2023年蓝帽杯取证复现

案件介绍

2021 年 5 月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称 为 yang88 的网友，在其诱导下通过一款名为维斯塔斯的 APP ，进行投资理财，被诈骗 6 万余万元。接警后，经过公 安机关的分析，锁定了涉案 APP 后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排 后，公安机关在杨某住所将其抓获，并扣押了杨某手机 1 部、电脑 1 台，据杨某交代，其网站服务器为租用的云服务

器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完

成取证题目。

解开检材：

【APK取证】

【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

直接看是错的，要打开源码分析中的jadx反编译中查看AndroidManifest.xml中搜索DCLOUD_AD_ID

【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

源码分析中分析敏感信息，分析完后查看，服务器域名一般都是.com/.cn结尾的，后面还接着端口号

【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

【手机取证】

【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]

在data.vmdk的镜像文件中

【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]

分析data镜像   com.uneed.yuni

【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

【计算机取证】

【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

找到开机密码打开镜像

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

开启WPS的设置

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

勾选文件，进行哈希值计算，但是这个算出来是错的，我也不知道为什么！？

后来在火眼中实现了

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

通过netstat -ano查看端口

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

在配置文件里找到密码 C:\Program Files\StarWind Software\StarWind\StarWind.txt

找不到就把starwind.crg文件的后缀改掉了

【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

按照大佬思路来的

导出，放入vc中加载

【内存取证】

【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

刚接触内存取证不太熟练，文件如果不存在报错，就改为绝对路径，这种情况下一般不会报错了

【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

虽然密码本里其实也有但这题是让我们用内存取证的方式做出来，我们可以用命令爆破

【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

北京时间要加8个小时
【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

北京时间加8个小时
【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

仔细读题会发现其实要加上北京时间8个小时，答案就出来了

【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

【服务器取证】

【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

仿真.qcow2文件

不仿真也有

【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

比赛的时候是看的宝塔面板里面的root密码，但是这个密码错了

查看宝塔面板日志发现密码被修改过

netstat -tlunp # 发现8083端口

Laravel框架，查看.env文件

cat /www/wwwroot/v9.licai.com/.env

 

【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

进入宝塔面板，用内网,输入用户名密码

题目给了.xb的数据库数据文件，获取解压数据参考文章https://www.cnblogs.com/tongcharge/p/11600594.html

之后连接数据库，获取后台密码密文（直接修改源代码绕过校验也可以）

Laravel解密方法参考 https://blog.csdn.net/Ferre666/article/details/75094522

下面介绍的是解密密文的方式

vim /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php

public function index(Request $request)
    {
        // echo Crypt::encrypt('123456');
        // echo Crypt::decrypt("eyJpdiI6IjVJK3U1bERBSnhqdUZTcDNyVHBFREE9PSIsInZhbHVlIjoiSWpMdGtOQTlkVTFlVU83aHR3RFJ3UlU2K09lRjBuSzdSSlwvY0FLTTBXY009IiwibWFjIjoiZGY4MWNkYWY3Njc2ODRmODg0YjMxMWM1NmViNDAxZjA4ZDI0YTUwNGZhZmFjNjk0ZDZkMzQzZDA2NGI5ZDdmMSJ9");
        echo Crypt::decrypt("eyJpdiI6IjNHMDJWZkpwMnBXVUpsYjRKcEM4WlE9PSIsInZhbHVlIjoibEpXSkJZZFlpWkl2dU9kY2tvR2xMWnZxT3E5T1pRUnhDVFlidjczY01EMD0iLCJtYWMiOiI5ODA2Nzc5MjM0MDE4MGY0MTkxMGEyOGQ1MTUwNWZiYmViMzk0MmQxYzc3NmViOWE5YTZjMjljNWM5OGIxZWVkIn0=");
        ......

解得
admin/root123456
root/mzx10000s

访问http://vip.licai.com:8083/AdminV9YY/Login。后台地址可以通过/www/wwwlogs/v9.licai.com.log日志查看

登录后台后,会员管理->会员管理。案件介绍中嫌疑人为杨某，直接搜索名字杨。发现只有杨德忠具有推广人数

【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

管理账号->

【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

会员管理->团队结算，会员等级筛选得到20个
【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

据库中搜索上海，然后在会员管理通过用户名分别查询两个用户得余额发现都大于0

【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

受害人上线 为 杨德忠。下线在代码中通过tuiguangrens字段表示的，在会员管理->团队结算中

vim /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/SalesmansController.php

但是由于默认前台返回的推广下线数是

我们修改模板中xxtuiguangrens为tuiguangrens

vim /www/wwwroot/v9.licai.com/resources/views/hui/salesmans/lists.blade.php

【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

select (SELECT sum(moneylog_money)
FROM `viplicai`.`moneylog` WHERE `viplicai`.`moneylog`.`moneylog_status`='+')-(SELECT sum(moneylog_money)
FROM `viplicai`.`moneylog` WHERE `viplicai`.`moneylog`.`moneylog_status`='-');

复现过程中战线拖的较长，在服务器取证方面比较困难，于是有参考以下3篇文章，来为自己提供思路:

2023第七届蓝帽杯电子取证初赛部分题解

第七届蓝帽杯全国大学生网络安全技能大赛初赛Writeup

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解