2023蓝帽杯初赛

news2024/12/28 4:49:20

比赛总结就是首先审题要仔细,确定题目意思再去找才不会找错。

内存取证vol工具的使用不够熟练

然后容易走进死胡同,如果一个软件不能得到答案可以换一个看看,说不定就有答案了。

还有服务器取证很生疏,还是要多花时间做点题

取证检材容器密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

1.案情介绍

2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目。

2.取证题目

apk取证

1、涉案apk的包名是?[答题格式:com.baid.ccs]

com.vestas.app

用GDA4打开,里面有包名

2、涉案apk的签名序列号是?[答题格式:0x93829bd]

0x563b45ca

 用jadx打开,在APK signature里面

3、涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]

2147483647

在jadx直接搜 DCLOUD_AD_ID,就有序列号

4、涉案apk的服务器域名是?[答题格式:http://sles.vips.com]

https://vip.licai.com

用雷电app进行源码分析,是https。。

5、涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]

io.dcloud.PandoraEntry

 GDA4里面找到main activity

手机取证

6、该镜像是用的什么模拟器?[答题格式:天天模拟器]

雷电模拟器

在火眼里面导进检材,

 导出VBox.log文件,里面有雷电模拟器

7、该镜像中用的聊天软件名称是什么?[答题格式:微信]

与你

火眼

8、聊天软件的包名是?[答题格式:com.baidu.ces]

com.uneed.yuni

应用列表里面

9、投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]

5万

聊天记录里面有

10、受害人是经过谁介绍认识王哥?[答题格式:董慧]

华哥

也是记录里面 

计算机取证

11、请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]

23f861b2e9c5ce9135afc520cbd849677522f54c

比赛的时候直接拿工具算的,被骗了。。sad

直接取证大师打开,下面摘要有sha1值

或者用xways算,也是对的

12、给出pc.e01在提取时候的检查员?[答案格式:admin]

pgs

也是在摘要里面,有调查员姓名

13、请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]

http://go.microsoft.com

比赛的时候仿真进去是必应

 直接没多想就填了但现在也不懂到底错在哪

 有wp说在取证大师里面写了windows主页

14、请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]

yang88/3w.qax.com

 放火眼分析就有,一开始放盘古石就没有。。

15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]

2023春季更新(14309)

 仿真pc.e01文件,就有版本号,本来写对的。。

然后觉得格式不对,格式为什么都给xxx!!!我不服!!!

16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

 在D盘下有个disk.img

添加为新检材,找到这个文件了,然后右键计算sha1 

17、请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]

3w.qax.com!!@@

 找到密码.txt,里面有。

当时在vc找了半天

18、请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]

3261

 仿真后打开starwind,里面有端口号

19、请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]

user/panguite.com

 打开targets,得知用户名是user

把starwind这一整个文件夹导出

用vscode打开,然后搜索user。里面有巨多结果。StarWind.cfg中的chapLocalSecret里面有答案

20、分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]

1019

 打开提现记录这张表,然后筛选mi51888,求和。。

本来这题也是对的。真di可惜

内存取证

21、请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:02:27

 使用vol

volatility -f "K:\计算机\memdump.mem" imageinfo

22、请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

3w.qax.com

 之前火眼分析的密码.txt文件里面有

23、提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:01:25

 火眼usb设备信息里面有

24、请给出用户yang88的LMHASH值?[答案格式:字母小写]

aad3b435b51404eeaad3b435b51404ee

还是vol

volatility -f "K:\计算机\memdump.mem" --profile=Win7SP1x64 hashdump

25.请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:29:16

先在火眼里面全局搜索提现记录,发现有这个文件,跳转到源文件

详细信息里面有说明

26、请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:47:41

 在用户记录里面搜索vc

27、分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

2

 火眼查看计算机检材的Chrome浏览器历史记录

后台记录

28、请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

2456

 volatility -f "K:\计算机\memdump.mem" --profile=Win7SP1x64 pslist

注意审题,最后一次

服务器取证 

29、分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]

3.10.0-957.el7.x86_64

仿真.qcow2文件

uname -r 

30.分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]

ff1d923939ca2dcf

当时也是拿宝塔分析的。错误了。。

在网站根目录下的.env文件中也有一个数据库root密码

31、分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

仿真,设置为nat模式

ip addr 查看ip地址

MOBAX ssh连接

在火眼里面分析,发现有宝塔面板

修改宝塔密码为123456

获得宝塔的登陆地址

访问内网面板地址

32、请给出涉网网站数据库版本号? [答题格式: 5.6.00]

参考检材和题目,需要恢复xb文件,就是mysql的备份文件,需要通过下面的软件实现

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm


yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

 接下来是数据恢复

进入opt,传入xb文件

mkdir -p /home/mysql/data 创建一个恢复数据库的目录

cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /home/mysql/data

通过xbstream恢复数据到data路径

cd /home/mysql/data/

innobackupex --decompress --remove-original /home/mysql/data
innobackupex --defaults-file=/home/mysql/data/backup-my.cnf --apply-log /home/mysql/data

