写在前面
学生组第19名,断网打取证感觉像坐牢,回来之后复盘感觉成绩没达预期,很多应该出的当时没出
后面牵扯到服务器的没写完,有点麻烦,没空整了,大三好忙
参考大佬的博客2023盘古石决赛 - WXjzc - 博客园 (cnblogs.com)、首届“盘古石杯”全国电子数据取证大赛总决赛参考题解 (qq.com)
容器密码 2ej)!,[JN-U;wm19J=d9sZt_L6#bf+}[
案情简介
公安机关通过对“张娟虚拟币投资被诈骗案”的诈骗团伙电子数据检材进行深入分析后,还摸排到了该诈骗团伙上游的跑分团队,通过办案部门的不懈努力,最后在跑分窝点抓获了跑分平台技术人员John、卡农Bob,扣押窝点NAS服务器1台、John计算机1台,Bob安卓手机1部,扫地机器人1台,无人机1台,智能门锁1把。同时,公安机关摸排到了本案中勒索黑客Hacker,抓取了Hacker计算机网络流量包,扣押了其计算机。以上检材已分别制作了镜像,检材清单见附件。请结合案情,对上述检材进行勘验与分析,完成以下题目。
检材清单
| 对象 | 检材类型 | 检材名称 |
| John | 电脑 | pc.E01 |
| Bob | 手机 | 三星 SM-N9700.zip |
| 服务器 | NAS服务器 | disk0.E01 disk1.E01 disk2.E03 disk3.E04 |
| 物联网设备 | 扫地机器人 | robot1.bin robot2.bin |
| 无人机 | 无人机.rar | |
| 智能门锁 | 智能门锁.rar | |
| Hacker | 电脑 | disk0.E01 disk1.E01 |
| 流量包 | Flower.rar |
流量分析
黑客计算机流量包
1.计算流量包文件的SHA256值是?[答案:字母小写]
2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9
2.流量包长度在“640-1279”之间的的数据包总共有多少?[答案:100]
179
frame.len >= 640 and frame.len <= 1279
3.黑客使用的计算机操作系统是?[答案:windows7 x32]
windows10 x64
使用key.log对TLS流量解密
4.黑客上传文件到哪个网盘?[答案:xx网盘]
百度网盘
5.黑客上传网盘的中间件是?[答案:xxxx]
nginx
见下题
6.黑客首次登陆网盘时间是?[答案:2000-01-01 01:00:33]
2023-05-11 12:03:55
网盘的第一个分组是699,追踪流
“Thu, 11 May 2023 04:03:55 GMT”+8
7.黑客上传到网盘的txt文件的md5值是?[答案:字母小写]
6a5aff7bec78dd1e4fc23e571b664b50
http contains ".txt",上传post
8.黑客上传到网盘的txt文件第8行的内容是?[答案:XXX]
$$
两个部分中间是空一行的
9.被入侵主机的计算机名是?[答案:XXXXXXXXXXX]
WIN-BFA1TO8PTNP
第10题中黑客ip判断出来了,192.168.100.141,接下来判断被入侵主机的ip,好几个ip与他相互交互,只有192.168.100.139登录了ftp,入侵主机的ip应该是他
10.被入侵电脑的数据回传端口是?[答案:11]
8000
根据下题,判断出来木马是setup.exe,使用沙箱分析,扫出来4个ip,只有第三个在流量包中,黑客ip就是192.168.100.141:8000
11.流量包中ftp服务器的用户密码是?[答案:abcd]
ftp
官方答案给的pass,不懂
anoymous使用密码User@,密码错误
www使用密码ftp,成功登录
12.流量包中ftp服务器中的木马文件的md5值是?[答案:字母小写]
2a49a00a1f0b898074be95a5bbc436e3
继续往下滑,发现出现setup.exe,木马应该就是他
右键-追踪数据流,使用原始数据存储为setup.exe,刚保存出来,火绒就弹出来给隔离了,确认就是他
13.木马文件伪造的软件版本是?[答案:0.0.0.0]
7.5.0.1039
14.黑客上传到网盘的压缩包解压密码是?[答案:XXXXXXXXXXX]
今天天气不错
查看上传网盘的内容
dic.txt
flag.rar
pass.jpg
导出http对象,导出这3个文件,rar是加密的,jpg导出来不显示图像,用foremost分离一下
dic.txt是个字典
stegseek用dic.txt爆破pass.jpg得到一串摩斯密码,在这里感恩d3f4u1t师傅给的虚拟机
