2023年全国网络安全行业职业技能大赛决赛-电子数据取证

admin 2024年1月15日12:00:21评论54 views字数 5937阅读19分47秒阅读模式

2023年全国网络安全行业职业技能大赛决赛-电子数据取证

2023 年全国网络安全行业职业技能大赛 电子数据取证分析师

第一部分:电子数据提取与固定

任务 1:检材 1.rar 上的任务

检材是一个手机备份,请通过技术手段提取以下信息。

  1. 提取名称为“陈伦国”的联系人的手机号码,以此作为 flag 提交。(答案格式如:13012345678)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109161613864

    13800620796

  2. 提取最早卸载的软件的包名称,以此作为 flag 提交。(答案格式如:com.abc.dd)

    在小米应用商店中查看卸载记录

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110194547832

    com.jndsapp.info

  3. 提取以“HUAWEI_”开头的 WIFI 连接的密码,以此作为 flag 提交。(答案格式 如:abcd1234)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109161815980

    39F!F=qH

  4. *提取嫌疑人预约的看牙医的时间,以此作为 flag 提交。(答案格式如:2020-01-01 (到日即可))

  5. 提取爱聊应用中用户 id 以 4503 结尾的用户的昵称,以此作为 flag 提交。(答案格式 如:nihao 上海 1234)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109164750832

    后来的我们

任务 2:检材 2.rar 上的任务

检材是一个电脑制作的镜像,请根据该镜像文件回答以下内容(以下答案都采用英文半角):

  1. 提取本地网口 ens33 的 IP 地址,并以此作为 flag 提交。(答案格式:XX.XX.XX.XX)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109165100909

    172.16.120.113

  2. 提取操作系统 root 用户的登录密码,并以此作为 flag 提交。(答案格式:abcd1234)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109165145337

    2023rootfinal

  3. 数据库中存放了大量用户的信息,请找到该表,提取手机号码为“13604329317”的用户 的名称,并以此作为 flag 提交。(答案格式:写出名称)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109165925147

    vma

  4. 已知电脑中有一个抓包文件,请对该文件进行分析,给出流量包中可以获取的最大的图 片的大小(单位字节),并以此作为flag提交。(答案格式:12345)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240109170206967

    217406

  5. 请从抓包文件中找到“组织架构.zip”文件,计算其 MD5(128 位)值,以此作为 flag 提交。(答案格式:C4CA4238A0B923820DCC509A6F75849B,字母大写)

    5AE00DA858568A790CBDE139C4AAA6E3

  6. 请给出“高柳”的上线的上线的名称,并以此作为 flag 提交。(例如:赵二的上线是张 三,张三的上线是李四,则赵二的上线的上线就是李四)

    提取数据库中的密码,制作字典,进行爆破

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110195342736
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110195936799
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110200012377
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110200043864

    王勇

第二部分:电子数据恢复

任务 3:检材 3.rar 上的任务

  1. 对磁盘进行修复并加载成功后,计算磁盘的 MD5 值,并以此作为 flag 提交。(答案格式:69271864341AA3B2C1E6F2DCA5E90666)

    修复过程:发现L、X 的文件头缺失,把M的拿过来补上(200h之前的)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114141651564

    然后加入到取证大师,注意标注的这几个地方

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114141756646

    加载成功

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114141813366
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114141912484

    C1678C9A478ACDA7EA8CEE16072D56D8

  2. 对磁盘进行修复并加载成功后,磁盘共计有多少个扇区。(答案格式:1)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114142028470

    6082559

  3. 给出磁盘中的数据库 root 用户最后一次修改密码的时间,并以此作为 flag 提交。(答 案格式:2022-12-12 12:01:11)

    导出mysql文件夹,然后分析

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114144759279

    2021-03-17 15:49:52

  4. 磁盘中的数据库里有一张表记录了发布的通知,给出最后一次通知创建的时间,并以此 作为 flag 提交。(答案格式:2022-12-12 12:01:11)(3 分)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114145315784
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114145328662

    记得把时间+8

    2017-9-13 14:49:44

  5. *磁盘中的数据库里有一张表记录了管理员账号,给出这张表里记录的密码的密文,并以 此作为 flag。

    admin_account表中没有东西,找不到,摆烂!

