2024FIC决赛暨2024第四届全国网络空间取证竞赛决赛
案件背景
1 | 案件背景: |
计算机介质部分
1、请分析卢某的计算机,并计算原始检材的SHA256值。[484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634]
2、嫌疑人回收站中的“备忘录.txt”文件SHA1 值为?[FDED9342533D92FA46FC4AABD113765A7A352CEB]
先把备忘录的东西保留一下
1 | mobaxterm mobapass00 |
3、嫌疑人使用ssh连接工具,该工具的名称为?【MobaXterm】
4、嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:122】
5、在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】
在\Users\Luck\Pictures\Saved Pictures\下面存在
6、软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:15】
直接搜索关键词QtScrcpy
统计完一共15台
7、嫌疑人桌面文件“老婆.png”的SHA256哈希值为?【答案格式:02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF1】
8、嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】
9、嫌疑人桌面”2024年3月13日星期三 日报.docx”文档密码为?【答案格式:Abc123】
10、嫌疑人使用的AI软件名称为?【答案格式:stable-diffusion-webui】
在日报中存在与ai相关的内容
结合用户目录下安装的文件可以知道软件名为:stable-diffusion-webui
11、嫌疑人使用的AI软件监听端口为?【答案格式:7890】
根据函数名我们可以猜测这个软件存在一个web的图型化界面
这个时候我们去浏览器的历史记录中看看
12、AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:41】
13、嫌疑人使用AI软件生成燃烧的汽车图片使用的模型SHA256哈希值为?[22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C]
查看模型为v1-5-pruned-emaonly
然后再文件系统中搜索该模型并计算hash
14、嫌疑人使用AI软件生成燃烧的 汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?
依旧实在日报这个文档中
15、嫌疑人桌面文件”老婆.png”的图像生成种子是__。【答案格式:3719279995】
PVE虚拟化部分
先改个cpu的配置文件/usr/share/perl5/PVE/Qemuserver.pm;注释掉
1、PVE虚拟化平台版本号为?【答案格式:8.1.4】
2、PVE虚拟化平台的web管理地址为?【答案格式:192.168.71.133:8006】
3、在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:7】
4、PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.100.0/24】
5、PVE虚拟化平台中“120(Luck)”虚拟机的smbios uuid为?【答案格式:e9990cd6-6e60-476c-bd37-1a524422a9a8】
6、在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:4】
7、在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式: lxc-attach 110】
因为我们在仿真之后输入了几条命令,所以这部分还是要回到镜像分析中查看较好
8、请分析嫌疑人最近一次销毁虚拟机的时间为?[.2024-03-22 18:15:17]
9、PVE虚拟化平台的openEuler系统镜像下载的开始时间为?【2024-03-12 12:04:19】
或者我们直接搜索也可以
10、根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为?[2024-03-13 9:43:23]
软路由部分
1、软路由root用户的密码是?【答题格式:OP2024fic】
在前面的计算机介质部分我们可以知道Moba里面的历史连接记录
然后启动路由机器看一下地址即可以对应出相应的密码
2、软路由管理面板所用http协议监听的端口为?【答案格式:7001】
使用命令netstat -antp后发现存在8080监听端口,进行访问
3、软路由的系统版本号为?【答案格式: 23.05.2】
4、软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】
5、软路由防火墙端口转发规则有多少条记录【答案格式:17】
6、OpenClash控制面板登录密钥为?【答案格式:MCoYZFwg】
7、OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:MCoYZFwg】
8、OpenClash的订阅地址为?【答案格式:https://www.amrth.cloud/s/FnT83dutLWlF5via?clash=2 】
9 、代理节点“香港501 中继 动态”的服务端口为?【答案格式:42001】
10、OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】
1 | /etc/opkg/distfeeds.conf |
云手机部分
1、PVE虚拟化平台的虚拟机“101(node1)”的droid用户登录密码为?【答案格式:droid2024fic】
还是前面mobax的连接密码,一个个试发现密码是droid2024fic
2、PVE虚拟化平台的虚拟机“101(node1)”中Docker容器的镜像ID的前六位为?【答案格式:d1d4bf】
3、在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:5】
4、在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)? 【答案格式:2】
5、在PVE虚拟化平台的“101(node1)”虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多少?【答案格式:】
在虚拟机中启动该容器;然后进入容器后查看mac地址
又因为是存在手机容器,所以此时我们也可以使用火眼将其添加为新检材去做安卓分析
6、警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端口可以明确是取证时使用过的端口?【23333、24444】
发现取证软件
也就是说使用雷电手机取证软件通过软路由进行远程取证的云手机为node2中
注意规则都是以2开头的端口
7、在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式:5555】
8、在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【0CE8F95BA0401769A9F4860749CC8206】
9、根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式:3791621185】
10、通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式:shop.jshcloud.cn】
传销网站部分
1、涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?