解压密码:-..---.--..-.-. -.--..-..-.-..- -.--..-..-.-..- --.--.....-.-.. -..---.....--.- -..-.-.-...--..-
转中文是“今天天气不错”中文摩尔斯密码 - 一个工具箱 - 好用的在线工具都在这里! (atoolbox.net)
15.黑客上传到网盘的压缩包内文件的内容是?[答案:xxxxxxx]
flag{dfaefdgegr$$%463}
接上题直接解压即可
技术人员John手机流量包
仿真后看最近使用的文件,test.saz,就是他,用fiddler分析
16.分析技术人员电脑内的手机流量包,给出技术人员的虚拟身份账号是?[答案格式:13039456655]
13012341234
问虚拟身份账号,找登录页面
17.分析技术人员电脑内的手机流量包,给出技术人员的虚拟身份密码是?[答案格式:b3039456655]
a12345678
见上题图
18.分析技术人员电脑内的手机流量包,分析技术人员的看过几段短视频?[答案格式:3]
6
6个抖音
19.分析技术人员电脑内的手机流量包,分析技术人员最后打开的软件的程序名称是?[答案格式:微信]
狂神无双
下面的都是网址,只有这条是com.zhjhsy.ksws04.ucbiao
在技术人员的雷电手机模拟器中找到了这个包名
叫狂神无双
20.分析技术人员电脑内的手机流量包,分析安全防护的服务器地址是?[答案格式:127.0.0.1]
8.218.119.134
在摸瓜中查安全防护的apk,两次查出8.218.119.134
在jadx中
流量中也有
GetCmd.aspx的调用
移动智能终端取证
卡农就是bob,三星 SM-N9700.zip解压得到Image.zip,再次解压,最后用弘连或者盘古石跑image文件夹
1.分析卡农手机,给出手机的SDK版本?[答案格式:28]
30
2.分析卡农手机,给出手机最近开机的时间?[答案格式:2023-05-18-19:09:59]
2023-05-15-10:09:29
3.分析卡农手机,给出高德地图关联的手机号是?[答案格式:13011221234]
18317041122
4.分析卡农手机,给出卡农内部聊天工具的昵称是?[答案格式:李多余]
钱彩燕
在jpg图片中找到了pgs的WiFi
PGScup应用
应该就是他
找到apk,可以先过滤apk后缀,在过滤文件路径,比较快
找完apk后,找对应的应用数据,在/data/data中找
然后把cn.wildfirechat.chat的数据复制进雷电模拟器的/data/data里面,雷电模拟器自带的文件传输还是比较方便的,我用的是雷电9,打开PGS,即可看到对应的信息
5.分析卡农手机,给出卡农的真实名字可能是?[答案格式:李多余]
徐鹏坤
计算机取证
黑客计算机
1.黑客计算机系统安装时间是?[答案格式:2000/01/01 01:00:01][★☆☆☆☆☆]
2023-05-10 13:31:47
2.黑客计算机磁盘0的总磁道数?[答案格式:数字中无标点][★★☆☆☆☆]
3328770
查看系统信息
3.黑客计算机的产品密钥是?[答案格式:字母大写]
VK7JG-NPHTM-C97JM-9MPGT-3V66T
4.黑客计算机共有几次卷影拷贝服务关闭事件?[答案格式:1]
1
卷影复制服务 (VSS)
5.黑客计算机的vc容器解密密码是?[答案格式:字母小写]
byebyedisco
轩禹CTF RSA工具3.6
导入公钥文件pub.key
右键分解模数,把N的值复制进输入,本地DB查询分解p、q,把分解的值复制进第一个框中,逗号是英文
右键计算私钥
导入密文m
右键计算明文,明文转字符
6.黑客计算机加密容器中共有几个docx文件?[答案格式:x]
3
E盘是加密容器,veracrypt选择设备输入密码即可
7.黑客计算机加密容器中记录的bt币地址有几个?[答案格式:x]4
4
在文件中没有找到bt币地址,用取证大师解密后查看发现有tmp文件
导出用winhex查看发现是压缩包
直接改后缀zip
8.黑客计算机加密容器中记录的受害人共有多少人?[答案格式:xx]
29
9.黑客计算机中win7虚拟机中www用户的登陆密码是?[答案格式:xxxxxxx]
12345678
在disk1中找到了win7.7z,导出,解压需要密码
用passwarekit字典攻击爆破密码,字典还是之前在流量包中提取出的那个,密码是zymogenesis
不知道密码,试了下常见的几个,12345678登进去了
10.黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是?[答案格式:xx]
