“ 参加比赛侥幸拿下第一,发一发复盘wp,大佬勿喷,如有错误请指出,祝大家中秋节&&国庆节快乐。”
本文中的思路和答案仅代表个人观点,并非标准答案,如有错误之处请大佬指正,欢迎各路大神一起交流
01
—
服务器
公安机关打击一个诈骗网点,获取到了该诈骗网点的站点数据,请根据镜像对该诈骗站点分析。
服务器1通过取证工具打包为“1.E01”,文件MD5-128bit校验值为:e8940ef5c93d2c60418c0bdc59efbea1
服务器2通过取证工具打包为“2.E01”,文件MD5-128bit校验值为:4c848645da1a9bd435d97f3dfe17c90f
通过调证获得“数据库4.zip”,文件MD5-128bit校验值为:365adeb464224e5567839a8366d68e33
请对上述检材进行取证分析并回答问题。
1、列出最早登录这两个服务器的IP地址
125.119.155.151
2、列出两个服务器的操作系统版本(如:CentOS Linux release 7.5.14)(版本号从小到大填写,分2项填写)
CentOS Linux release 7.6.1810
CentOS Linux release 7.7.1908
1.E01
2.E01
3、列出查看历史命令的linux命令
history
基础知识
4、列出nginx配置的网站信息(直接填入域名如:www.baidu.com)
www.mmarri.com.cn
yzp.api.fzyaxpu.cn
invite.yzp.rziflzj.cn
yzp.fkzizyi.cn
nginx配置文件中搜server_name
5、列出后台网站前端所在目录(如:/root/data)
/data/ns/yzp/dist
仿真后启动nginx服务
查看nginx配置文件,找到一个被注释了的后台域名,端口是8090
浏览器访问
6、nginx配置信息中管理后台网站的访问端口是
8090
如上题
7、nginx配置信息中,反向代理API接口是(标准格式:以/结尾)
/api/
在nginx.conf中搜索proxy_pass
可以看到访问/api/xxxxxx/就会进行反向代理
查找所有的api,反向代理的接口应该是/api/
8、nginx启动完成后,查询nginx进程的命令
ps -ef|grep nginx
选择题,没保存选项,没记错的话选项正确应该长这样
9、列出管理后台网站的配置文件所在目录(如:/root/log)
/data/ns/yzp/dist/config
在nginx配置文件中可以看到管理后台网站的目录在/data/ns/yzp/dist,翻看这个目录,发现一个config文件夹,配置文件应该就是这个index.js
10、列出可以直接搭建起来的网站前端的域名(不包括后台管理平台如:www.baidu.com)
invite.yzp.rziflzj.cn
yzp.fkzizyi.cn
在nginx配置文件中查看没有被注释的域名,修改hosts绑定一下ip
一个个访问
直接可以正常访问的域名有invite.yzp.rziflzj.cn和yzp.fkzizyi.cn
11、列出java网站监听端口的配置信息中connectionTimeout=_______(如:<con........redirectPort =“8848”>)
20000
到这个部分应该是服务器2了
这部分是Tomacat+Mysql+Java网站,以前没有怎么接触过,不是很了解,硬着头皮写的,大佬勿喷
从历史命令可以看出该服务器中使用的web中间件为Tomcat,火眼只解析出nginx,其中的网站已经被删除
Tomcat的配置文件在/opt/bg/conf和/opt/server/conf中都有,应该是部署了两个网站
网站监听端口的配置信息可以在server.xml中看到
12、列出java网站后台数据库连接配置文件所在文件和目录(路径加文件名,如:/data/kk/ww.jar)
/opt/bg/webapps/ROOT/WEB-INF/lib/bg-core-1.0-SNAPSHOT.jar
根据目录的命名推测/opt/server为网站前端目录,/opt/bg为后端目录
在/opt/bg/webapps/ROOT/WEB-INF/lib/bg-core-1.0-SNAPSHOT.jar的配置文件system.properties中找到了数据库连接信息
13、前端管理后台对应的java网站连接的数据库名称为
yzp_strategy
在/opt/server/webapps/ROOT/WEB-INF/lib/phoenix-core-1.0-SNAPSHOT.jar中也找到了同样的数据库连接信息
14、前端管理后台对应的java网站连接的数据库账号为
yzp_prod
15、列出启动java网站的命令代码./opt/bg/bin/___
startup.sh
在/opt/bg/bin/目录下有一些shell脚本和bat脚本
在历史命令中过滤/bin,发现很多执行startup.sh的命令
查看startup.sh脚本内容,发现是Tomcat服务器的启动脚本
16、列出java网站中保存的管理员登录账号表格名称为
bg_user
检材中给出了数据库文件夹,但是只有frm和ibd文件
手工恢复参考:
https://blog.csdn.net/u010383467/article/details/120930520
这里直接用弘连的数据库取证工具
