【2022第四屆“長安杯”電子數(shù)據(jù)取證競賽】賽后復(fù)盤_嗶哩嗶哩_bilibili

?檢材一

?1 檢材1的SHA256值為

直接對檢材進行哈希計算

?2 分析檢材1，搭建該服務(wù)器的技術(shù)員IP地址是多少？用該地址解壓檢材2

查看該服務(wù)器的登錄日志

?3 檢材1中，操作系統(tǒng)發(fā)行版本號為

查看記錄操作系統(tǒng)發(fā)行版本號的特定文件

查看 Linux 發(fā)行版名稱和版本號的 8 種方法_chuixue24的博客-CSDN博客_linux查看發(fā)行版本

搜索centos-release文件

4 檢材1系統(tǒng)中，網(wǎng)卡綁定的靜態(tài)IP地址為?

5 檢材1中，網(wǎng)站jar包所存放的目錄是?

?6 檢材1中，監(jiān)聽7000端口的進程對應(yīng)文件名為

試用jd-gui反編譯分析jar包

?7 檢材1中，網(wǎng)站管理后臺頁面對應(yīng)的網(wǎng)絡(luò)端口為

這里我比賽時是在檢材二中的微信緩存圖片中找到的

?其實可以從網(wǎng)站構(gòu)建配置文件里發(fā)現(xiàn)

?8 檢材1中，網(wǎng)站前臺頁面里給出的APK的下載地址是

這題我比賽時是在源碼里翻到的二維碼圖片

?掃描出來

?訪問這個網(wǎng)址就會下載一個apk安裝包，就是后面的鎖機軟件了

實際上我發(fā)現(xiàn)在微信緩存圖片的網(wǎng)站前臺圖片里也有提示app下載

?當(dāng)然這題也可以把網(wǎng)站搭建起來查看

9 檢材1中，網(wǎng)站管理后臺頁面調(diào)用的用戶表(admin)里的密碼字段加密方式為?

分析admin-api這個jar包

?10 分析檢材1，網(wǎng)站管理后臺登錄密碼加密算法中所使用的鹽值是

檢材二

?11 檢材2中，windows賬戶Web King的登錄密碼是

?

12 檢材2中，除檢材1以外，還遠程連接過哪個IP地址？并用該地址解壓檢材3?

檢材一的ip為172.16.80.133,所以還連接過172.168.80.128

?13 檢材2中，powershell中輸入的最后一條命令是

powershell取證 查看歷史命令記錄文件

Windows Powershell相關(guān)（歷史命令、命令）_shu天的博客-CSDN博客_powershell歷史命令

搜索ConsoleHost_history.txt

?14 檢材2中，下載的涉案網(wǎng)站源代碼文件名為

找瀏覽器下載記錄

15 檢材2中，網(wǎng)站管理后臺root賬號的密碼為?

在瀏覽器有登陸過網(wǎng)站后臺，記錄了密碼

?16 檢材2中，技術(shù)員使用的WSL子系統(tǒng)發(fā)行版本是

這題我比賽時做的方法時搜索os-release，找到記錄操作系統(tǒng)發(fā)行版本的文件

但實際上這題安裝有兩個wsl子系統(tǒng)

但是使用的是20.04，我們找到安裝的子系統(tǒng)的目錄

?可以看見22.04的目錄只有8條記錄，20.04有很多記錄，所以使用的必然是20.04

實際上22.04的版本并未安裝

或者仿真用命令wsl -l -v

17 檢材2中，運行的數(shù)據(jù)庫服務(wù)版本號是

注意這題問的是運行的，所以去子系統(tǒng)中分析

?18 上述數(shù)據(jù)庫debian-sys-maint用戶的初始密碼是

Ubuntu 20.04.3 下設(shè)置MySQL8.0的初始密碼_HWSTARS的博客-CSDN博客

debian-sys-maint是mysql8.0的一個默認(rèn)用戶，默認(rèn)密碼在debian.cnf文件

?19 檢材3服務(wù)器root賬號的密碼是

檢材三

20 檢材3中，監(jiān)聽33050端口的程序名（program name）為?

systemctl status docker 查看docker狀態(tài)是否啟動 systemctl start docker 啟動docker netstat -anptl 查看端口進程

?21 除MySQL外，該網(wǎng)站還依賴以下哪種數(shù)據(jù)庫

查看歷史命令

history | grep mongodb history | grep redis

?22 檢材3中，MySQL數(shù)據(jù)庫root賬號的密碼是

檢材一中的admin-api這個jar包里有

或者

?查看docker-compose.yml文件

23 檢材3中，MySQL數(shù)據(jù)庫在容器內(nèi)部的數(shù)據(jù)目錄為?

