2023年第七届蓝帽杯初赛-取证部分

参考文章：

2023第七届蓝帽杯初赛取证部分个人复盘(非官方wp，望各位大佬指正)_mo2901600657的博客-CSDN博客

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

1.【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

虚拟机里运行一下，在根目录下生成了包名

2.【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

jadx和jeb都能找到

3.【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

jadx里能直接找到（jeb和弘联的雷电得到的是错的）

4.【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

模拟器运行apk，显示的网址就是服务器域名

5.【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

（1）jadx打开apk

（2）查找android.intent.action.MAIN和android.intent.category.LAUNCHER对应的activity，该activity对应的android:name属性即为入口activity名称，如<activity android:name="com.jiubang.go.backup.pro.StartupPageActivity"

6.【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

给的附件里可以找到leidian的字样

7.【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]

盘古石手机取证导入data.vmdk

8.【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]

取证大师导入手机的镜像可以在分区盘里找到

9.【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

盘古石里查找聊天记录

10.【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

盘古石里查找聊天记录

11.【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

取证大师可以找到

12.【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

取证大师直接看

13.【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

仿真，打开IE浏览器

好像是http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

反正http://global.bing.com是错的

14.【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

仿真，谷歌自动填充功能找回密码

15.【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

直接仿真看WPS版本

16.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

仿真中找到disk.img镜像

盘古石导入，可以找到C盘清理.bat

导出后计算SHA1

17.【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

仿真，在我的电脑搜索密码就出来了

18.【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

搜索starwind，找到控制台并打开

19.【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

还是starwind，不能直接看出来

去找配置文件starwind.cfg，用记事本打开，找到密码

20.【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

disk.img中找到vc加密容器，挂载一下，密码就是17题的那个密码

筛选、求和

21.【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

volatility -f memdump.mem imageinfo

Image local date and time就是计算机创建的北京时间

22.【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

火眼仿真

23.【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

盘古石中可以找到2023-06-21 01:01:25

24.【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

python2 vol.py -f memdump.mem --profile=Win7SP1x64 hashdump

25.【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

取证大师搜索一下

26.【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist

27.【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

盘古石查看chrome的历史记录

28.【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist

29.【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

仿真qcow2文件后输入命令uname -r

30.【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

找到.env文件

31.【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

同上题

32.【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

mysql -Version

 

33.【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

在终端输入下面的命令，进入宝塔面板

进入网址，可以查看数据库的root密码

show databases;可以找到看到有四个数据库

恢复附件中的数据库，参考文章2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

ps：中途finalshell可能会断开连接，可以重启一下服务器，这样做虽然finalshell连接不上，但是可以用宝塔的终端执行命令

用ftp传xb文件到服务器上可以代替为：把.xb数据库文件拖到finalshell的服务器目录上

继续跟着文章操作，最后的结果是数据库成功被修复

27题中找到过后台的地址，/AdminV9YY/Login，将服务器ip作为前缀打开

找到登录源码/www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php

修改登录的判断逻辑，使任意密码都能登录

34.【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

35.【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

36.【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

登陆日志里找

37.【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

38.【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

用navicat连接数据库

用sql查询

39.【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

40.【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

受害人叫陈昊民（案情介绍有），推荐ID（嫌疑人ID）是513935

sql查询

41.【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

sql查询，共查到60条

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

42.【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

筛选最多下线的代理人

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

SELECT realname FROM `member` WHERE invicode = 617624

43.【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

SELECT SUM(moneylog_money) FROM `moneylog` WHERE moneylog_status = '+'

SELECT SUM(moneylog_money) FROM `moneylog` WHERE moneylog_status = '-'

入账的钱 - 转出的钱 = 收益