进一步恢复数据

chown -R mysql:mysql /home/mysql/data将该路径设置为mysql的数据地址

vim /home/mysql/data/backup-my.cnf
#添加如下参数
lower_case_table_names=1
#注释如下不支持的参数:
#innodb_checksum_algorithm=crc32
#innodb_log_checksum_algorithm=strict_crc32
#innodb_data_file_path=ibdata1:200M:autoextend
#innodb_log_files_in_group=2
#innodb_log_file_size=1572864000
#innodb_fast_checksum=false
#innodb_page_size=16384
#innodb_log_block_size=512
#innodb_undo_directory=./
#innodb_undo_tablespaces=0
#server_id=1291154917
#redo_log_version=1
#server_uuid=dbd99726-2585-11eb-9ae1-78aa82d27dc0
#master_key_id=0
#innodb_encrypt_algorithm=AES_256_CBC

首先在宝塔中新建一个数据库

https://www.cnblogs.com/black-fact/p/11613361.html   绕过密码

迁移mysql数据库

还原数据库

mysql -V

5.7.40

33、请给出嫌疑人累计推广人数?[答案格式:100]

69

重构网站,通过火眼的数据库取证工具导出viplicai.sql

在宝塔中导入到新建的aaa数据库中

分析计算机,火眼里有前台和后台的登陆地址

修改网站的配置环境

进入前台url

注册,发现需要推荐id,从数据库里面找

注册成功去member表通过create-at查找新注册用户的密码,就是自己的

把用户密码复制到admins中

登录后台

查看会员管理

这里显示有70个,因为刚才我们注册了一个

34、请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

管理账号,其中有一个是禁用的

 

35、投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]

在项目新闻中直接搜

4.00%

36、最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

183.160.76.194

 管理账号里面

37、分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

 回到我的桌面,右下角有

38、分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

 回到数据库

39、分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]

128457.00

 会员管理搜yang88,有总额

40、分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]

17

 yang88的推荐号是513935

回到mysql的member表中查询,自己也是一个删掉

41、分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]

60

先查询有几个代理下线大于2,然后统计代理的个数

42、分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

骆潇原

 首先查询谁的邀请人最多,然后去找真名

 

43、分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]

15,078,796.38

利润就是收益减去支出

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/964031.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

黑客之批处理编写

文章目录 一、批处理作用二、如何创建批处理三、批处理语法 一、批处理作用 自上而下成批的处理每一条命令,直到执行最后一条。这里的命令指的是DOS命令,在之前的【黑客常用DOS命令】博客中,我介绍了大量的常用DOS命令。不过我们之前输入命令…

Lesson3-5:OpenCV图像处理---模版匹配和霍夫变换

学习目标 掌握模板匹配的原理,能完成模板匹配的应用理解霍夫线变换的原理,了解霍夫圆检测知道使用OpenCV如何进行线和圆的检测 1 模板匹配 1.1 原理 所谓的模板匹配,就是在给定的图片中查找和模板最相似的区域,该算法的输入包括…

C++之map,set,multimap,multiset的使用

map,set,multimap,multiset的使用 关联式容器键值对树形结构的关联式容器setset介绍set的使用set定义方式set各种操作函数 multiset mapmap的介绍map的使用insert函数find函数erase函数[ ]运算符重载map的迭代器遍历 multimap 关联式容器 在…

ARM编程模型-状态模式

ARM的两种工作状态 大部分的ARM处理器都实现了两种指令集,32位ARM指令集和16位Thumb指令集,看生成的机器码是32位的还是16位的 ARM v6引入了新的指令集Thumb-2,能够提供32位和16位的混合指令,在增强了灵活性的同时保持了代码的高密度。 ARM的…

Linux基础学习2

Linux基础学习2 popen函数 popen函数 https://blog.csdn.net/yzy1103203312/article/details/78483566 https://blog.csdn.net/xy1413_/article/details/127135608 典型用法: FILE * fp popen("ifconfig eth0", "r"); if (!fp) { fprintf…

再谈IOS开发环境配置(2023-09-01 新)

关于IOS的开发,需要配置证书、密钥、管理标识符、功能配置等等,很是繁杂,以前也配置过,这次因为重新购买了新的M1笔记本,准备重新配置下,顺便记录,以便查询。 如果要开发IOS,首先需要…

2023高教社杯数学建模思路 - 案例:ID3-决策树分类算法

文章目录 0 赛题思路1 算法介绍2 FP树表示法3 构建FP树4 实现代码 建模资料 0 赛题思路 (赛题出来以后第一时间在CSDN分享) https://blog.csdn.net/dc_sinor?typeblog 1 算法介绍 FP-Tree算法全称是FrequentPattern Tree算法,就是频繁模…

