apple
在这里插入图片描述
在这里插入图片描述![在这里插入图片描述](https://img-blog.csdnimg.cn/b68eb1c296c644d4ba593f92d9ee935b.png#pic_center

33、嫌疑人容恨寒苹果电脑操作系统安装日期是?[答案格式:2000-01-01][★★☆☆☆]
2022-10-09 13:11:30
在这里插入图片描述

34、嫌疑人容恨寒苹果电脑的内核版本是?[答案格式:xxxxx 11.0.4,注意大小写][★☆☆☆☆]
Darwin Kernel Version 21.6.0
仿真,uname -a
在这里插入图片描述

*35、嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?[答案格式:20][★★☆☆☆]
10
仿真,查看最近运行使用的项目中的应用程序个数
因为仿真查看活动监视器的进程数会变化,所以无法确定,这里假设答案就是要找最近运行的程序个数
在这里插入图片描述

36、嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?[答案格式:2000-01-01 01:00:09][★★☆☆☆]
2023-04-14 07:55:50
在这里插入图片描述

37、嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?[答案格式:20][★★★☆☆]
15
hostname
在这里插入图片描述

38、从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?[答案格式:20][★★★★☆]
在容恨寒的桌面上有个资料-.华南分区流水,查看十六进制发现是RAR
在这里插入图片描述

导出发现需要解压密码
在这里插入图片描述

根据potato聊天记录中提到的密码规则进行掩码攻击
在这里插入图片描述

解压在华南区.xlsx中找到陆文杰
在这里插入图片描述

筛选出陆文杰
在这里插入图片描述

39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?[答案格式:8小时][★★★★☆]
2.5小时
在解压出来的脚本.xlsx中找到
在这里插入图片描述

40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?[答案格式:xxx@xxx.xx][★★★★☆]
IxCnq3@yDp.net
在人员信息.txt中找到万便相关信息
在这里插入图片描述

42、通过分析得出嫌疑人容恨寒小孩的年龄是?[答案格式:10岁][★★★☆☆]
13岁/14岁
在废纸篓里面找到奥数教程·八年级能力测试.pdf,八年级一般都是在13岁或14岁
在这里插入图片描述

二进制文件分析
1、根据魏文茵的计算机分析,恶意程序加了什么类型的壳[答案:asdcz][★★☆☆☆]
upx
在下载目录里面找到print.exe,腾讯哈勃分析,UPX壳
在这里插入图片描述

2、根据魏文茵的计算机分析,恶意程序调用了几个dll[答案:1][★★★☆☆]
5
在这里插入图片描述

3、根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用[答案:1][★★★☆☆]
6
分析send函数的交叉引用
在这里插入图片描述

4、根据魏文茵的计算机分析,恶意程序远控端ip[答案:120.1.2.3][★★☆☆☆]
192.168.8.110
在这里插入图片描述

5、根据魏文茵的计算机分析,恶意程序远控端端口[答案:123][★★☆☆☆]
6069
AI分析_main_0
在这里插入图片描述

6、根据魏文茵的计算机分析,恶意程序用到是tcp还是udp[★★★☆☆]
A、tcp
B、udp
在这里插入图片描述

7、根据魏文茵的计算机分析,恶意程序能执行几条命令[答案:123][★★★★☆]
5
在这里插入图片描述

8、根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令[答案:1a][★★★☆☆]
6s

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

9、根据魏文茵的计算机分析,恶意程序加密哪些后缀文件[★★★☆☆]
A、docx
B、xlsx
C、pdf
D、doc

在这里插入图片描述

10、根据魏文茵的计算机分析,编写该程序电脑的用户名是[答案:12345][★★★★★]
22383
在这里插入图片描述

11、嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:[答案格式:12345]][★★★★★]
44300
程序加密方式为每个字节+1,用Python脚本解密
在这里插入图片描述
在这里插入图片描述