任务 4:检材 4.rar 上的任务

  1. 对虚拟机进行分析,并找出其中“李真宝”的身份证号,并以此作为 flag 提交。(2 分)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110205838763

    51111119410922966X

  2. 对虚拟机进行分析,并找出其中“黄季恬”的身份证号,并以此作为 flag 提交。(2 分)

    首先找到了一个123.rar,然后发现同目录下有个123.txt应该是他的解压密码,然后打开是一个内存镜像,后面发现data.txt是一个vc加密,想起来刚才的内存镜像,果不其然,在内存镜像中的剪切板中找到密码,打开得到flag

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110211639477
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240110211704848

    131121195402215888

  3. 对虚拟机进行分析,并找出其中“王达离”的手机号,并以此作为 flag 提交。(3 分)

    数据搜索找到的

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114152409613

    15001888577

  4. 对虚拟机进行分析,并找出其中“陈右绮”的手机号,并以此作为 flag 提交。(4 分)

    通过DiskGenius对数据进行恢复

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114152935524

    发现这个图片的CRC不对,可能有隐写,修改宽高得到

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114155350898

    15806897653

  5. 对虚拟机进行分析,并找出其中“杜春玟”的手机号,并以此作为 flag

    在检材2中,发现了 steg,所以猜测是steg隐写,导出文件夹,发现里面有个图片,导入steg中,导出文件发现会出现几个文件

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114155921932
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114155904219

    通过爆破得到密码:1qaz2wsx

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114162805379

    15382469711

第三部分:电子数据分析

任务 5:检材 5.rar 上的任务

获取了一个服务器镜像,服务器镜像中包含了 1 个集群和网站服务,请通过技术手段进行分析。

  1. 提取系统中容器名称为 namenode 节点的容器 ID,并以此作为 flag 提交。(答案格式如:取前 12 位即可,12345678abcd)

    docker ps -a
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114164902009

    99131b4891b0

  2. 获取集群中的名称为“tom-xiao”的用户的 card-id,并以此作为 flag 提交。(答案格式如:110123456789023456)

    [root@localhost ~]# docker exec -it namenode /bin/bash[root@namenode /]# cd /usr/local/hbase-1.1.5/bin/[root@namenode bin]# lsdraining_servers.rb   hbase             hbase-common.sh   hbase-daemon.sh   hirb.rb                 master-backup.sh  region_status.rb    shutdown_regionserver.rb  stop-hbase.cmd  thread-pool.rbget-active-master.rb  hbase-cleanup.sh  hbase-config.cmd  hbase-daemons.sh  local-master-backup.sh  region_mover.rb   replication         start-hbase.cmd           stop-hbase.sh   zookeepers.shgraceful_stop.sh      hbase.cmd         hbase-config.sh   hbase-jruby       local-regionservers.sh  regionservers.sh  rolling-restart.sh  start-hbase.sh            test[root@namenode bin]# ./hbase shellSLF4J: Class path contains multiple SLF4J bindings.SLF4J: Found binding in [jar:file:/usr/local/hbase-1.1.5/lib/slf4j-log4j12-1.7.5.jar!/org/slf4j/impl/StaticLoggerBinder.class]SLF4J: Found binding in [jar:file:/usr/local/hadoop-2.5.2/share/hadoop/common/lib/slf4j-log4j12-1.7.5.jar!/org/slf4j/impl/StaticLoggerBinder.class]SLF4J: See http://www.slf4j.org/codes.html#multiple_bindings for an explanation.SLF4J: Actual binding is of type [org.slf4j.impl.Log4jLoggerFactory]HBase Shell; enter 'help<RETURN>' for list of supported commands.Type "exit<RETURN>" to leave the HBase ShellVersion 1.1.5, r239b80456118175b340b2e562a5568b5c744252e, Sun May  8 20:29:26 PDT 2016hbase(main):001:0> listTABLE                                                                                                         passinfo                                                                                                       user                                                                                                           2 row(s) in 8.2120 seconds=> ["passinfo", "user"]hbase(main):002:0> scan 'user'ROW                                                          COLUMN+CELL                                           001                                                         column=info:card_id, timestamp=1703541386775, value=130109198001019201                                                                                        001                                                         column=info:name, timestamp=1703541295759, value=tom-xiao                                                                                                 1 row(s) in 0.0900 seconds