JVM学习(一)--程序计数器

作用:记住下一个jvm指令的执行地址 每一行java源代码,会被编译为多行jvm指令,上文所说的执行地址就是这里的0,3,4等 ,由于执行访问特别频繁,程序计数器的底层是有寄存器来实现的 特点: 线程私有&#xff…

爬虫进阶-反爬破解5(selenium的优势和点击操作+chrome的远程调试能力+通过Chrome隔离实现一台电脑登陆多个账号)

目录 一、selenium的优势和点击操作 二、chrome的远程调试能力 三、通过Chrome隔离实现一台电脑登陆多个账号 一、selenium的优势和点击操作 1.环境搭建 工具:Chrome浏览器chromedriverselenium win用户:chromedriver.exe放在python.exe旁边 MacO…

这段代码这么写有什么问题

这段代码这么写有什么问题? List<String> baseRelList1 new ArrayList<>();epmPersonList.forEach(Obj ->{interviewBacklogMessageList.forEach(t ->{if (!Obj.equals(t.getPsnNum())){baseRelList1.add(Obj);}});});这段代码存在一个问题&#xff0c;即…

transformer源码

1.传统RNN网络 每一层都需要上一层执行完才能执行 1.1 自注意力 在一句话中找到it_指代的是什么&#xff0c;它的上下文语境是什么&#xff1f; self-attetion计算 1.2 multi-header机制 1.3 堆叠多层self-attention&#xff0c;相当于再一次卷积 1.4 位置信息编码 1.5 残…

unity 场景烘焙问题之模型UV有重叠

问题现象&#xff1a;模型烘焙出来后&#xff0c;呈现黑色或布满脏斑&#xff0c;有可能是没有展UV&#xff0c;也有可能是UV重叠了 并且也会出现警告提示&#xff0c;如下图&#xff1a; 如果我们勾选了如下图,还在提示我们勾选&#xff0c;那可能就是 UV重叠了 解决方案 UV…

C++:输出系统时间(及报错处理)

#include <iostream> #include <ctime>using namespace std;int main() {// 基于当前系统的当前日期/时间time_t now time(0);cout << "1970 到目前经过秒数:" << now << endl;tm* ltm localtime(&now);// 输出 tm 结构的各个组…

【微服务】一张图搞懂微服务架构设计

一张图搞懂微服务架构设计 1.前言2.流量入口 Nginx3.网关4.业务组件5.服务注册中心6.缓存和分布式锁7.数据持久层8.结构型数据存储9.消息中间件10.日志收集11.任务调度中心12.分布式对象存储 1.前言 当前&#xff0c;微服务架构在很多公司都已经落地实施了&#xff0c;下面用一…

气象科普丨气象站的分类与应用

气象站是一种用于收集、分析和处理气象数据的设备。根据不同的应用场景和监测需求&#xff0c;气象站可以分为以下几类&#xff1a; 一、农业气象站 农业气象站是专门为农业生产服务的气象站&#xff0c;主要监测土壤温度、土壤湿度等参数&#xff0c;为农业生产提供科学依据…

高效率、高质量的DMG映像制作:DMG Canvas for mac,助你轻松实现

如果你是一位开发者或企业用户&#xff0c;你一定知道DMG磁盘映像文件在分发应用程序或文件时的重要性。DMG磁盘映像文件可以让用户轻松地创建磁盘映像&#xff0c;并将其挂载到Mac电脑上&#xff0c;从而方便地安装或使用应用程序或文件。 然而&#xff0c;传统的DMG磁盘映像…

数学之美 — 1

为什么你会想和他人共享那些美丽的事物呢&#xff1f;因为这会让他&#xff08;她&#xff09;感到愉悦&#xff0c;也能让你在分享的过程中重新欣赏一次事物的美。 ——David Blackwell 1、感官之美&#xff0c;对于那些有规律的事物&#xff0c;你可以利用自己的视觉、触觉、…

CodeBlocks20.03配置wxWidgets

背景 - 现在是2023年 1. 很多年前&#xff0c;下载使用CodeBlocks就发现里面有自带的wxWidgets Project的项目&#xff0c;然而一路Next下去出来的程序根本就不能运行&#xff0c;心有不甘&#xff1b; 2. 前几年&#xff0c;用python做小工具的时候&#xff0c;界面用的wxPy…

AutoSAR CP 飞阅TIME

目录 什么是autosar autosar 做了什么 Foundation、CP、AP CLASSIC PLATFORM &#xff08;CP&#xff09; ADAPTIVE PLATFORM 基于autosar 开发 SWC Port Runnables RTE BSW MCAL CDD I/O Hardware Abstraction Communication Hardware Abstraction Memory Har…

Navicat介绍及下载安装教程

Navicat是一个广泛使用的数据库管理工具&#xff0c;可用于管理多种数据库系统&#xff0c;如MySQL、MariaDB、Oracle等。它提供了丰富的功能&#xff0c;使得管理数据库变得更加容易和高效。安装Navicat十分简单&#xff0c;只需下载安装包并按照向导进行操作即可。在安装完成…