2024第二届盘古石杯全国电子数据取证大赛晋级赛
案情简介
1 | 2024 年 4 月 28 日 , xx 市 xx 路路派出所接到受害人支婉静(身份证号: 110101198103191406)报案称: 在 2024 年 4 月 24 日, 聊天软件 QQ 中收到一条新的好友申请, 对方声称是老同学向芬, 沟通过程中还说到一些之前的好友, 并且还了解她的家庭情况, 沟通中, 向芬了解到支女士生活遇到困难, 丈夫失业, 向支女士提供了一个投资收益较好的彩票平台, 支某在沟通中和向芬进行了 1 分钟的视频通话, 看着熟悉的脸, 就相信了老同学, 并在向芬的指导下注册了平台, 并在平台投入了一万多, 前期还能提现, 后续就无法登录了. 支女士感觉到被骗了, 于是报警. |
服务器取证
1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8065]
仿真+绕密
这里想提一嘴,在访问这个网站时出现一直没法访问有可能是防火墙没有关闭的原因
1 | Last login: Mon Oct 28 21:05:54 2024 |
关闭完防火墙就可以进行访问了
2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是: [答案格式:12.18]
查看环境变量即可:docker inspect
3.分析内部IM服务器检材,该内部IM平台中数据库的名称是:[答案格式:mattermost_test]
4.分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表:[答案格式:82]
navicat走ssh隧道连接到数据库,账号密码,端口都是有的
5.分析内部IM服务器检材,员工注册的邀请链接中,邀请码是:[答案格式:54d916mu6p858bbyz8f88rmbmc]
找到用户的表
一眼bcrypt;直接生成后替换
接着对该平台进行查找
6、分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件:[答案格式:2]
7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是:[答案格式:f8adb03a25be0be1ce39955afc3937f7]
8.分析内部IM服务器检材,一个团队中允许的最大用户数是:[答案格式:数字]
这个时候发现gxyt这个账号是管理员权限
改完密码后登录
9.分析内部IM服务器检材,黑客是什么时候开始攻击:[答案格式:2024-04-25-15-33]
直接去看服务器的日志文件;发现存在爆破行为
此时的2024-04-25 07:33:17.421 Z的Z代表UTC时间,需要+8
10.分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统:[答案格式:否]
分析后发现存在宝塔,而宝塔新版已经不支持32位
11.分析网站服务器检材,数据库备份的频率是一周多少次:[答案格式:1]
直接看系统:crontab -l
使用https://cron.ciding.cc反解析Cron表达式,可知是在每个周日的0点整执行定时任务。
12.分析网站服务器检材,数据库备份生成的文件的密码是:[答案格式:IvPGP/8vfTLtzQfJTmQhYg==]
1 | [root@wns ~]# cat /root/backup.sh |
网站重构
在宝塔面便进行更改密码和查看面板配置的操作;一直出现:正在处理,请稍后
可以在/etc/hosts 加上 104.21.28.95 www.btkaixin.net
接下来查看数据库配置
走ssh连接,进入后发现少了2828这个表
这个时候可以去前面的数据库备份那里进行查看/root/backup。结合上述找到的加密后的数据库备份文件, 需要从备份中恢复数据库. 通过之前生成的密码对压缩包进行解密
1 | openssl des3 -d -salt -k IvPGP/8vfTLtzQfJTmQhYg== -in ./2828.sql.gz -out ./2828_dec.sql.gz |
13.分析网站服务器检材,网站前台首页的网站标题是:[答案格式:威尼斯]
14.分析网站服务器检材,受害人第一次成功登录网站的时间是:[答案格式:2024-01-01-04-05]
15.分析网站服务器检材,前台页面中,港澳数字竞猜游戏中,进入贵宾厅最低点数是:[答案格式:1234]
16.分析网站服务器检材,受害人在平台一共盈利了多少钱:[答案格式:12]
17.分析网站服务器检材,网站根目录下,哪个路径存在漏洞:[答案格式:/Admin/User/register.php]