前面分析得到java网站连接的数据库为yzp_strategy,将这个名为yzp_strategy的文件夹导入进行恢复
在bg_user表中找到了管理员登录账号
17、管理员登录密码加密方式为(标准格式:大写)
SHA1
用cmd5.com解密会自动识别
18、管理员账号是_____(1)______,明文密码____(2)____
15057301199
123456
19、该网站的用户总人数为____(1)____ 用户余额数为_____(2)_____
516
11795.81
在user表中记录了用户信息
这个软件用不习惯,使用右上角的导出表记录功能
导出为sql文件,在本地数据库中运行sql文件创建出这个表
接下来就是简单的SQL查询
SELECT COUNT(DISTINCT user_id) FROM `user`
余额应该是credit这个字段
20、列出登录后台地址记录的APP下载地址并判断IP所属地域,APP下载地址_____(1)_____ ; IP地域所属国家是_____(2)____
http://8.56.55.9/apk/yzp.apk
美国
翻到sys_app_version表,这里的yzp与前面的网站和数据库都对应得上,应该就是题目所问的APP
ip138.com查询一下ip
02
—
数据恢复
某公安机关在侦办一起诈骗案件收网抓捕现场,将嫌疑人的两台电脑通过镜像方式进行提取,镜像文件名分别为2023cs.E01、winxp.E01。请对上述镜像文件进行分析并回答问题。
1、对镜像2023cs.E01进行分析,有一分区描述为WIN10,该分区的起始扇区号为________(答案格式为纯数字,如100)
128
浓浓的美亚风
一个扇区512字节起始扇区,起始扇区为65536/512=128,
用xway直接看
2、对镜像2023cs.E01分区3分析,该分区中文件有一个文件型加密容器,该文件名为______(答案需加后缀名,如:123.doc)
photo_2022.jpg
取证大师除了有点卡还是很好用的
3、接上题,据调查,该加密容器密码为8位数字简单密码,请尝试解开并查看该容器的文件系统为______(字母小写,答案如:ext4)
12345678
尝试过用passwarekit爆破,耗时很久都没出来,直接盲猜一个12345678成功挂载
4、对镜像2023cs.E01进行分析,该磁盘中有人民币图片,其中10元面值图片的编号是:ⅨⅨ________。(答案格式为纯数字,如123456)
19863725
在D盘的RMB图片文件夹找到,但是有一张是坏了的图片,有一张只有一半
导出后用winhex查看,对比发现文件RMB4.png的文件头有问题,复制副本的前7行覆盖掉RMB4.png的前7行
成功恢复
5、对镜像2023cs.E01进行分析,该磁盘中有____张重要风景图片文件(均被标有"meiy2023")(答案格式如:1)
6
把之前找到的加密容器挂载到取证大师中在一个被删除的txt文件中找到容器隐藏分区的密码
使用这个密码重新挂载,有6张图片标有meiy2023
6、对镜像2023cs.E01进行分析,该磁盘中有保存“样本.icl”文件,其在磁盘中的文件名为________(答案格式按实际填写,如 风景.jpg)
理财话术.docx
使用火眼,新建哈希库,将所有文件加入哈希库
计算样本.icl的哈希
文件全显后直接搜md5值,比对中了理财话术.docx
7、对镜像2023cs.E01分区3分析,该分区每个簇大小为____个扇区(答案格式为纯数字,如1)
8
xway看,每个扇区512字节,每簇字节数4096,扇区数4096/512=8
8、对镜像2023cs.E01分区3分析,该分区中文件"拒绝话术"占用了____个簇(答案格式为纯数字,如1)
5
找到拒绝话术文件,19150/4096进1得5
9、对镜像winxp.E01进行分析,该磁盘有_____个分区(答案格式为纯数字,如1)
3
xway
10、对镜像winxp.E01进行分析,该磁盘存有SCIENCE IN THE NEWS.txt,请找出并计算其MD5值后六位(答案格式为6位十六进制,字母大写,如123ABC)
9592C9
在分区3中
导出计算MD5
11、对镜像winxp.E01进行分析,该磁盘存有一张图片,内容有"Evidence"字样,虽未被删除,但被修改属性,请找出并计算其MD5值后六位(答案格式为6位十六进制,字母大写,如123ABC)
484D51
使用取证大师查看可疑签名文件,找到simbol.ttf为jpeg文件
12、接上题,该磁盘中还有一张内容有"Evidence"字样的图片被删除,请恢复并计算其MD5值_________(答案格式为6位十六进制,字母大写,如123ABC)
E340CC
使用火眼进行签名恢复
计算MD5
13、对镜像winxp.E01进行分析,该磁盘中10498040号扇区存有MP4文件,文件名为_________(答案格式如:123.MP4)
1.MP4
直接跳到对应扇区
14、对镜像winxp.E01进行分析,该磁盘中有一个MP4文件被删除,请恢复并记录其物理扇区号为_________(答案格式为纯数字,如12345)
12956356
在之前的分析中可知存在一个1.MP4,扇区号为10498040,3.MP4扇区号为12594976
使用xway在镜像中搜索MP4文件的文件头34484B48
在12956356搜到一个
03
—
流量分析
