2024FIC初赛暨2024第四届全国网络空间取证竞赛初赛
1 | 2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。 |
手机取证
1、嫌疑人李某的手机型号是?[Xiaomi MI 4]
\system\users\0\settings_global.xml的device_name
2、嫌疑人李某是否可能有平板电脑设备,如有该设备型号是?[Xiaomi Pad 6S Pro 12.4]
在wifi的连接记录里面\misc\wifi\WifiConfigStore.xml
3、嫌疑人李某手机开启热点设置的密码是?[5aada11bc1b5]
在安卓设备上,**/misc/wifi/softap.conf** 文件用于存储与设备“热点”(Wi-Fi Tethering/Soft AP)相关的配置。
1 | 1. SSID(网络名称) |
4、嫌疑人李某的微信内部ID是?[wxid_wnigmud8aj6j12]
此时的检材是嫌疑人李某的
或者我们可以在 微信用户的uin,可能是负值,在shared_prefs/auth_info_key_prefs.xml文件中_auth_uin的值里面进行寻找;使用川哥的解密工具对\data\com.tencent.mm\MicroMsg\a4acf80ba7af680ea2f4be21d60063d8\EnMicroMsg.db数据库
5、嫌疑人李某发送给技术人员的网站源码下载地址是什么?[http://www.honglian7001.com/down]
提取到图片位置:THUMBNAIL_DIRPATH://th_2f21027c469ad0b409f06197d24be733
扫码后得到明文
解码
6、受害者微信用户ID是?[limoon890]
继续在微信数据库进行翻找
拿到wxid后去rcontact表进行筛选
1 | 区分系统生成的微信 ID: |
7、嫌疑人李某第一次连接WIFI的时间是?[03-14 16:55:57.249]
8、分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?[16-18]
聊天记录一条条看可以发现基本处于16-18
9、请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号ID为?[wxid_kolc5oaiap6z22]
根据案情提示只剩苏某没有落网
10、请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为?[格式:192.168.110.110:8000/login]
根据前面的聊天可以知道涉案嫌疑人的上级为沈某
服务器集群部分
原本打算使用手动仿真的方法来做题的,过程中将ftk的各个版本试了一遍后发现还是不行,接下来继续尝试了ArsenalImageMounter依旧是在仿真时出现”磁盘已被占用”的报错,最后还是使用了火眼进行仿真。
1、ESXi服务器的ESXi版本为?[6.7.0]
2、请分析ESXi服务器,该系统的安装日期为:[2024.3.12]
3、请分析ESXi服务器数据存储“datastore”的UUID是?[65efb8a8-ddd817f6-04ff-000c297bd0e6]
4、ESXI服务器的原IP地址?[192.168.8.112]
5、EXSI服务器中共创建了几个虚拟机?[4]
6、网站服务器绑定的IP地址为?[192.168.8.89]
我们先在esxi中进入网站服务器,接下来手动绕过密码并进入单用户模式;最后在/etc/sysconfig/network-scripts/进行查找
7、网站服务器的登录密码为?[qqqqqq]
原本以为不需要导出虚拟机的,最后发现还是要导出虚拟机不然没法对root的shadow进行爆破。
接着导出shadow;爆破后得到密码为qqqqqq
8、网站服务器所使用的管理面板登陆入口地址对应的端口号为:[14131]
仿真之后ssh连接,测试后发现为宝塔面板
9、网站服务器的web目录是 [webapp]
先对宝塔的密码进行修改后,我们登入宝塔面板先去看ng的配置再去看面板中默认配置发现不一样
上机进行排查后发现wwwroot目录下为空,webapp下存在源码
10、网站配置中Redis的连接超时时间为多少秒 [0]
11、网站普通用户密码中使用的盐值为 []
涉及到登录的加密流程的细节一般会在源码中进行体现,我们进入webapp将源码导出;像这种就直接搜索关键词
1 | login |
12、网站管理员用户密码的加密算法名称是什么?[bcrypt]
直接对着答案进行搜索即可
13、网站超级管理员用户账号创建的时间是?[2022-05-09 14:44:41]
在这台服务器上没有存在数据库的相关信息,回到宝塔界面查看数据库是否部署在另外的服务器上面
回到esxi中可知实在data这台虚拟机上面运行的服务
依旧是先将其镜像导出进行分析;导出后仿真然后连接数据库进行查看
14、重构进入网站之后,用户管理下的用户列表页面默认有多少页数据?[877]
重构网站我是按照wp来进行得
进入网站后
15、该网站的系统接口文档版本号为?[3.8.2]
16、该网站获取订单列表的接口?[/api/shopOrder]
17、受害人卢某的用户ID?[10044888]
18、受害人卢某一共充值了多少钱?[465222]
19、网站设置的单次抽奖价格为多少元?[]
20、网站显示的总余额数是?[7354468.56]
21、网站数据库的root密码?[]
这题被我在登录宝塔的时候重置了,看了一下wp可以直接在宝塔界面寻找
22、数据库服务器的操作系统版本是?[]
1 | cat /etc/redhat-release |
23、数据库服务器的Docker Server版本是?[]
1 | docker version |
24、数据库服务器中数据库容器的完整ID是?[9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765]
1 | docker inspect 9b |
25、数据库服务器中数据库容器使用的镜像ID?[66c0e7ca4921]
1 | docker images |
26、数据库服务器中数据库容器创建的北京时间是?[2024/3/13 20:15:23]
utc+8
27、数据库服务器中数据库容器的ip是?[172.17.0.2]
28、分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是【答题格式:255.255.255.0】
29、分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是【答题格式:255.255.255.0】
30、数据库中记录的提现成功的金额总记是多少(不考虑手续费)【答题格式:20.12】