18.分析网站服务器检材,黑客通过哪个文件上传的木马文件:[答案格式:test.php]
19.分析网站服务器检材,网站使用的数据库前缀是:[答案格式:test_]
**20.分析网站服务器检材,木马文件的密码是:[答案格式:123] **
手机取证
1.分析伏季雅的手机检材,手机的安卓ID是:[答案格式:9e6c9838dafe7ba0]
在这个路径下面/data/system/users/0/settings_secure.xml
2.分析伏季雅的手机检材,手机型号是:[答案格式:SM-G996N]
/Basic/deviceinfo.json,很多app都会获取手机型号并保存
3.分析伏季雅的手机检材,其和受害人视频通话的时间是:[答案格式:2024-04-24 20:46:39]
4.分析伏季雅的手机检材,手机中安装了一款记账APP,该记账APP存储记账信息的数据库名称是:[答案格式:MoneyLoverS2]
在/Basic/appinfo/appinfo.db下面有提取好的应用列表
找到安装目录/data/app/~~akrBLIe0ld69axOMk2LU3Q==/com.bookmark.money--0EFSy2wOCjMfqMZWekGBQ==/base.apk和包名com.bookmark.money
5.接上题,该记账APP登录的邮箱账号是:[答案格式:carleenloydlyis40@gmail.com]
6.接上题,该记账APP中记录的所有收入金额合计是:[答案格式:279002]
导出数据库文件并将后缀改为db;然后打开后得出cat_type值为1代表的是收入项目,值为2代表的是支出项目;此时的sql查询语句为
1 | SELECT SUM(amount) FROM transactions where cat_id in (41,40,39,38,37,36); |
7.接上题,分析该记账APP中的消费记录,统计从2022-3-1(含)到2023-12-1(含)期间,用于交通的支出费用合计是:[答案格式:6042]
1 | select sum(amount) from transactions where cat_id in (select cat_id from categories where cat_name='交通') and created_date >= '2022-03-01' and created_date <= '2023-12-01' |
8.分析毛雪柳的手机检材,手机中有一个记账APP,该APP的应用名称是:[答案格式:iCost]
在\private\Applications.plist下
/private/var/containers/Bundle/Application/CB025702-ACC5-4611-AC85-8F198B44A650/iCost.app
9.分析义言的手机检材,手机中登录的谷歌邮箱账号是:[答案格式:a2238346317@gmail.com]
data\data\com.google.android.gm\files\accounts\shared\AccountsStore.pb
10.分析义言的手机检材,手机的MTP序列号是:[答案格式:FA6A80312283]
/Basic/Adlockdown.json
11.分析义言的手机检材,除系统自带的浏览器外,手机中安装了一款第三方浏览器,该浏览器的应用名称是:[答案格式:百度浏览器]
/Basic/appinfo/appinfo.db
12.接上题,上述浏览器最后一次搜索的关键字是:[答案格式:百度]
知道包名为com.cat.readall;直接去找安装包的位置/data/data/com.cat.readall/databases/news_article.db
13.接上题,该浏览器最后一次收藏的网址是:[答案格式:https://baidu.com/acc/123412341234123/]
14.分析义言的手机检材,其所购买的公民信息数据,该数据提供者的手机号码是:[答案格式:13265159824]
15.接上题,卖家的收款地址:[答案格式:bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85]
16.接上题,购买上述公民信息,义言一共支付了多少钱:[答案格式:0.07358247BTC]
17.接上题,该笔交易产生的手续费是多少:[答案格式:0.000123BTC]
人工智能取证
1.分析义言的计算机检材,一共训练了多少个声音模型:[答案格式:4]
直接在仿真完的计算机进行查看,可以找到一个AI目录