某网站服务器被网络黑客扫描并入侵。黑客通过该网站服务器(检材1)又入侵了数据库服务器(检材2),入侵过程被数据包记录,分析数据包并回答以下问题:
1、分析检材1,黑客的IP地址是
192.168.94.59
筛选出http协议的流量,发现SQL注入payload
2、分析检材1,被黑客攻击的web服务器,网卡eth1的ip地址为
10.3.3.100
tcp contains "eth1"直接筛选出含有eth1关键词的流量
追踪TCP流
对post提交的参数进行解码可以看到执行了ifconfig命令,网站中应该是存在一个后门
3、分析检材1,黑客登录web后台使用的账号是
admin!@#pass123
翻看http流量,发现黑客在爆破后台密码
http contains "/admin/login.php?rec=login"筛选出后台登录的流量
直接从最后看起,在倒数第二个流量中看到了用户名admin和一个密码admin!@#pass123
追踪一下TCP流,发现响应是302跳转
查看下一个流,访问到了/admin/index.php也就是后台首页
4、分析检材1,网站账号“人事”所对应的登录密码是
hr123456
在刚刚筛选出来的登录的流量中admin登录的下一条就是人事账号登录的
追踪流,同样是302跳转然后进入后台首页
5、分析检材1,黑客上传的webshell,使用的连接密码是
1234
分析第1题找到的流量,可以得到webshell就是a.php
POST提交的是黑客自定义的恶意代码,是通过1234这个参数上传的
tcp contains "$_POST[1234]"筛选一下接受1234参数的PHP代码
追踪tcp流,找到一句话木马
6、分析检材1,数据库所在的内网地址为
10.3.3.101
对post请求a.php的流量追踪TCP流,翻看流,找到含有数据库信息的流量
post的参数解一下码,发现是读取了网站的数据库连接文件/var/www/html/data/config.php
7、分析检材2,数据库的版本号为<例:3.2.78,纯数字版本>
5.5.49
8、分析检材1,黑客找到的数据库密码是多少
e667jUPvJjXHvEUv
9、分析检材2,“dou_config”表中,共有数据________列
6
查询dou_config表的SQL语句应该为SELECT * FROM `dou_config`
搜索一下关键语句,查看响应流量,有6个列
10、分析检材2,黑客获取了数据库中保存的邮箱账号和密码,其中[email protected]的密码是
qaz123!@#
分析流量可知黑客通过查询dou_admin表来获取账号密码
搜索一下SELECT * FROM `dou_admin`找到一条查询所有用户信息的流量
追踪TCP流搜索[email protected]
md5解密
04
—
apk程序分析
在一网络淫秽案件中,从嫌疑人手机提取了涉案APP的安装文件为“检材.apk",请对该文件进行分析并回答问题。
1、请分析“检材.apk”,获取app安装包的SHA256校验值(标准格式:小写)
e15095d49efdccb0ca9b2ee125e4d8136cac5f74c1711f44c6347598ffb1bd7b
2、请分析“检材.apk”,获取app运行后的进程名
com.appk6.chat
进程名一般都是应用包名
3、请分析“检材.apk”,获取app安装包签名证书的签名序列号
0x4a5f7527
4、请分析“检材.apk”,获取该APP安装后显示的APP名称
爱聊
5、请请分析“检材.apk”,该APP是否具备读取短信的权限(标准答案:请填写是或否)
否
6、请分析“检材.apk”,该APP调用的TencentMapSDK对应的KEY是
ANQBZ-ELQW5-2EFIN-QLKQ2-RZU4O-KVB7I
7、请分析“检材.apk”,获取该APP连接的URL
http://chat.ailiao.club/
抓包
8、请分析该APP配置文件“app_config.xml”,回答其加密内容时使用的算法是
AES
jadx反编译apk,源码中搜索关键词app_config.xml找到对配置文件处理的位置
在下面调用了h类中的a方法对读取的app_config.xml内容进行解密
跳转到h类,发型是AES加密
9、请给出该APP配置文件“app_config.xml”中包含的升级唯一标识(inid)值
com.appk6.chat
找到app_config.xml
在上一题得到加密算法为AES/CBC/NoPadding,key为IUP4fLZ7wuNeOQtE,iv为handsomehandsome,对app_config.xml中内容进行AES解密
复制结果出来到文档中搜索inid
10、请给出该APK的打包时间
19791130
05
—
写在最后
能坚持看到这里,相信屏幕前的你,一定也是和我一样热爱网络安全和电子取证吧,但是热爱不能当饭吃,由于学业的压力,本公众号可能要停更很长一段时间,“XiAnG学安全”从今年1月中旬注册以来,已经收获了近1200位朋友的喜爱,感谢每一位支持我的朋友,希望我的文章对你们有帮助;在这个过程中我也收获颇丰,认识了很多很牛逼的大佬,结交了很多很热情的朋友,江湖路远,我们不说再见,祝大家节日快乐,但愿人长久,千里共婵娟
原文始发于微信公众号(XiAnG学安全):2023某省电子取证比武wp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论