31、rocketchat服务器中,有几个真实用户?【3】
依旧是先提取出来
在此之前我们先进行仿真,但是仿真后遇到显示不出ip
1 | ifconfig |
依旧还是无法显示出ip地址,那么此时我们可以先考虑配置dhclient
1 | 查找网络接口名 |
然后再配置ssh连接时要注意开启ssh配置 /etc/ssh/sshd_config下的permitrootlogin
发现服务在docker中
账号密码见pc8
32、rocketchat服务器中,聊天服务的端口号是?【3000】
33、rocketchat服务器中,聊天服务的管理员的邮箱是?【admin@admin.com】
34、rocketchat服务器中,聊天服务使用的数据库的版本号是?【5.0.24】
35、rocketchat服务器中,最大的文件上传大小是?(以字节为单位)【答题格式:104857600】
36、rocketchat服务器中,管理员账号的创建时间为?[2024-03-14 08:19:54.951]
此时数据库的连接我们使用ssh加容器本身的ip地址进行连接
37、rocketchat服务器中,技术员提供的涉诈网站地址是?[http://172.16.80.47]
38、综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少【35】
39、综合分析服务器,该团队“杀猪盘”收网的可能时间段为?[2024/3/15 16:00:00-17:00:00]
40、请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?【答题格式:lao@su.com】
老苏没有落网
41、分析openwrt镜像,该系统的主机名为【答题格式:MyPC】
42、分析openwrt镜像,该系统的内核版本为【答题格式:12.34.56】
43、分析openwrt镜像,该静态ip地址为【答题格式:192.168.1.1】
44、分析openwrt镜像,所用网卡的名称为【答题格式:abc123】
45、分析openwrt镜像,该系统中装的docker的版本号为【答题格式:12.34.56】
46、分析openwrt镜像,nastools的配置文件路径为【答题格式:/abc/abc/abc】
47、分析openwrt镜像,使用的vpn代理软件为【答题格式(忽略大小写):abc123】
48、分析openwrt镜像,vpn实际有多少个可用节点【答题格式:6】
49、分析openwrt镜像,节点socks的监听端口是多少【答题格式:1234】
50、分析openwrt镜像,vpn的订阅链接是【答题格式:http://www.baidu.com/aaa/bbb/ccc/ddd?privatekey=abc123456789】
计算机取证
1、分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?[FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6]
注意这个时候需要的是原始镜像(而不是e01镜像的)的sha1值,我们使用计算哈希的功能进行计算
2、分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?[B25E2804B586394778C800D410ED7BCDC05A19C8]
3、据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值? [E6EB3D28C53E903A71880961ABB553EF09089007]
4、据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?[qwerasdfzxcv]
同级目录下面
此时发现无法进行挂载;再次查看这张图片后发现密码为qwerasdfzxcv
5、分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么?[404052-011088-453090-291500-377751-349536-330429-257235]
对加密容器进行挂载
6、分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是:[146 794 496]
7、分析技术员赵某的windows镜像,默认的浏览器是?[Google Chrome]
8、分析技术员赵某的windows镜像,私有聊天服务器的密码为:[Zhao]
利用上面的密钥来解密分区
9、分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?[www.585975.com]
10、分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?[roop]
11、分析技术员赵某的Windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为:[]
此时找到roop的使用教程;发现是要运行python run.py
我们直接定位到consoleHost_history.txt这个cmd的历史文件
12、分析技术员赵某的Windows镜像,ai换脸生成图片的参数中–similar-face-distance值为:[]
13、分析技术员赵某的Windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为:[]
14、分析技术员赵某的Windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?[http://hi.pcmoe.net/buddha.html]
1 | \Users\L\AppData\Local\Google\Chrome\User Data\Default\History |
15、分析技术员赵某的Windows镜像,赵某架设聊天服务器的原始IP地址为?[192.168.8.17:3000]
聊天室的信息在手机取证那里有提到192.168.8.17
16、分析技术员赵某的Windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?[2024-03-14 20:32:08]
17、分析技术员赵某的Windows镜像,openwrt的后台管理密码是:[hl@7001]
在服务器集群部分可知:openwrt的地址为192.168.8.5
18、分析技术员赵某的Windows镜像,嫌疑人可能使用什么云来进行文件存储?[]
在历史记录中可以发现使用易有云进行存储
19、分析技术员赵某的Windows镜像,工资表密码是多少?[aa123456]
爆破得到密码aa123456
20、分析技术员赵某的Windows镜像,张伟的工资是多少?[28300]