经过网上的查找我们知道训练模型会生成缓存文件在logs目录下
2.分析义言的计算机检材,声音模型voice2,一共训练了多少条声音素材:[答案格式:17]
3.分析义言的计算机检材,声音模型voice3,一共训练了多少轮:[答案格式:8]
4.分析义言的计算机检材,声音克隆工具推理生成语音界面的监听端口是:[答案格式:9874]
直接运行bat文件;可以发现监听端口为9874
5.分析义言的计算机检材,电脑中视频文件有几个被换过脸:[答案格式:10]
6.分析义言的计算机检材,换脸AI程序默认换脸视频文件名是:[答案格式:test.mp4]
7.分析义言的计算机检材,换脸AI程序默认换脸图片的文件名称:[答案格式:abc.abc]
8.分析义言的计算机检材,换脸AI程序模型文件数量是多少个:[答案格式:10]
计算机取证
1.分析伏季雅的计算机检材,计算机最后一次错误登录时间是:[答案格式:2024-04-25 09:53:24]
也可以去C:\Windows\System32\winevt\Logs\Security.evtx这个文件中查找
2.分析伏季雅的计算机检材,计算机中曾经浏览过的电影名字是:[答案格式:坠落的审判 ]
3.分析伏季雅的计算机检材,计算机中团队内部即时通讯软件的最后一次打开的时间是:[答案格式:2024-04-26 17:13:02]
队内通讯软件为Mattermost在服务器取证中已经知道了,我们直接去看应用程序运行记录
4.分析伏季雅的计算机检材,计算机中有一款具备虚拟视频功能的软件,该软件合计播放了多少个视频:[答案格式:1]
5.接上题,该软件的官网地址是:[答案格式:https://www.mvbox.cn/]
6.接上题,该软件录制数据时,设置的帧率是:[答案格式:15]
7.分析伏季雅的计算机检材,在团队内部使用的即时通讯软件中,其一共接收了多少条虚拟语音:[答案格式:4]
服务器那里已经做过了
8.分析毛雪柳的计算机检材,计算机插入三星固态盘的时间是:[答案格式:2024-04-25 19:08:06]
9.分析毛雪柳的计算机检材,计算机操作系统当前的Build版本是:[答案格式:19045.4291]
10.分析毛雪柳的计算机检材,团队内部使用的即时通讯软件在计算机上存储日志的文件名是:[答案格式:main.log]
11.分析毛雪柳的计算机检材,伏季雅一月份实发工资的金额是:[答案格式:1234]
12.分析毛雪柳的计算机检材,该团伙三月份的盈余多少:[答案格式:1234]
13.分析义言的计算机检材,计算机连接过的三星移动硬盘T7的序列号是:[答案格式:X12720BR0SNWT6S]
用apk最后一题中解出的密钥解密bitlocker
密钥337469-693121-682748-288772-440682-300223-203698-553124
14.分析义言的计算机检材,计算机的最后一次正常关机时间是:[答案格式:2024-01-01-04-05-06]
15.分析义言的计算机检材,曾经使用工具连接过数据库,该数据库的密码是:[答案格式:root]
16.分析义言的计算机检材,计算机中安装的xshell软件的版本号是:[答案格式:Build-0000]
17.分析义言的计算机检材,曾使用shell工具连接过服务器,该服务器root用户的密码是:[答案格式:admin]
18.分析义言的计算机检材,计算机曾接收到一封钓鱼邮件,该邮件发件人是:[答案格式: 838299176@qq.com]
19.接上题,钓鱼邮件中附件的大小是多少MB:[答案格式:2.39]
20.接上题,上述附件解压运行后,文件的释放位置是:[答案格式:C:\Windows\Temp\evilrue.exe]
21.接上题,恶意木马文件的MD5 值是:[答案格式:1877379d9e611ea52befbbe2c2c77c55]
22.接上题,恶意木马文件的回连IP地址是:[答案格式:116.136.170.127]
23.分析义言的计算机检材,计算机中保存的有隐写痕迹的文件名:[答案格式:a78bd8b5bec5f60380782bd674c7443p]
在回收站中翻到LSB_hide.exe;LSB_hide.exe是BMP图片信息隐藏软件
24.分析义言的计算机检材,保存容器密码的文件大小是多少字节:[答案格式:20]
提取出的东西是RR%#CBSf7uYLQ#28bywT;找到加密文件
挂载容器后发现为密码
25.分析义言的计算机内存检材,该内存镜像制作时间(UTC+8)是:[答案格式:2024-01-01-04-05]
26.分析义言的计算机内存检材,navicat.exe的进程ID是:[答案格式:123]
APK取证