同上題?????? /var/lib/mysql

24 涉案網(wǎng)站調(diào)用的MySQL數(shù)據(jù)庫名為

結(jié)合后面的題我們知道有數(shù)據(jù)被刪除了

在歷史記錄中發(fā)現(xiàn)刪除了/data/mysql下的b1，同時在檢材二中可以找到b1

?打開是一個數(shù)據(jù)庫，所以調(diào)用的數(shù)據(jù)庫就是b1

或者在數(shù)據(jù)庫日志文件也可以發(fā)現(xiàn)調(diào)用的是b1數(shù)據(jù)庫

25 勒索者在數(shù)據(jù)庫中修改了多少個用戶的手機號？?

分析數(shù)據(jù)庫日志

?26 勒索者在數(shù)據(jù)庫中刪除的用戶數(shù)量為

27 還原被破壞的數(shù)據(jù)庫，分析除技術(shù)員以外，還有哪個IP地址登錄過管理后臺網(wǎng)站？用該地址解壓 檢材

這個解壓密碼可以爆破出來，利用PasswareKitForensic，自己用print寫一個172.16.80.0-255和192.168.60.0-255的字典

分析數(shù)據(jù)庫日志

或者查看b1數(shù)據(jù)庫

28 還原全部被刪改數(shù)據(jù)，用戶id為500的注冊會員的HT幣錢包地址為

用數(shù)據(jù)庫取證工具分析b1數(shù)據(jù)庫

進行數(shù)據(jù)分析后找到

29 還原全部被刪改數(shù)據(jù)，共有多少名用戶的會員等級為'LV3'?

?然后再看刪除的用戶中有多少等級為3

6+158就是164位了

這里要注意，有可能用戶等級并不和這里的member_grade_id對應(yīng)，所以要去網(wǎng)站上看，這里我暫時沒有重構(gòu)網(wǎng)站，之后再看

30 還原全部被刪改數(shù)據(jù)，哪些用戶ID沒有充值記錄

?查找balance為0的用戶

31 還原全部被刪改數(shù)據(jù)，2022年10月17日總計產(chǎn)生多少筆交易記錄？

SELECT * FROM member_transaction WHERE create_time BETWEEN "2022-10-17 00:00:00" AND "2022-10-17 23:59:59"

32 還原全部被刪改數(shù)據(jù)，該網(wǎng)站中充值的USDT總額為

?檢材四

33 嫌疑人使用的安卓模擬器軟件名稱是

夜神模擬器的備份系統(tǒng)文件是npbk后綴

對檢材四解壓

直接分析vmdk，或者可以直接用夜神模擬器導(dǎo)入vmdk文件，打開手機分析

34 檢材4中，“老板”的阿里云賬號是

?35 檢材4中安裝的VPN工具的軟件名稱是

或者

36 上述VPN工具中記錄的節(jié)點IP是?

?或者

37 檢材4中，錄屏軟件安裝時間為?

?38 上述錄屏軟件中名為“s_20221019105129”的錄像，在模擬器存儲中對應(yīng)的原始文件名為

打開軟件找到錄像，其視頻長16s

?根據(jù)時間線判斷

找到一個0c2f5dd.....的文件，其路徑正好是在錄頻app的數(shù)據(jù)目錄下

用播放器打開比對是一樣的

?這里正確做法是分析其數(shù)據(jù)庫

?在record.db數(shù)據(jù)庫可以找到記錄

39 上述錄屏軟件登錄的手機號是?