暗网取证
1、臧觅风电脑使用暗网浏览器版本是?[答案格式:10.0.0][★☆☆☆☆]
12.0.4
前面使用Elcomsoft Forensic Disk Decryptor从内存镜像中导出密钥文件解开了TC容器资料.docx,在Keepass中找到一个TC密码Zang!@#123
在这里插入图片描述
使用tc加密容器加载
在这里插入图片描述
这里可以看到类型是隐藏,之前解密的是容器的外部加密卷,现在解开的是容器的内部加密卷
在F盘找到Tor Browser

在这里插入图片描述
根据臧的程序运行记录
在这里插入图片描述
找到浏览器程序打开,在关于里面可以看到版本为12.0.4
在这里插入图片描述

2、臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?[答案格式:制作][★★☆☆☆]
比特币市场
在这里插入图片描述
找到/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default下的places.sqlite
在这里插入图片描述
找到moz_places表
在这里插入图片描述
或者用本地挂载TC加密容器的内部加密卷
在这里插入图片描述
使用火眼进行分析
在这里插入图片描述

3、臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?[答案格式:2000-01-01 01:00:09][★★★★☆]
2022-05-27 21:49:33
找到moz_bookmarks表
在这里插入图片描述
转换时间戳
在这里插入图片描述
火眼

在这里插入图片描述

4、臧觅风电脑使用的暗网浏览器第一次使用时间是?[答案格式:2000-01-01 01:00:09][★★★☆☆]
2023-04-12 10:19:06
在moz_historyvisits表看第一次访问的时间
在这里插入图片描述
时间戳转换
在这里插入图片描述

火眼
在这里插入图片描述

5、臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?[答案格式:字母小写][★★★★★]
ea86403d1de3089b3d32fe5706d552f6
找到扩展文件安装目录/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default/extensions
在这里插入图片描述
导出xpi包解压,在content目录下找到ftp.js

在这里插入图片描述
在这里插入图片描述

物联取证
1、请给出该软路由管理的IP地址?[答案格式:192.168.1.1][★☆☆☆☆]
192.168.8.20
直接把所有镜像一起挂到仿真软件中,不管报错,直接开启虚拟机,直接不用密码就能登录openwrt的系统
在这里插入图片描述

2、请给出该软路由管理员的密码?[答案格式:admin123!@#][★★★☆☆]
P@ssw0rd
配好网后访问
在这里插入图片描述

密码之前在臧觅风电脑里找到过
在这里插入图片描述

登录成功
在这里插入图片描述

3、请给出阿里云WebDAV的token?[答案格式:bac123sasdew3212…][★★☆☆☆]
afc455bdc29a45b18f3bae5048971e76
在这里插入图片描述

4、请给出该软路由所用机场订阅的token?[答案格式:bac123sasdew3212…][★★☆☆☆]
502f6affe3c7deb071d65fb43effc06d
在这里插入图片描述

5、请给出该软路由数据卷的UUID?[答案格式:8adn28hd-00c0c0c0…][★★☆☆☆]
9a89a5ec-dae6-488a-84bf-80a67388ff37
blkid,找到label=“data”
在这里插入图片描述

6、请给出该软路由的共享路径?[答案格式:/home/data][★★☆☆☆]
/mnt/data
cat /etc/samba/smb.conf
在这里插入图片描述

服务器取证
1、请给出IM服务器的当前Build版本?[答案格式:11111][★☆☆☆☆]
17763
在openwrt后台找到存储,打开文件管理器
在这里插入图片描述

账号密码在Rclone里面,为admin/admin,在/mnt/data/IM找到Windows Server虚拟机文件
在这里插入图片描述

把所有文件导出来,运行vmx文件打开虚拟机,发现需要密码
在这里插入图片描述
搜索发现https://www.howtogeek.com/6169/use-truecrypt-to-secure-your-data/,这是被VC加密的盘
查看vmx中的配置可知,启动系统是用的Windows Server 2019-000002.vmdk

在这里插入图片描述
使用火眼分析Windows Server 2019.vmdk和Windows Server 2019-000003.vmdk,在Windows Server 2019-000003.vmdk的最近访问记录中发现一个新建文本文档.txt
在这里插入图片描述
找到文档,得到密码123w.pgscup.com
在这里插入图片描述
这就是VC加密磁盘的密码,输入后成功进入系统


