2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

WriteUp 11个月前 admin
1,060 0 0

 本来思绪混乱,想摆烂的,龙哥说Misc可能能出二血,一下子来劲了,虽然后面卡住了没拿到二血,但还是发挥了队伍中定海神针的作用,不得不说,龙哥tql,作为取证手,自然也不能拖团队的后腿,用尽我毕生绝学AK了取证题(大佬勿喷)

 

带*号的题是比赛的时候写错了的题,但本文中的答案应该是正确答案了(仅供参考,如有错误还请大佬指正)

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

取证检材容器密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

01

案情介绍

2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目。

02


APK取证

1、涉案apk的包名是?[答题格式:com.baid.ccs]

com.vestas.app

APPK Messenger查看

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

2、涉案apk的签名序列号是?[答题格式:0x93829bd]

0x563b45ca

雷电APP智能分析

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

*3、涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]

2147483647

不知道出题方的标准答案到底是哪个

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在AndroidManifest.xml中搜索DCLOUD_AD_ID即可

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

4、涉案apk的服务器域名是?[答题格式:http://sles.vips.com]

https://vip.licai.com

星源

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

或者抓包也可以

 

5、涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]

io.dcloud.PandoraEntry

MainActivity

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

 

 

03


手机取证

6、该镜像是用的什么模拟器?[答题格式:天天模拟器]

雷电模拟器

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在/Logs/VBox.log中也可以看到

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

7、该镜像中用的聊天软件名称是什么?[答题格式:微信]

与你

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

8、聊天软件的包名是?[答题格式:com.baidu.ces]

com.uneed.yuni

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

9、投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]

5万
2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

10、受害人是经过谁介绍认识王哥?[答题格式:董慧]

华哥

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

 

04


计算机取证

11、请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]

23f861b2e9c5ce9135afc520cbd849677522f54c

xways直接看属性

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

12、给出pc.e01在提取时候的检查员?[答案格式:admin]

pgs

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

*13、请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]

http://go.microsoft.com

仿真进入IE浏览器

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解查看注册表

win+R,输入regedit进入注册表编辑器

IE首页在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page下

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解不知道http://global.bing.com为什么错了

在火眼里面可以看到IE书签中还有一个主页地址,正确答案可能是这个

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

14、请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]

yang88/3w.qax.com
2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]

2023春季更新(14309)

仿真,进WPS看

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

在D盘下有个disk.img

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

添加为新检材

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

17、请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]

3w.qax.com!!@@

容器文件是disk.img中的20134133datqwer.txt

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

盘古石计算机取证分析内存镜像,得到VC密钥,导出

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

将容器作为镜像导入盘古石计算机分析,可以看到一个VC加密的分区

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

右键使用内存密钥文件进行VC解密

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在重要资料.xlsx中找到密码

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

18、请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]

3261

仿真,在starwind中

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

19、请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]

user/panguite.com

在starwind中可以看到用户名为user

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

导出StarWind目录

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

VSCode打开目录,搜索user,找到StarWind.cfg中的chapLocalSecret

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

20、分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]

1019

打开VC容器中的提现记录.xlsx,筛选出用户mi51888的记录,然后对amount列求和

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

 

05


内存取证

21、请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:02:27

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

22、请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

3w.qax.com

mimikat插件

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

23、提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:01:25

usbstor插件,时间+8

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

24、请给出用户yang88的LMHASH值?[答案格式:字母小写]

aad3b435b51404eeaad3b435b51404ee

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

*25、请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:29:16

比赛的时候写错了

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

搜索URL编码的提现记录.xlsx:

%E6%8F%90%E7%8E%B0%E8%AE%B0%E5%BD%95.xlsx

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

26、请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:47:41

火眼分析计算机检材中查看用户痕迹

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

27、分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

2

火眼查看计算机检材的Chrome浏览器历史记录

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

28、请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

2456

查看进程列表

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

 

06


服务器取证

29、分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]

3.10.0-957.el7.x86_64

仿真.qcow2文件后uname -r

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

*30、分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]

ff1d923939ca2dcf

比赛的时候是看的宝塔面板里面的root密码,但是这个密码错了

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

查看宝塔面板日志发现密码被修改过

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在网站根目录下的.env文件中也有一个数据库root密码

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

31、分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

改个密码进宝塔面板

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

*32、请给出涉网网站数据库版本号? [答题格式: 5.6.00]

5.7.40

在宝塔面板中找到数据库root密码bad11d923939ca2dcf

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

进入数据库,发现只有自带的四个数据库

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

检材给了一个xb文件

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

参考文章:

https://blog.csdn.net/weixin_40230682/article/details/118703478

还原数据库

安装qpress

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"tar xvf qpress-11-linux-x64.tarchmod 775 qpresscp qpress /usr/bin

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

安装xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

ftp把.xb数据库传到服务器上

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

使用xbstream处理qp.xb文件

cat 8p47w1251_qp.xb | xbstream -x -v -C /www/server/data

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

进入/www/server/data进行解压

cd /www/server/datainnobackupex --decompress --remove-original /www/server/datainnobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/datachown -R mysql:mysql /www/server/data

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

这里报错了但是不影响

修改mysql配置文件

vim /etc/my.cnf#在[mysqld]块下添加lower_case_table_names=1

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

重启mysql服务

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

发现登录不进数据库

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

修改mysql配置文件,添加skip-grant-tables跳过登录验证

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

再次重启mysql服务器后进入数据库

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

可以看到数据库成功被重构

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

给网站添加一个ip为域名,或者修改hosts

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

进入网站,报错

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

修改网站目录下的.env文件

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在火眼分析计算机时可以找到后台登录的地址/AdminV9YY/Login

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

使用admin/123456登录提示密码错误

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

找到登录源码

/www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php

修改登录的判断逻辑

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

任意密码都能成功登录

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

这里比赛的时候进后台看的MySQL版本,被坑了,正确答案是服务器中的MySQL版本

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

33、请给出嫌疑人累计推广人数?[答案格式:100]

69

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

34、请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

这里查看数据库发现还有个root用户为超级管理员

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

切换到root用户登录,这里有个小坑,网站后台启用的超级管理员是admin

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

35、投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]

4.00%

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

36、最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

183.160.76.194

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

37、分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

38、分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

使用宝塔面板的phpmyadmin和Navicat连接数据库,由于没有开启外连,Navicat走ssh隧道连接

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

在phpmyadmin中可以看到member为会员表

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

进行SQL查询

SELECT * FROM `member` WHERE bankaddress LIKE '%上海%'

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

39、分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]

128457.00

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

40、分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]

17

受害人叫陈昊民

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

推荐人也就是上线ID为513935,就是嫌疑人

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

到数据库中查询

SELECT COUNT(*) FROM `member` WHERE inviter = '513935'

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

41、分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]

60

查询到60条

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

*42、分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

骆潇原

比赛的时候直接翻的后台,填的嫌疑人的名字,其实还是要看数据库

筛选出最多下线的代理人

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

查看真实姓名

SELECT realname FROM `member` WHERE invicode = 617624

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

 

43、分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]

15,078,796.38

phpmyadmin可以看到流水明细表为moneylog

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

统计金额为正也就是入账的钱数

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

统计金额为负也就是转出的钱数

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

相减得到收益

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解


 

点点关注不迷路

喜欢的看官还请多多点赞收藏

原文始发于微信公众号(XiAnG学安全):2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解

版权声明:admin 发表于 2023年8月27日 下午6:02。
转载请注明:2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...