2020美亚杯团体赛刷题 部分题解（1-27、73-124）

写在前面

美亚杯还是挺考验分工协作的，自己做了zello和xeno的两个Server，还有Cole的设备。记录一下解题思路。

同时由于美亚杯的题目局部的顺序是打乱的，所以会有题目不连贯、难度骤降骤升、逻辑前果后因的情况。

取证工具： 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware Workstation

解题

1、Zello服务器的哈希值（SHA256）是甚么？

30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9

2、卷组是何时创建的？

磁盘结构概念：

pv：physical volume，物理磁盘，比如一整块固态硬盘

vg：volume group，即卷组，比如Windows里的新建卷

lv：logical volume，逻辑磁盘，比如c盘、d盘

命令

df -h

可以查看文件系统和磁盘空间。

lvdisplay

可以查看lv的相关信息，比如LV-UUID。pvdisplay和vgdisplay同理。一般需要root权限才可以执行。

答案：

2020/09/03 10:22

3、卷组的名称是甚么？

答案：

ubuntu-vg

4、物理卷的PV UUID是多少？

pvdisplay

答案：

IF6neD-j49V-704g-Uugw-X

5、卷组的VG UUID是甚么？

vgdisplay

答案：

XaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW

6、Zello服务器的Linux内核版本是甚么？

仿真：

uname -a

也可以直接分析。

答案：

5.4.0-48-generic

7、Zello服务器的操作系统版本是甚么？

答案：

Ubuntu 20.04.1 LTS

8、Zello服务器的主机名是甚么？

cat /etc/hostname

答案：

zello

9、Zello服务器的主机名是甚么？

cat /etc/machine-id

答案：

ff39cddc1d794eb6888962aafa17ab28

10、Zello服务器中使用的wordpress版本是甚么？

根据bash得到wordpress安装在/var/www/wordpress里

同时根据查阅得到wordpress的配置文件： wp-config，发现include了 wp-settings.php

cat /var/www/wordpress/wp-config.php
cat /var/www/wordpress/wp-settings.php | grep version.php

在wp-settings.php中查询version发现require_once version.php：

在目录下查找version.php然后cat得到版本号

find /var/www/wordpress/ | grep version.php
cat /var/www/wordpress/wp-includes/version.php

答案：

5.5.1

11、Zello服务器与之同步的主机名是甚么？

cat /etc/hosts

也可以查看ntp文件。

cat /etc/ntp.conf

答案：

NTP-server-host

12、Zello服务器的时区是甚么？

timedatectl

或者查看：

cat /etc/timezone

答案：

Asia/Hong Kong

13、有多少个本地用户已登录到Zello服务器？

last

答案：

1

14、植入网络目录（Webdirectory）的网页壳层（Web Shell）的哈希值（MD5）是甚么？

把/var/www文件夹直接导出来，用D盾扫描，找到123.php后门：

同时查看/var/log/access.log.1可以看到123.php，确定123.php为shell文件

答案：

ECFD5B5E56D56C6BBA6E1BAD595BFC0C

14.5 、（由于学校给的题目里这题的题号没加，懒得改了，后面的题号就跟着减一）\var\www\html\wordpress\net\2020\Login\ index.php’有甚么作用？