admin123!@#
技术人员计算机
11.分析技术人员电脑,请给出电脑系统安装时间(UTC-0)?[答案格式:20000-01-01 00:00:00]
2023-04-19 06:10:50
UTC-0
12.分析技术人员电脑,请给出电脑内用户John的SID?[答案格式:x-x-x-x-x-x-x-x]
S-1-5-21-2950582214-2327523445-121360615-1001
13.据技术人员交代,其电脑连接过nas服务器,请给出该nas服务器的iqn名称?[答案格式:iqn.xxx]
iqn.2005-10.org.freenas.ctl:windows
14.分析技术人员电脑,请给出该技术人员使用的隐写工具名称?[答案格式:xx]
oursecret
最近访问的项目中找到了oursecret的痕迹
可以看到是在别的盘里,考虑NAS
15.接上题,请给出使用该隐写工具隐写文件所使用的密码?[答案格式:xx]
caiwu
猜的,就找到这一个密码
16.据技术人员交代,其电脑内存过一个名为“财务流水.rar”的文件,请给出该文件的SHA-1?[答案格式:字母小写][★★★★☆]
APK
在技术人员John的电脑仿真中可以看到一个雷电的备份,导出后还原备份
1.分析技术人员的模拟手机,给出安全防护的验证码是?[答案格式:11226655]
110110110
在模拟器中直接导出安全防护,用jadx分析,主函数是com.icbcbfife.hdadgefff.SecretWelcomeActivity
在里面找到判断函数
解释函数
getStartpass函数返回startpass,startpass应该就是用于传递的验证码的
hook没成功,直接暴搜startpass:110110110
2.分析技术人员的模拟手机,给出安全防护的推送服务的调证值是?[答案格式:11226655]
5cfdec7f570df35073000f03
3.分析技术人员的模拟手机,给出老板的联系方式是?[答案格式:11226655]
13812341234
应该是有一个聊天工具,在/data/data看到了熟悉的PGScup,同移动智能终端取证第4题,但是模拟器里未安装apk,安装一下,直接恢复原来的聊天内容,技术人员John就是和钱彩燕聊天的人
4.分析技术人员的模拟手机,给出办公场所是?[答案格式:北京市朝阳区中山路25555号]
上海市闵行区合川川路18888号
见上题图
5.分析技术人员的模拟手机,给出技术人员聊天工具的用户ID是?[答案格式:QN11AATT]
QN63ANIT
二进制文件分析
控制端程序在黑客D盘
1.分析黑客电脑,控制端程序传输协议是什么协议?[答案格式:http]
tcp
PyInstaller打包
使用pyinstxtractor.py脱壳
对server.pyc进行反编译
少部分文本提取不出来,connect类下使用了tcpServer函数,是TCP协议
# uncompyle6 version 3.8.0
# Python bytecode 3.8.0 (3413)
# Decompiled from: Python 3.7.4 (tags/v3.7.4:e09359112e, Jul 8 2019, 20:34:20) [MSC v.1916 64 bit (AMD64)]
# Embedded file name: server.py
import socket, json
def decrypt_config():
data_str = ''
with open('config.txt', 'rb') as (f):
byte = f.read(1)
byte_to_int = int.from_bytes(byte, byteorder='big')
data = byte_to_int ^ 41
dataB = data.to_bytes(1, byteorder='big')
data_str += dataB.decode()
while byte:
byte = f.read(1)
if byte:
byte_to_int = int.from_bytes(byte, byteorder='big')
data = byte_to_int ^ 41
dataB = data.to_bytes(1, byteorder='big')
data_str += dataB.decode()
data_dict = json.loads(data_str)
return (data_dict['address'], data_dict['port'])