使用P@ssw0rd登录进系统
在这里插入图片描述
查看系统信息得到Build版本
在这里插入图片描述

2、请给出IM聊天服务的启动密码?[答案格式:3w.Baidu.com][★★★★★]
123w.pgscup.com
从上题得出
3、请给出该聊天服务器所用的PHP版本?[答案格式:7.2.5][★★★★☆]
7.4.32
在这里插入图片描述

4、请给出该服务器所用的数据库类型及版本?[答案格式:mysql 5.7.1][★★★★★]
mysql 10.4.12
在这里插入图片描述

5、请给出该服务器MySQL数据库root账号的密码?[答案格式:3w.baidu.com][★★★★★]
www.upsoft01.com
在C盘的Program Files (x86)目录下找到IM_Console目录
在这里插入图片描述
在其下的/im_webserver/htdocs/Application/Common/Conf目录找到config.php,其中记录了mysql数据库账号密码
在这里插入图片描述

6、请给该IM服务器内当前企业所使用的数据库?[答案格式:admin_admin][★★★★☆]
antdbms_ustdreclub
在这里插入图片描述使用admin/123456登录,密码错误,查看数据包发现是前端md5加密传输

在这里插入图片描述
在数据库中找到密码密文

在这里插入图片描述
解不出

替换123456的md5值


使用admin/123456登录
在这里插入图片描述

在SAAS管理找到企业usdtreclub的数据库名
在这里插入图片描述

7、请给出该组织“usdtreclub”内共有多少个部门(不含分区)?[答案格式:1][★★★☆☆]
5
potato数据库分析
在这里插入图片描述

8、客户端消息传输采用哪种加密形式?[答案格式:A][★★☆☆☆]
A、AES128
B、AES256
C、DES
D、Base64
在这里插入图片描述

potato数据库分析的时候发现是base64
9、以下那个不是此系统提供的应用?[答案格式:A][★★☆☆☆]
A、云盘
B、审批
C、会议
D、考勤
根据前面potato数据库判断
在这里插入图片描述

10、请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?[答案格式:08-AA-33-DF-1A][★★★☆☆]
80-B6-55-EF-90-8E
在这里插入图片描述

11、请给出用户“卢正文”的手机号码?[答案格式:13888888888][★★★★☆]
13580912153
前面potato数据库分析的时候有
在这里插入图片描述

集群服务器取证
参考https://blog.csdn.net/Grignard_/article/details/130592473by浙江警察学院@Zodi4c#grignard
给集群配网
ip a查看网络信息
Server1
在这里插入图片描述
Server2
在这里插入图片描述

Server3

在这里插入图片描述
修改虚拟机NAT网络设置
在这里插入图片描述
让本机能ping通

在这里插入图片描述

history查看历史命令
Server1
在这里插入图片描述
Server2

在这里插入图片描述
Server3

在这里插入图片描述

应该是还有一个192.168.8的网段的网卡
在/etc/sysconfig/network-scripts目录找到还有一张en34

在这里插入图片描述
Server1
在这里插入图片描述

Server2

在这里插入图片描述
Server3
在这里插入图片描述
新建一个网卡

在这里插入图片描述

给Server1/2/3添加这张网卡
在这里插入图片描述

再ip a查看网络信息发现多出ens37这张网卡

在这里插入图片描述
将Server1/2/3的/etc/sysconfig/network-scripts下的ifcfg-ens34改名为ifcfg-ens37将其中的ens34全部改为ens37

在这里插入图片描述
重启一下每个服务器
kubectl apply -f https://kuboard.cn/install-script/kuboard.yaml在master服务器上安装Kuboard可视化管理面板

在这里插入图片描述
echo $(kubectl -n kube-system get secret $(kubectl -n kube-system get secret | grep ^kuboard-user | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)
获取token

登录
在这里插入图片描述

1、请给出集群master节点的内核版本?[答案格式:2.6.0-104.e11.x86_64][★☆☆☆☆]
3.10.0-957.el7.x86_64
master节点是server01
在这里插入图片描述在这里插入图片描述

2、请给出该集群的pod网络?[答案格式:192.168.0.0/24][★★★★☆]
10.244.0.0/16
查看kube-controller-manager配置文件
在这里插入图片描述