把index.php导出来，打开小皮，访问网页看一下：

可以看到该网页用来窃取用户账号和密码。

答案：

盗取资料

15、钓鱼网站伪装成甚么网站？

答案：

Netflix

16、下列哪个IP对Zello服务器进行了蛮力攻击？

解压日志文件：

gunzip -d /var/log/apache2/access.log.3.gz

或者用火眼导出来用解压软件解压。

查看access.log.3可以看到中间有大量使用Hydra爆破软件的日志记录（PS：8个日志把人看傻了）：

答案：

203.186.94.68

17、Zello Web服务器的URL是甚么？

cat /etc/hosts或者直接打开仿真的firefox会自动跳转到该页面：

答案：

http://zello-onlineshop.sytes.net/

18、LVM2容器的第一个扇区是什么？

取证大师看分区信息，再用扇区512算一下即可。

答案：

2101248

19、Zello服务器中LVM2容器的大小（以字节为单位）是甚么？

答案：

31135367168

20、在Zello服务器以及Alice的装置中可以找到甚么共同文件？

Bash可以看到Zello中有R3ZZ.txt。

答案：

R3ZZ.txt

21、2020年8月29日在Xeno服务器中发现的攻击类型是甚么？

查看access.log，里面一堆POST和GET相同的请求（看了wp才知道还有这种攻击）

答案：

HTTP GET/POST Flood

22、哪个IP地址在日志中条目数量最多？

把日志拉一下就看到下面基本都是这条IP

答案：

14.102.184.0

23、这个登录次数最多的IP地址，它访问最多的是哪个页面？

每个选项都带进去搜索，比较匹配次数（比较笨）

尝试使用log paser lizard（很高效），但不知道为什么总是报"cannot find fields directive"错误，很难受

risk.xhtml

24、这个登录次数最多的IP地址来自哪个国家或地区？

查看Meiya Cup 2020\調查報告\互联网服务供货商检查报告_罗俊杰(Daniel).pdf：

Hong Kong

25、这个登录次数最多的IP地址，合共有多少次成功登录?

不知道搜哪个文件，不会做。。

答案：

18

26、除DDoS之外，还可能涉及其他攻击吗？

搜索：login，发现有多个login.xhtml;jsessionid= ，每个jsessionid都不同，说明是暴力破解session

答案：

暴力破解攻击

27、从该网站下载了多少数据？

日志状态码后面的数字是服务器与客户端传输的数据大小，单位为字节。

把download对印的14个get请求的传输字节总数算了一下，大约为2.5G

答案：

现有资料不足以作推断

28、

73、Cole桌上计算机的哈希值（SHA-1）是甚么？

答案：

0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2

74、Cole桌上计算机的用户名是甚么？

答案：

COLE

75、在Cole的桌上计算机中发现了多少潜在的受害者？

打开文件C:/secrets/vips.txt可以看到

答案：

200

76、潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖)

答案：

Partition 3\secrets\vips.txt

77、预设浏览器何时安装？

仿真右键edge快捷键，查看内容

答案：

2019-12-07

78、Cole桌上计算机上预设安装了甚么浏览器？

答案：

Internet Explorer

79、上述储存浏览记录的默认浏览器,该文件档案的类型是什么？

用火眼查看Edge历史记录，然后右键跳转到源文件：

答案：

dat

80、入侵Zello的证据文件是甚么？

证据文件包括浏览记录

答案：

WebCacheV01.dat

81、受感染网站的网址是什么?

（感觉像是前面服务器的题目乱入）

答案：

http://zello-onlineshop.sytes.net

82、Cole桌上计算机上的DDoS勒索字条是甚么？(某些字符被刻意用*遮盖)

仿真桌面上可以看到

答案：

Ransome Note of DDOS.txt

83、在Cole桌上计算机上发现的DDoS勒索字条中，比特币钱包地址是甚么？

答案：

1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

84、Cole笔记本计算机的哈希值（SHA-1）是甚么？

答案：

9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5

85、Cole笔记本计算机有多少个用户帐户？

分析看一下：

答案：

3

86、当前登录用户帐户的用户名是甚么？

仿真登录

答案：

Cole

87、在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件？

有些低版本的volatility在下面96题的dlllist里无法解析出应有的dll文件，这里分享一下个人用的volatility以及bench：百度网盘链接 提取码：luks

cmd：

volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem imageinfo

答案：

Win7SP1x64

88、用户密码的前5个字符是甚么？

火眼仿真可以直接看到

答案：

78945

89、计算机中可疑的txt文件的名称是甚么？

查看最近打开文档（个人觉得costomer.txt也蛮可疑的，不过被删了）

答案：

vips.txt

90、可疑txt文件曾经出现在哪个路径？

答案：

C:/Users/Cole/Desktop/

91、是否有任何证据表明该文件已执行？

答案：

是的，因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件

92、以下哪个与上述可疑txt文件相关的发现是正确的？

发现costomer.txt和vips.txt，但对于costomer.txt火眼和取证大师都无法显示创建时间，乃正哥 是看$extend/$UsnJrnl里的$J查看的，但取证大师和火眼都显示该文件夹为空，没有X-Ways。。。就盲猜了

答案：

在创建可疑txt文件之后，创建/访问了另一个txt文件

93、根据系统时间，Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么？

注意使用的UTC+0000，火眼里时间得要再加8h

火眼时间线可以看到这个时间他调用了Eraser.exe进程

答案：

他删除了一些文件

94、FTK Imager.exe的PID是甚么?

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 pslist

答案：

2456

95、FTK Imager.exe的父应用程序是甚么？

PPID为父进程ID

答案：

660

96、FTK Imager.exe使用甚么DLL？

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 dlllist

拖到最下面

答案：

sensapi.dll

97、MpCmdRun.exe的PID是甚么?

