2023年第一届“龙信杯”电子数据取证竞赛参考wp

本文中的思路和答案仅代表个人观点，正确答案待公布，以主办方的答案为准，如有错误之处请大佬指正

参考了toto的文章：

https://blog.csdn.net/jyttttttt/article/details/133277186

也有自己不同的见解

检材链接：https://pan.baidu.com/s/1ITyZI5uZHrvF7ara0JRNzQ?pwd=8a0z 容器密码：RLEQc2Xe65Q5GiCuRNMFrw==

01

—

      2023年9月，某公安机关指挥中心接受害人报案：通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。

       公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。 犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

移动终端取证

1、请分析涉案手机的设备标识是_______。（标准格式：12345678）

85069625

比赛的时候竟然看走眼了，没看到设备标识，填了MEID码

2、请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

2022-11-16.19:11:26

目标APP是甜心密聊

龙信软件找到安装时间

比赛的时候没加点，白白丢分了

3、此检材共连接过______个WiFi。（标准格式：1）

6

4、嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

17

5、嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

http://m.ziyuanhu.com/pics/1725.html

在www.ziyuanhu.com有下载缓存

网址

6、请分析涉案海报的推广ID是________。（标准格式：123456）

114092

在夸克的下载缓存里面可以预览到海报样式

翻手机检材中的jpg文件找到

7、嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1

有一条发送不成功的

8、通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

Gq20221101

9、请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

com.chuci.voice

10、号商的联系人注册APP的ID是_________。（标准格式：12345678）

36991915

11、嫌疑人于2022年11月份在_______城市。（标准格式：成都）

苏州

图片有经纬度

坐标查询

12、嫌疑人共购买_______个QQ号。（标准格式：1）

8

新买5个+之前三个

APK取证

1、分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

d56e1574c1e48375256510c58c2e92e5

安装包位置

找到安装包base.apk

雷电

2、分析该apk，apk的包名是________。（标准格式：com.qqj.123）

lx.tiantian.com

3、分析该apk，apk的包名是________。（标准格式：com.qqj.123）

1.0

4、分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

12

AndroidManifest.xml

5、分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6、分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

android.permission.READ_SMS

不知道为什么这个错了

7、APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8、分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