同樣在數(shù)據(jù)庫里找，這里要用到db browser for sqlite

因為在取證工具只能看db文件，不能看wal文件

40 檢材4中，發(fā)送勒索郵件的郵箱地址為

加/解密程序

41 分析加密程序，編譯該加密程序使用的語言是

在檢材二里可以找到該程序

?導(dǎo)出用ida分析，Shiift+F12查看字符串，可以看見有很多py

或者用die

42 分析加密程序，它會加密哪些擴展名的文件？?

https://www.jianshu.com/p/9f35a6f7ba05

參考博客先進行反向解析

?43 分析加密程序，是通過什么算法對文件進行加密的？

異或

?44 分析加密程序，其使用的非對稱加密方式公鑰后5位為？

pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'

?45 被加密文檔中，FLAG1的值是

?加密勒索apk程序

?46 惡意APK程序的包名為

這個程序在之前我們知道就是網(wǎng)站前端二維碼下載下來的那個apk

在檢材中也能找到

?直接分析

?看結(jié)果

?47 APK調(diào)用的權(quán)限包括

48 解鎖第一關(guān)所使用的FLAG2值為?

打開jadx反編譯

先搜索一波flag

private void OooO00o() {int i2 = App.OooO0OO.getInt("unlocked", 0);if ((i2 & 4) != 0) {this.OooO0OO.setText("哎呀，第三關(guān)都通過了，恭喜恭喜，現(xiàn)在你的手機已獲得自由！");this.OooO0Oo.setVisibility(8);this.OooO0o0.setVisibility(8);} else if ((i2 & 2) != 0) {this.OooO0OO.setText("你是怎么通過第二關(guān)的？？？不過還有第三關(guān)，現(xiàn)在你手機里任何文檔，壓縮包，圖片，視頻都已被加密，請再次聯(lián)系QQ:90001234進行解密");this.OooO0Oo.setOnClickListener(this);this.OooO0o0.setHint("輸入解密文件的key");this.OooO0o0.setText("");} else if ((i2 & 1) != 0) {this.OooO0OO.setText("居然通過了第一關(guān)，不過還有第二關(guān)在等著你，現(xiàn)在你的手機在接下來的時間，會每隔一段時間關(guān)閉屏幕，請再次聯(lián)系QQ:90001234進行解除，期間請勿嘗試任何手段破解，否則將觸發(fā)自毀程序");this.OooO0Oo.setOnClickListener(this);this.OooO0o0.setHint("FLAG3:XXXXXXXX");this.OooO0o0.setText("");} else {this.OooO0OO.setText("恭喜，你的手機已被鎖，請聯(lián)系QQ:90001234進行解決，期間請勿嘗試任何手段破解，否則將觸發(fā)自毀程序");this.OooO0Oo.setOnClickListener(this);this.OooO0o0.setHint("FLAG2:XXXXXXXX");this.OooO0o0.setText("");}}

?下面一關(guān)一關(guān)看，找對應(yīng)的if判斷，第一關(guān)代碼里直接有FLAG2

"FLAG2:MATSFRKG".equals(trim2) //判斷你輸入的是否和FLAG2:MATSFRKG相等

再看第二關(guān)

else if (App.OooO0O0.OooO0oo.equals(this.OooO0o0.getText().toString()) && App.OooO0OO.edit().putInt("unlocked", App.OooO0OO.getInt("unlocked", 0) | 2).commit()) {StringBuilder OooO0OO2 = C0261o0000Oo.OooO0OO(App.OooO0OO.getString("flag16_tkey", ""));OooO0OO2.append(App.OooO0O0.OooO0oo);if (App.OooO0OO.edit().putString("flag16_tkey", OooO0OO2.toString()).commit()) {App.OooO0Oo();System.out.println("delay lock screen close");OooO00o();

?找一下OooO0是哪里來的

this.OooO0oo = new String(decrypt(OooO0O0.OooO0O0("ffd4d7459ad24cd035611b014a2cccac")));

他是加密了ff4d...這一字符串得來的，這里要編寫apk輸出，沒搞會

?50 解鎖第三關(guān)所需的KEY值由ASCII可顯示字符組成，請請分析獲取該KEY值

暫時不會

總結(jié)

以上是生活随笔為你收集整理的2022长安杯赛后复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。