3、请给出该集群所用的网络插件?[答案格式:abcd][★★☆☆☆]
calico
在这里插入图片描述
在这里插入图片描述

4、默认ns除外,本集群共有多少个ns?[答案格式:1][★★★☆☆]
8
在这里插入图片描述
在这里插入图片描述

5、请给出该集群的集群IP?[答案格式:192.168.0.0][★★☆☆☆]
192.168.91.171
kubectl cluster-info
在这里插入图片描述

6、请给出该ns为“licai”svc为“php-svc”的访问类型?[答案格式:Abc][★★☆☆☆]
NodePort
kubectl get svc php-svc -n licai -o json
在这里插入图片描述

7、请给出ns为“shuadan”下的的PHP版本?[答案格式:1.1][★★★★★]
7.2
在这里插入图片描述
在这里插入图片描述

8、请给出本机集群所使用的私有仓库地址?[答案格式:192.168.0.0][★★★★☆]
192.168.8.12
cat /etc/docker/daemon.json
在这里插入图片描述

9、接上题,请给出登录该私有仓库所用的token?[答案格式:bae213ionada21…][★★★★★]
dXNlcjozVy5wZ3NjdXAuY29t
cat /root/.docker/config.json
在这里插入图片描述

10、请给出“licaisite”持久化存储的大小?[答案格式:10G][★★☆☆☆]
6G
kubectl get pv
在这里插入图片描述
在这里插入图片描述

11、接上题,请给出对应的存储持久化声明名称?[答案格式:abc-abc][★★★☆☆]
licaisite-pvc
在这里插入图片描述在这里插入图片描述

12、请给出集群内部署网站所使用数据库的IP地址和端口号?[答案格式:192.168.0.0:8080][★★★☆☆]
61.150.31.142:3306
在这里插入图片描述在这里插入图片描述

13、请给出网站“vip.kefu.com”所使用的端口号?[答案格式:8080][★★☆☆☆]
8083
臧觅风Chrome历史记录
在这里插入图片描述

14、请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?[答案格式root/password][★★★★★]
vip.shuadan.com/nFRrSNh6Msnbtpay
找到/www/site/shuadan/config/database.php
在这里插入图片描述解密一下
在这里插入图片描述

15、请给出调证数据库的版本号?[答案格式5.7.1][★★★★★]
5.6.50
解压给的数据库源码在localhost.log
在这里插入图片描述

16、请给出刷单网站客服域名?[答案格式:http://www.baidu.com:8080/login.html][★★★★★】
vip.kefu.com
http://vip.kefu.com:8083/platform/passport/login.html
在这里插入图片描述
网站重构 数据库本地搭建
用本地的phpstudy中安装一个mysql5.7.26环境,将给出的数据库替换data目录

配置my.ini,在[mysqld]下加入skip-grant-tables
在这里插入图片描述
Navicat连接查看
在这里插入图片描述
后面修改网站与数据库连接文件时就不需要管用户名和密码了

网站重构
根据服务器/www/log目录中的日志文件,可知每个网站对应的域名
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

客服网站重构
在小皮面板新建网站
在这里插入图片描述
配置伪静态
在这里插入图片描述
将kefu源码导入
在这里插入图片描述

修改/config/database.php(只用修改服务器地址为127.0.0.1即可)

访问网站,重构完成

在这里插入图片描述
刷单网站重构
在这里插入图片描述
配置伪静态
在这里插入图片描述
导入源码


修改/config/database.php
在这里插入图片描述
访问网站,重构完成
在这里插入图片描述
理财网站重构
新建网站
在这里插入图片描述
配置伪静态

在这里插入图片描述
导入源码

修改index.php中数据库连接信息
在这里插入图片描述
修改\Application\Common\Conf下的config.php
在这里插入图片描述
访问网站,重构完成
在这里插入图片描述

17、请给出理财客服系统用户“admin”共有多少个会话窗口?[答案格式:123][★★★★★]
13
到vip.usdtre.club的登录界面
在这里插入图片描述
在数据库的tw_user表找一个用户