app.goyasha.com

星源

9、分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

源码搜salt

10、分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

lxtiantiancom

和salt在一起

11、对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

H5D9D11EA

12、此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

192.168.5.80

星源

13、分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

ade4b1f8a9e6b666

比赛的时候交的是MainActivity里面那个key，错了，那个是后台的key

代码搜key找到另外一个

找到这个skey

查找用例

在MainActivity中，调用了这个类的encrypt方法对获取到的信息进行加密

14、结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

4008522366

蒙的方法就是到龙信官网找电话

因为从apk的签名看作者是龙信

看toto爷的博客，在后面计算机分析中的容器里面的重要信息.txt，得到AES密文：

TcqEuGVHU79gZKMtzsAJXyYwdiLMcUqUw4jLuxg5K9v/tn5eooDOny11NI4bv4Jb

结合前面apk分析中的key和iv

AES解密

介质取证

1、对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

Longxin360004

这个用火眼，火眼直接绕过了，用龙信的仿真卡住了，最后用的盘古石

选择不修改密码

输入错误一次密码后会出现提示密码是Longxin+工号

结合后面的工资表得到嫌疑人工号，加上Longxin得到计算机密码

2、涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

2023-09-16.18:20:34

比赛的时候没加点

3、分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

13小时41分16秒

9:42:52+01:27:01+01:04:27+01:26:39+00:00:17

4、对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是

5、检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

Mimi1234

Bitlocker密钥用的耗时任务

解密分区，看到我的秘密.jpg，隐写，查看16进制

解base64

6、接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

19821

微信是无法完全解析的，但是够找到工资条

但是压缩包还有一个工资条，用上一题得到的密码解压

解密Bitlocker后可以看到一个微信密钥

使用取证大师导入微信密钥对微信解密

直接得到工资条在和朋友的聊天记录中

而zip文件是老大主动向嫌疑人提起看一下工资条

7、对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

Longxin@2023

仿真，进edge浏览器输系统查看保存的密码

8、结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:XX1.txt）

C:Program Files (x86)TencentWeChat2.png

使用火眼的耗时任务中的OCR分析，搜之前得到的推广ID

9、请找出嫌疑人的2022年收入共_______。（标准格式：123）

205673

用2.png作为密钥文件去解容器

用盘古石挂一下容器，使用密钥文件解密一下，可以看到被删除的2022年总收入.xlsx

求和

10、分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6320005020052013476

2.png里面隐写

虚拟币分析

1、分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

ETH

在前面的容器里面有个111.npbk夜神模拟器备份，解压得到vmdk用火眼分析

2、分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

4.4981

备份导入夜神模拟器，刚打开的时候会显示余额，但是马上会变成0，重新导入断网打开

3、根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

有三次转账记录

根据案情先由卖币方转0.5个ETH到买币方钱包，模拟器中的钱包地址是卖币方的，命名为中转地址是一个挖坑的点，0.5ETH是直接转到买币方地址，其他两笔是转给中间人的

4、根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

150.5

5、在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A. raw sausage art hub inspire dizzy funny exile local middle shed primary

B. raw sausage art hub inspire dizzy funny middle shed primary

C. raw sausage art funny exile local middle shed primary

A

6、假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA

C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

B

管理钱包中使用助记词添加钱包，密码任意输入

流量分析

1、分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A. DDoS攻击

B. DoS攻击

C. SQL注入

D. 文档攻击

B

在数据包1统计-会话中可以看到，有明显大量的流量从120.210.129.29发送到10.5.0.19

筛选出源ip为120.210.129.29的流量，发现到后面很多发送失败的数据包

筛选出目标ip为10.5.0.19的流量，请求异常的流量都是来自120.210.129.29这一个ip，所以是DoS攻击

2、分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

10.5.0.19

如上题分析

3、分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

120.210.129.29

查看HTTP协议的导出对象列表，按照大小倒序排列，可以看到是120.210.129.29这个ip传输了java.log文件

4、分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：小写，无中文）

struts2

筛选出发送java.log的流量包，追踪TCP流

发现是ELF文件，导出来用沙箱分析是恶意文件

往前看tcp流，是通过访问login.action在Content-Type插入payload进行代码执行从120.210.129.29:5198下载java.log文件的

搜索payload关键词

5、分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

6、分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

导出HTTP对象，看最大的

找到这条流量

URL解码

7、分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

admin:passwd

追踪TCP流，流0和流1都是401未认证

在流2这里响应200了，主要看请求头中的Authorization

base64解码，这里题目有歧义，标准格式更是逆天

8、分析“数据包2.cap”，其下载的文件大小有________字节。（标准格式：123）

211625

导出HTTP对象中第6题提到的mail.png，查看属性

服务器取证1

1、服务器系统的版本号是_______。（格式：1.1.1111）

7.9.2009

2、网站数据库的版本号是_______。（格式：1.1.1111）

5.6.50

3、宝塔面板的“超时”时间是_______分钟。（格式：50）

120

7200/60

4、网站源码备份压缩文件SHA256值是_______。（格式：64位小写）

0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39

备份在/www/backup/site/wwwroot.tar.gz

5、分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。（格式：abcd）

7f5918fe56f4a01d8b206f6a8aee40f2

在服务器中编辑mysql配置文件/etc/my.cnf，在[mysqld]下加入skip-grant-tables，保存退出后重启MySQL服务实现免密登录

因为用户不准外连所以，Navicat走SSH隧道连接

修改网站目录下的/app/database.php中的数据库地址为localhost

保存后添加hosts将ip与网站域名绑定，访问

访问/admin跳到后台

任意密码登录，提示密码错误

vscode打开网站源码搜索“密码错误”关键词

在验证密码的时候调用了password函数对Post提交的密码进行处理，找到函数定义

可以看到函数return的结果是密码进行一次md5，拼接这个$password_code的md5，再进行一次md5，所以盐值应该是md5($password_code)的值