这个时候在虚拟仿真化中没有我们要的sql服务器;我们要想办法把它剥出来;尝试了许多工具发现都不行;后面需要重新仿真并不启动虚拟化然后使用ssh连接工具将其下载下来
2、涉案服务器集群中,数据库服务器的root用户密码加密方式为?[SM3]
3、涉案服务器集群中,数据库服务器的内核版本?【答案格式:5.10.0】
4、涉案服务器集群中,Java服务器web服务监听的端口为?【9032、9031】
看一下本地的历史命令可以找到一共运行了两个jar包
jinyi.api.api-1.0.0.jar、jinyi.web.web.jar;导出来分析
5、涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】
6、 涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:510733】
7、涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:5.7.4】
8、从外部访问涉案网站“鲸易元MALL管理系统”管理后台所使用的域名为?【master.jy.proxy2.jshcloud.cn master.jy.proxy.jshcloud.cn】
ng服务器;主要可以关注/etc/nginx/nginx.conf和/etc/nginx/conf.d/proxy.conf这两个来分析域名
9、“鲸易元MALL管理系统”管理后台所使用的网站框架为?[Spring-Boot]
10、“鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式:2】
11、“鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式:honglian7001】
要注意是生产环境的mima
12、“鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式:LTAI5t8ot6bTtfY4SYpzq4NA】
13、“鲸易元MALL管理系统”管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:Bcrypt】(不区分大小写)
很明显的Bcrypt特征
14、“鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式:15888888888】
15、“鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:52908】
导入网矩分析;选择数据去重,去掉重复的id
数据分析部分
16、“鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:248】
17、“鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级视为1层)【答案格式:53】
18、“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式:18001】
19、“鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答案格式:8704119】
将member和member_money_total一起导入网矩中进行自动的模板分析,导入后会自动分析组织关系以及资金交易关系
数据库中的记录是不计小数点的,所以需要将后两位作为小数部分,换算成RMB为8704119.00元
20、“鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式:31760】
先找到这个关于订单的数据表,然后接着导出到网矩进行分析
导入之后对订单编号进行去重并筛选支付状态
可得一共为31760条。
21、“鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式:7197997600】
对支付总金额进行单独筛选;然后进行统计
去掉最后的两位小数点可得71979976RMB
22、“鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式:6701】
导出会员提现账号
导入网矩继续去重分析
一共6701条
23、“鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式:8403】
此时依旧还是分析会员提现表,我们将筛选条件设置为打款人不为null且提现状态为4;并进行去重后可以得到共8403条
24、“鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式:10067655】
在上一题的条件下计算应打款金额即可
25、“鲸易元MALL管理系统”管理后台中,拼券活动D仓位的收益率为?【答案:8%】
总结
这套题目还是非常有意思的,我在整个涉案网站部分的做法是没有进行网站重构;直接从数据库和jar包入手进行做题。下一章blog也会学习一下涉案网站的重构。在弘联给出的复盘ppt也进行了题目的总结;首先是出现了pve集群的取证、计算机取证、手机云取证、涉案网站取证、数据取证。
整个涉案的网络拓扑如下
质量非常高的一套题目。