在这里插入图片描述
密码md5解密一下
在这里插入图片描述
使用15510192688/123456登录

在源代码中搜索弹窗中的关键词定位到判断代码

在这里插入图片描述
在数据库中将该用户的status改成1
在这里插入图片描述
再次尝试登录
在这里插入图片描述
在这里插入图片描述

访问vip.kefu.com后台
在这里插入图片描述
到数据库找到wolive_admin表
在这里插入图片描述
密码md5解不出
在这里插入图片描述
随便试一个admin/123456

在这里插入图片描述

定位到源码

在这里插入图片描述
找到getEncryptPassword函数
在这里插入图片描述

在这里插入图片描述

替换到数据库

成功登录
在这里插入图片描述
在客服列表里面能看到一个物联智慧购和一个USDTRE
在这里插入图片描述

理财平台是USDTRE,当前咨询用户数为13

在这里插入图片描述

18、刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?[答案格式:www.baidu.com:8080/login.html][★★★★★]
/application/index/view/user/user.html

在刷单的登录界面用admin/123456发现登录成功
在这里插入图片描述在个人中心中查看元素可以看到在线客服是会跳转到客服站
在这里插入图片描述
根据这段html到源码中搜索
在这里插入图片描述
在服务器中找到该文件的路径
在这里插入图片描述

19、请统计出刷单网站后台累计提现成功的金额?[答案格式:1000][★☆☆☆☆]
7611
查看网站vip.shuadan.com的访问日志vip.shuadan.com.log,找到后台地址是/admin_2019
在这里插入图片描述
在数据库的admin表中找到管理员账号密码
在这里插入图片描述
这里把weiliang的密码进行md5解密得到123456
在这里插入图片描述

登录后台
在这里插入图片描述

找到财务管理->提现管理,可以看懂累计提现成功的金额

在这里插入图片描述

20、请给出受害人上级的电话号码?[答案格式:13888888888][★★★☆☆]
18727164553
受害人是张娟,在会员信息管理表中找到推荐人为pq417
在这里插入图片描述
找到pq417为容恨寒
在这里插入图片描述

这里手机号打码了,在数据库的user表中找到

在这里插入图片描述

21、请给出刷单网站受害人加款的时间(北京时间)?[答案格式:2023-05-06 14:00:00][★★★☆☆]
2023-04-12 14:57:32
在会员信息管理找到张娟点击明细
在这里插入图片描述
可以看到加款的时间
在这里插入图片描述

22、该理财网站曾经被挂马,请给出上传木马者的IP?[答案格式:192.168.10.10][★★★☆☆]
103.177.44.10
导出网站源码,D盾扫一下
在这里插入图片描述

在刷单网站?
在这里插入图片描述

找到访问日志
在这里插入图片描述
在这里插入图片描述

23、接上题,请找到此木马,计算该木马的md5?[答案格式:123dadgadad332…][★★★☆☆]
339c925222a41011ac1a7e55ec408202
在这里插入图片描述

24、请统计该投资理财平台累计交易额为多少亿?[答案格式:1.8][★★☆☆☆]
1.42

在vip.usdtre.club的访问日志vip.usdtre.club.log找到管理后台地址
在这里插入图片描述
访问/admin/login?urlkey=123456进入管理后台
在这里插入图片描述
在数据库的tw_admin表找到管理员账号密码
在这里插入图片描述
md5查不到
在这里插入图片描述
随便输入一个密码查看报错信息


定位到代码
在这里插入图片描述
密码是直接md5加密,这里使用123456的md5替换数据库中的值

登录成功,可以直接看到累计交易额
在这里插入图片描述

25、请给出该虚拟币投资平台内用户“李国斌”的银行卡号?[答案格式:622222222222222][★★★☆☆]

6212260808001710173
在tw_user_bank表找到
在这里插入图片描述

26、分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?[答案格式:10000.00][★★★★★]
不确定

后台可以找到财务明细表,但是收入支出金额比较混乱,不知如何统计,可以参考grignard大佬的wp

在这里插入图片描述

  • 20
    点赞
  • 108
    收藏
    觉得还不错? 一键收藏
  • 4
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值