1、分析伏季雅的手机检材,手机中诈骗APP的包名是:[答案格式:w2a.W2Ah5.jsgjzfx.org.cn]
2、分析伏季雅的手机检材,手机中诈骗APP连接的服务器地址是:[答案格式:192.168.137.125]
3、分析伏季雅的手机检材,手机中诈骗APP的打包ID是:[答案格式:W2A__h5.jsgjzfx.org.cn]
4、分析伏季雅的手机检材,手机中诈骗APP的主启动项是:[答案格式:com.dmcbig.mediapicker.PickerActivity]
5、分析义言的手机检材,分析团队内部使用的即时通讯软件,该软件连接服务器的地址是:[答案格式:192.168.137.97]
从服务器取证中可以得知内部通讯软件是Mattermost
或者我们可以从数据库文件中进行验证
6、接上题,该软件存储聊天信息的数据库文件名称是:[答案格式:aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db]
7、接上题,该即时通讯软件中,团队内部沟通群中,一共有多少个用户:[答案格式:6]
8、接上题,该即时通讯应用的版本号是:[答案格式:2.15.0]
9、接上题,该即时通讯应用中,团队内部沟通中曾发送了一个视频文件,该视频文件发送者的用户名是:[答案格式:20240424-04_1713942308.mp4]
从file表中找到id;然后匹配post表中的userid;最后再到user表中匹配username即可
10、接上题,分析该即时通讯的聊天记录,团队购买了一个高性能显卡,该显卡的显存大小是:[答案格式:24G]
11、分析义言的手机检材,手机中装有一个具备隐藏功能的APP,该APP启动设置了密码,设置的密码长度是多少位:[答案格式:9]
查看aok列表可以发现有两个计算器
导入雷电app进行分析
这个时候我们先导出数据
先安装apk,然后再复制到模拟器的data/data目录;安装apk,此时打开第二空间的密码即为检材中保存的密码;
Frida脚本跟踪一下判断字符串相等的事件;随便输入个密码
此时可以知道原来的密码是:012467853
12、接上题,分析上述隐藏功能的APP,一共隐藏了多少个应用:[答案格式:5]
数据存储于数据库中,我们直接监控数据库事件
1 | 检测到数据库文件:/storage/emulated/0/.privacy_safe/db/privacy_safe.db,密码:Rny48Ni8aPjYCnUI |
搜索privacy_safe.db数据库
13、接上题,分析上述隐藏功能的APP,该APP一共加密了多少个文件:[答案格式:5]
14、接上题,分析上述隐藏功能的APP,该APP加密了一份含有公民隐私信息的文件,该文件的原始名称是:[答案格式:公民信息.xlsx]
15、分析义言的手机检材,马伟的手机号码是:[答案格式:18921286666]
上题中可以知道,该加密文档的名字为e-283a934b-7821-4af3-9301-2cd6bba15782+c1
找到后导出
在frida中模拟该加密事件
1 | 加密算法:AES/CBC/PKCS5Padding |
16、分析义言的手机检材,手机中存有一个BitLocker恢复密钥文件,文件已被加密,原始文件的MD5值是:[答案格式:497f308f66173dcd946e9b6a732cd194]
得知被加密完的文件名为e-52cdbbba-ceea-4155-bd7a-309ad3e6bbd4+u;和上题一样的步骤
IPA部分
1、分析毛雪柳的手机检材,记账 APP 存储记账信息的数据库文件名称是: [ 答案格式:tmp.db ,区分大小写 ]
知道包名是com.gostraight.smallAccountBook;我们依旧在private\Applications.plist下面找到数据目录
realm数据库
2、分析毛雪柳的手机检材,记账APP中,2月份总收入金额是多少:[答案格式:1234]
3、分析毛雪柳的手机检材,手机中团队内部使用的即时通讯软件中,团队老板的邮箱账号是:[答案格式:gxyt@163.com]
mattermost
得知数据目录在/private/var/mobile/Containers/Shared/AppGroup/BBE0D501-AB0B-422E-9B4D-02E2D86130D4;找到数据库后打开,从前面的服务器取证中可以知道存在管理员gxyt
4、接上题,该内部即时通讯软件中,毛雪柳和老板的私聊频道中,老板加入私聊频道的时间是:[答案格式:2024-04-24 10:45:29]
5、接上题,该私聊频道中,老板最后一次发送聊天内容的时间是:[答案格式:2024-01-01-04-05-06]