def input_data() -> bytes:
data = input('请输入指令')
data = Crypt_data(data)
return data.encode()
def Crypt_data(data) -> str:
if isinstance(data, str):
data = data.encode('utf-8')
temp = b''
for i in data:
data_int = i ^ int.from_bytes(b'p', byteorder='big')
data_bytes = data_int.to_bytes(1, byteorder='big')
temp += data_bytes
else:
try:
temp = temp.decode()
except:
temp = temp
else:
return temp
def deal(data: bytes):
with open('��������.txt', 'wb+') as (f):
f.write(data)
class connect:
def __init__(self):
self.address = decrypt_config()
def tcpServer(self):
with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as (s):
s.bind(self.address)
s.listen(10)
while True:
conn, addr = s.accept()
conn.setblocking(0)
while True:
try:
data = conn.recv(1000000)
data = Crypt_data(data)
except BlockingIOError as e:
try:
data = b''
finally:
e = None
del e
else:
print(data)
if not data == '2a':
if data == 'ok':
send_data = input_data()
conn.send(send_data)
else:
if data == 'er':
print('!!!!操作失败请重新操作!!!!')
send_data = input_data()
conn.send(send_data)
if data == 'end':
continue
elif data == b'':
continue
else:
deal(data)
if __name__ == '__main__':
con = connect()
con.tcpServer()
# okay decompiling server.pyc2.分析黑客电脑,控制端程序接收数据缓冲区大小是多少?[答案格式:100]
1000000
conn.recv函数
3.分析黑客电脑,控制端程序接收并判断几种指令?[答案格式:1]
5
4.分析黑客电脑,控制端程序连接结束指令是什么?[答案格式:xxx]
end
猜的,end指令很像,代码分析逻辑没弄懂
5.分析黑客电脑,控制端程序配置文件解密函数是什么?[答案格式:x_x]
decrypt_config
6.分析黑客的木马程序,该程序控制端ip是?[答案格式:127.0.0.1]
7.分析黑客的木马程序,程序在地址0x00410CA4处调用了Sleep函数,请问该函数会暂停几秒?[答案格式:3]
5
木马程序还是那个setup.exe,按G跳转到0x00410CA4处
Sleep按F5反编译
Sleep(0x1388u);sleep函数里面封装的是毫秒,0x代表封装的是十六进制,1388转换成十进制是5000,就是5秒
8.分析黑客的木马程序,该程序“png”型资源下有两张图片,程序图标对应图片的MD5值是?[答案格式:字母小写]
ae755aad5abaa7926a691a5d94e84ea2
用resource hacker查看,保存图片
9.分析黑客的木马程序,哪个函数直接调用了HOST型资源?[答案格式:sub_1234]
sub_405570
搜索HOST,发现两个HOST,sub_405570和sub_4068F0
sub_405570加载资源LoadResource
sub_4068F0更新资源
是sub_405570
10.分析黑客的木马程序,该程序会绕过哪个杀毒软件?[答案格式:腾讯]
金山
杀毒软件,搜索kill试试,"taskkill /f /im KSafeTray.exe",KSafeTray.exe是金山卫士
物联取证
