2024精武杯暨警察大学第七届电子数据取证技能比武

计算机和手机取证

1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是 [admin]

2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是 [S3JKNX0JA05097Y]

3. 请综合分析计算机和手机检材，谢弘的房间号是（）室 [中春区望江街道 甘王路6号6幢2单元201室]

在特征不符的文件中找到一个表格，里面有记录地址；

我们将其导出；将后缀改为xlsx

4. 请综合分析计算机和手机检材，曹锦芳的手机号后四位是 [0683]

在上面那份表格中没有找到，回到路径中发现还有表格

导出后进行搜索；涉及到伪加密，只有用7z才能够打开，其他都需要密码。

5. 请综合分析计算机和手机检材，找到全部4份快递相关的公民信息文档，按姓名+电话+地址去重后共有多少条？[4997]

这个时候只找到了三份，我们直接搜索顺丰

导入网矩后进行自动生成字段然后我们进行去重操作

6. 请综合分析计算机和手机检材，统计检材内共有几份购票平台相关的公民信息文档 [3]

存在微软便笺(Sticky Notes)

是VC的密码：VCpwd: 5thGoldenEyesCup 123456

导出刚才的加密文件

挂载后发现密码不是5thGoldenEyesCup 123456 而是5thGoldenEyesCup可以留意一下这个123456

怀疑存在被删除的文件；使用数据恢复恢复一下

接着使用123456还可以挂载出另外一个文件

总数为：3

7. 请综合分析计算机和手机检材，樊海锋登记的邮箱账号是 [727875584@pp.com]

8. 请综合分析计算机和手机检材，统计购票平台相关的文档，去重后共有多少条身份证号为上海的公民信息？[110]

上海的身份证号开头为：上海的身份证号码开头为310；我们将数据导入网矩直接进行筛选

9. 请分析手机检材，2022年11月7日，嫌疑人发送了几条短信？[3]

10. 请分析手机检材，其中保存了多少条公民住房信息？[12]

在检材的相册里面

服务器取证

关注给出的检材

使用火眼的raid重组工具分析可以得到3个.001后缀的镜像为软raid

使用raid重组器对其进行重组后拉进火眼进行分析；因为在火眼中识别出server4.E01是linux系统，那么判断这个盘为系统盘；接着猜测raid盘为数据盘。

接下来进行仿真，将系统盘和数据盘一起挂载

ssh连接问题：查看/etc/ssh/sshd_config文件确认配置没有问题后，找到hosts.allow；可以看到只允许8.8.8.8访问sshd服务将其改为all

1. 请对所给服务器检材进行分析，请 写 出 管 理 员 安 装“mdadm-4.1-9.el7_9.x86_64”的时间？

2. 请对所给服务器检材进行分析，请写出宝塔默认建站的目录是什么？（答案格式：/abc/def）

3. 请对所给服务器检材进行分析，请写出ip为192.168.157.1的机器登陆失败的时间是什么时候？

4. 请对所给服务器检材进行分析，写出网站的数据库root帐号密码？

我们从建站目录data来找，发现此时data目录为空；我们去看raid的目录

即可找到密码；但是data目录为空的情况下，我们可以先看看磁盘的挂载状态；/dev/sdb即为raid重组后的数据盘，将其挂载到/data

挂载完后进入data目录

发现存在加密；base64+url解码即可

5. 请对所给服务器检材进行分析，请分析网站后台管理员帐号的加密方式

打包源码tar -cvf 2023.tar 2023.cn/；在本地做代码审计，直接搜索关键词：密码

跟进到LoginPwdEncryption

6. 请对所给服务器检材进行分析，网站首页友情链接中的“弘连网络“的更新时间是什么时候？

网站重构

绑定hosts后进行访问发现存在错误

发现报错了，还直接输出了database.php内容；我们将刚才解码后的database.php文件覆盖原来的数据库文件

还是报错，看看数据库有没有开起来；在火眼中还发现存在mysql文件

这个时候发现docker没开

依旧还是不行；对网站源码赋权chmod 777 -R 2023.cn/

数据库连接后找表

2023-02-16 23:02:29

7. 请对所给服务器检材进行分析，网站后台管理页面入口文件名是什么？

这个时候去访问Admin发现不行；直接去看网站的日志文件吧：/www/wwwlogs/www.hl2023.cn-access_log

在访问完admin后又随机访问了/4008003721.php

8. 请对所给服务器检材进行分析，网站数据库备份文件的sha256的值是多少？

找到备份目录之后直接在火眼里面查看目录下的信息

9. 请对所给服务器检材进行分析，网站数据库备份文件的解压密码是多少？

一般这样的题目应该是会给一个字典的，在/root目录下找到.w0rd.txt；使用passwarekit进行爆破即可。得到密码为22Ga#ce3ZBHV&Fr59fE#

10. 请对所给服务器检材进行分析，商城中“弘连火眼手机分析专用机MT510”商品的原价是多少？

APK功能分析

1. 请分析1.备忘录.apk反编译出的文件中，正确答案在哪个文件里？

2. 请分析1.备忘录.apk并找到程序中的主activity是？（答案格式：com.tencent.mm.activity）

3. 请分析1.备忘录.apk并找到程序中的flag值（答案格式：HL{66666666-1-1-1-1}）

4. 请分析2.easyapk.apk中SharedPreferences配置文件的名称(包括后缀)是什么?

5. 请分析2.easyapk.apk并找到程序中的flag值（答案格式：HL{66666666-1-1-1-1}）

直接使用frida进行hook；判断字符串相等的事件

6. 请分析3.verify.apk，该程序中所使用的AES加密KEY值为

依旧是使用frida进行hook；这一次hook的是加密的密钥

7. 请分析3.verify.apk并找到程序中的flag值（答案格式：HL{66666666-1-1-1-1}）

8. 请分析4.easyjni.zip,压缩包中数据库的解密秘钥为

9. 请分析4.easyjni.zip并找到程序中的flag值（答案格式：HL{66666666-1-1-1-1}）

10. 请分析5.calc.apk并找到程序中的flag值（答案格式：HL{66666666-1-1-1-1}）

流量分析

1. 请分析流量分析.pcapng文件，并回答入侵者的IP地址是？

2. 请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？

3. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是?

4. 请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

5. 请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

6. 请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

7. 请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

8. 请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

9. 请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

10. 请分析流量分析.pcapng文件，并回答图片文件中的flag是？ (答案格式：abcdef123456789)