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 psscan

psscan命令可以看到隐藏进程MpCMdRun.exe，而pslist看不到

答案：

1288

98、以下哪个与MpCmdRun.exe相关的项目是正确？

看psscan内容

或者也可以用timeliner：

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 timeliner

搜索进程名称即可

答案：

该过程于2020-09-18 01:20:57 UTC + 0000终止

99、上次启动后，笔记本计算机连接的外部IP是甚么？

netscan发现都是内部地址

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 netscan

答案：

未连接/未连接到任何外部IP

100、上次启动后，笔记本计算机连接的网络驱动器路径是甚么？

见上题

答案：

未连接/未连接到任何外部IP

101、一位客户有一封电子邮件mb@ms**.z**.**.tw，可以在Cole的笔记本计算机中找到此数据吗？ （某些字符被故意用*遮盖）

取证大师找不到，数据恢复也找不到这个邮件(╬▔皿▔)╯，只能先放了

答案：

是

102、收到上述电子邮件的客户名称是甚么？

103、属于上述客户的电话号码是甚么？ （某些字符被故意用*遮盖）

104、上述客户可能居住的区域是甚么？

105、Cole的PI的哈希值（SHA-256）是甚么？

答案：

EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556

106、Cole PI 装置的操作系统是甚么？

答案：

Ubuntu24

107、操作系统是甚么版本？

答案：

20.04.1 LTS (Focal Fossa)

108、装置的文件系统是甚么？

答案：

Ext 4

109、操作系统的时区是甚么？

查看/etc/timezone

Asia/Shanghai

110、哪个文件包含儿童色情物品内容？（某些字符被故意用*遮盖）

查看bash_history：

cp '/media/user/D260-8BA9/pthc1.jpg' '/media/user/D260-8BA9/pthc2.jpg' '/media/user/D260-8BA9/pthc3.jpg' /var

答案：

“Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg”

111、Cole PI装置中的儿童色情物品的创建时间是甚么？

答案：

2020/09/15 17:21

112、Cole NAS的哈希值（SHA-256）是甚么?

答案：

5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871

113、儿童色情数据存放在哪里？

取证大师会自动恢复动态磁盘，有一个RAID-1，火眼目前分析不出来

答案：

Partition 3\cole-shared\media

114、设备中现有多少儿童色情数据？

答案：

3

115、Cole NAS装置中的儿童色情物品的创建时间是甚么？

答案：

2020/09/15 16:51

116、在Cole手机, 谷歌的用户个人资料是甚么？

火眼分析（正确的手机bin文件在补充文件里）查看Chrome浏览器账号信息即可

答案：

colefung909@gmail.com

117、Cole的手机上有社交媒体帐户吗？如有，那是甚么？

WhatsApp账户信息

答案：

85263766465@s.whatsapp.net

118、Cole与Bob和Alice在同一个小组中进行过交流吗？它是甚么？

答案：

是的，在whatsapp组ID中的群聊消息：85262547937-1600392878@g.us

119、Cole手机的Android ID是甚么？

美亚手机大师V4Bob的解析出来了，Cole的却没解析出来。火眼全局搜索，搜索 android id 也没搜到

想要用盘古石呜呜

答案：

626a98cb2bb965ec

120、已安装的WhatsApp APK文件的哈希值（SHA-256）是甚么?

查看分区31/app/，搜索Whatsapp，然后计算文件夹内的apk

答案：

B31806FA2CCE80923DE8646F835B72D1FB06A97343A5B7242BC3972627C78E1B

121、列出Chrome的五个“关键词搜索”。

查看搜索历史：

至于为什么选这五个而排除了其他的关键字，比如apple，个人认为还是要根据嫌疑人作案目的来选择

答案：

“bulk mailer, ddos creator, fortress online, parknshop, GitHub malware”

122、在哪里可以找到“Cole的电话”的通话记录？

火眼分析里查看通话记录，随便点一个跳转到源文件，导出db文件查看

Navicat查看：

答案：

Table:calls

123、2020-09-01至2020-09-30之间，“Cole”收到了多少条SMS讯息？

查看短信，排除被删除的信息

答案：

2

124、在Cole的“ whatsapp”联络人中，有多少用户正在使用“ whatsapp”？

有三个联系人，加上Cole自己

答案：

4

125、

结语

经过长安杯的折磨，感觉美亚杯团体赛还可以接受。

参考资料

LINUX系统中的PV LV VG的关系及管理