6、分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式：1234）

67097

修改/app/admin/controller/Common.php中的判断登录的逻辑

直接任意密码登录后台

通讯录查看

7、全部网站一共有_______名受害人。（格式：xxx。不去重,不进行数据恢复）

506

在服务器1上的网站是wiiudot.com、sb.wiiudot.com和tf.chongwuxiaoyouxi.com

wiiudot.cn的数据库是sql_0731_wiiudot

sb.wiiudot.cn的数据库是sb_wiiudot_cn

tf.chongwuxiaoyouxi.com的数据库是sanye123

受害人是被获取了手机号的用户，不在app_user表，在app_mobile表

分别筛选出受害用户数量（每个网站内去重）

一共506个

8、分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。（格式：数字）

26

和前面的站一样的思路，改database.php中的数据库地址，修改登录判断逻辑

光这样不行，会提示连接断开，复制sb.wuiidot.cn的伪静态规则即可

任意密码登录

筛选出有26个

9、分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。（格式：xxx）

443074

app_admin表记录了管理员信息

app_appconfig表记录了管理员id与邀请码对应的信息

SQL查询

10、分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。（格式：xxx）

KE5f3xnFHYAnG5Dt

找到mysql数据库中的user表

md5解不出

在网站配置文件中有一个密码

在网站备份里面也有一个密码

因为配置了mysql免密登录，如果需要验证密码的话又需要修改my.cnf

将mysql里面的加密密码保存到mysqlpass.txt，database.php中的两个密码保存到pass.txt，使用john指定字典进行爆破

服务器取证2

1、请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

/home/wwwroot

查看宝塔默认信息发现没有内网地址

不过也可以替换ip直接访问

重置密码后登录

默认建站目录在面板设置里面

2、在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

char(128)

宝塔数据库目录在/www/server/data

每个数据库文件夹都是只有一两个文件

在gtc这个数据库中找到了一个goooooyasha.frm

宝塔面板的phpmyadmin访问一下

用火眼看得到长度

3、请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

jinrong.goyasha.com

4、请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_______。（标准格式：abcdefghijklmnopqrstuvwsyz）

d2174d958131ebd43bf900e616a752e1

查看网站数据库配置文件可知乐享金融的数据库是sjp

在宝塔中可以看到数据库有备份

导入一下备份，然后用面板中的phpmyadmin进入数据库

找到源码中添加用户的函数

可以看到密码的加密逻辑是将upwd拼接utime进行md5，这里题目给出的upwd为123456，到用户表wp_userinfo中找到goyasha用户对应的utime

进行md5

5、请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）

睿文化

题目说到在页面logo上的文字，知觉告诉我并不是写死在代码里面或者数据库里面的文字，极有可能是张图片

找到网站源码中找到首页对应的

/application/index/view/index/index.html

使用浏览器打开html文件

F12查看顶部的图片地址

找到图片

6、请分析“乐享金融”一共添加了_______个非外汇产品。（标准格式：5）

1

找到产品种类表wp_productclass，得到外汇种类的产品pcid为5

找到产品信息表wp_productinfo

统计一下没有被删除的产品分类id不为5的产品数量

看toto爷的博客发现他的数据库里面还有一个

7、请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

85CF33F97B46A88C7386286D0270CB3E

在wp_rcset表翻到地址

8、请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

101000087

找到含有充值记录的表wp_price_log

查询出uid及其对应的充值总金额

充值金额大于582402元的受害人只有uid为2910和2896这两个，充值金额相加

9、请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

kongxin

在wp_bankcar表中找到6239039472846284913对应的持卡人姓名是张教瘦

对应uid到wp_userinfo表中找到username用户名为kongxin

10、请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_______。（标准格式：1888.668）

2896.924

交易记录wp_order表

建仓时间转时间戳1646131441，平仓时间转时间戳1646131921

筛选出记录

11、请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。（标准格式：2022-1-11.1:22:43）

2021-12-09 09:52:23

时间戳转换

12、宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A. Windows 8.1

B. Windows 10

C. Windows 11

D. Windows Server 2000

A

宝塔面板的访问日志在/www/server/panel/logs/request目录下

在2022-07-23的日志中找到访问记录

Windows NT 6.3对应Windows 8.1

13、请分析该服务器镜像最高权限“root”账户的密码是_______。（标准格式：a123456）

g123123

使用rockyou.txt配合john爆破shadow

还有一种解法

在/www/server/panel/config/ssh_info目录下存了ssh登录凭证，但是有两个

VSCode打开宝塔源码，搜索info.json，在shh_terminal.py定位到get_ssh_info()函数

发现是对info.json进行了AES解密，找到public.py中的aes_decrypt()函数的定义

传入的参数是data和key，并且调用了panelAes.py中的aescrypt_py3对数据进行解密

查找传入的key：_pass_str来自_pass_file

_pass_file来自宝塔面板目录下的/data/a_pass.pl

找到key为uzp3nuNqq0UGcSqp

在panelAes.py中找到aescrypt_py3()函数，使用的是ECB模式

尝试解密

得到两个密码：123456/g123123

查看历史命令可以看到修改过一次root用户的密码

对比两个文件的修改时间，正确的密码应该是g123123

点点关注不迷路

喜欢的看官还请多多点赞收藏