扫地机器人
1.分析扫地机器人数据,robot1.bin采用的压缩算法是?[答案格式:xxxx][★★☆☆☆☆]
LZMA
当时是真没想到用binwalk
2.扫地机器人使用的软件版本是?[答案格式:0.0.0][★★☆☆☆☆]
3.1.0
3.扫地机器人id是?[答案格式:21243245838790]
3144460861838790
4.扫地机器人云证书的前6位是?[答案格式:sdfead]
miidnj
5.扫地机器人连接过的wifi的ssid是(channl1)?[答案格式:xx_xx_xx]
ELPASO_TPLINK_C04A00BD0769
6.扫地机器人连接过的wifi的密码是(channl1)?[答案格式:xxxx]
admin123
7.扫地机器人的时区是?[答案格式:xx/xx]
America/Denver
美国时区
8.扫地机器人的名称是?[答案格式:xxxxx]
VTORoomba
无人机
9.无人机飞行纬度前两位是?[答案格式:xx]
31
10.无人机的快门速度是?[答案格式:x/xxx]
1/400
智能门锁
11.分析智能门锁数据包,请给出用户“wonderful”首次开门时间?[答案格式:2000-01-01 00:00-00:00]
2023-02-17 18:56:38
连接数据库,A:\物联网设备\智能门锁\智能门锁\20230510102047\Data
12.分析智能门锁数据包,请给出智能门锁MAC地址?[答案格式:字母大写]
E8:BD:63:D0:6F:AD
A:\物联网设备\智能门锁\智能门锁\20230510102047\ExtractData\小米_Lock_通用_Cloud_@IoT\LockInfo.json
服务器取证
1.请分析服务器,给出NAS服务器系统账号密码?[答案格式:xx@xx]
P@88w0rd
联网弘连分析和仿真都能跑出来密码
不联网的条件下,参考首届“盘古石杯”全国电子数据取证大赛总决赛参考题解 (qq.com),使用passware kit的系统从外部注册表文件提取密码
找到Windows/System32/config并在本地打开
将路径填充到config folder中
跑出来了John电脑对应的密码是paofen,NAS的密码是P@88w0rd
2.请分析服务器,给出NAS服务器的版本信息?[答案格式:xx-xx-xx][★★☆☆☆☆]
TrueNAS-13.0-U4
仿真,操作系统设置为Linux
创建成功,登录成功
查看ip
在浏览器中输入ip,进入
3.请分析服务器,给出NAS服务器内用户SMB的邮箱?[答案格式:xx@xx][★★☆☆☆☆]
smb@paofen.com
4.请分析服务器,给出NAS服务器系统告警服务使用的邮箱?[答案格式:xx@xx][★★☆☆☆☆]
11729369@qq.com
5.请分析服务器,给出NAS服务器内存储池名?[答案格式:xxx]
vol
6.请分析服务器,给出NAS服务器内有几个数据集和几个Zvol?[答案格式:0,0]
2,3
参考TrueNAS之ZFS详解,让你搞懂ZFS文件系统! - Sagit,类型为VOLUME的是Zvol,类型为FILESYSTEM的是数据集,数据集是iocage 、vms ,Zvol是db 、iSCSI-Win 、web
展开箭头就是
7.请分析服务器,给出该NAS服务器存储监听IP和端口?[答案格式:192.168.1.1:8080]
0.0.0.0:3260
8.请分析服务器,给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID?[答案格式:xx]
2
9.请分析服务器,给出web服务器连接NAS服务器所使用的iqn?[答案格式:iqn.xxx]
iqn.2005-10.org.freenas.ctl:web
基本名称iqn.2005-10.org.freenas.ctl
目标连接web
10.请分析服务器,给出web服务器连接NAS服务器所使用的账号和密码?[答案格式:root/123]
user/202305140921
web服务器连接NAS服务器门户组ID是1
查看门户组ID为1的用户名和密码
11.请分析服务器,给出redis所使用的配置文件?[答案格式:/home/1.conf]
开启虚拟化
我还报错[EFAULT] VM will not start as VNC Device: 192.168.91.129:5900 device(s) are not available.
扫一扫
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