    通过list查看表,scan获取数据

    130109198001019201

  3. 数据库的备份数据以扩展名为 zip 的文件存储在系统中,找到该 zip 文件计算其 MD5 (128 位)校验值,并以此作为 flag 提交。(答案格式如:C4CA4238A0B923820DCC509A6F75849B,字母大写)

    找到压缩文件,查看其它文件都不是数据库备份文件,pay.zip打不开,修复文件头发现是备份文件,计算修复前的文件MD5

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114170803119
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114171034904
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114171045979

    164BDFC3E35173FF312270FA2BD5A7F6

  4. 找到网站连接数据库的密码,并以此作为 flag 提交。(答案格式如:123456abcdef)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114171231780
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114171505122

    @d*E5x^N

  5. 给出数据库中存储网站的后台管理员的数据表的名称,并以此作为 flag 提交。(答案格 式如:abctable)

    查看mysql的日志.mysql_history

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114171723823

    pay_sjtadminsjt

  6. 给出编号为 10100 的商户的资金交易变动后,最终的金额,并以此作为 flag 提交。(答案格式如:100.100)

    第二问的时候看压缩包密码:STmk6GZN

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114182941213
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114183509070

    34.200

任务 6:检材 6.rar 上的任务(23 分)

  1. 请分析手机模拟器中的即时通讯 APP,计算该 APK 的 MD5,并以此作为 flag 提交。(答 案格式:69271864341AA3B2C1E6F2DCA5E90666)

    新建个模拟器,导入就行

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114184129655

    891ABE5A8D00B23765D0CAF56D2ECCA6

  2. 给出该 APP 后台服务器的域名,并以此作为 flag 提交。(答案格式:仅包含域名)

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114184552817

    xingchenim.cn

  3. 给出该 APP 当前账号加密聊天记录数据库时使用的密钥,并以此作为 flag 提交。

    看川哥的 再战野火IM 直接一把梭

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114190806610

    e6ecb900-aa41-439c-9de8-2503e00e308e

  4. 给出该 APP 中与“谭永”聊天最后一条消息的时间,并以此作为 flag 提交。(答案格式:2022-02-02 11:11:11)

    用得到的token解密数据库data.vmdk/分区4/data/cn.xingchenchat.chat/files/flfMfMTT/42815d9d7a016df21659380610469/data

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114191009997
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114191304669

    2022-08-02 03:54:25

  5. 给出该 APP 中用户发给“谭永”的压缩包文件的 MD5,并以此作为 flag 提交。

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114191356514
    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114191739006

    8BA084496CD8A7BB360D0B585472BE94

  6. 对上述 APP 进行分析,找出“吴延凡”的身份证号,并以此作为 flag 提交。

    解压后得到文件

    2023年全国网络安全行业职业技能大赛决赛-电子数据取证
    image-20240114192340811

    54012219070114068X

  7. *已知上述压缩包中的文件中包含了银行卡余额信息,请分析该压缩包,并按照省份进行 统计,余额最多的省份共计余额有多少,并以此作为 flag提交。

    不会

2023年全国网络安全行业职业技能大赛决赛-电子数据取证

2023年全国网络安全行业职业技能大赛决赛-电子数据取证

原文始发于微信公众号(电子取证wiki):2023年全国网络安全行业职业技能大赛决赛-电子数据取证

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月15日12:00:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2023年全国网络安全行业职业技能大赛决赛-电子数据取证https://cn-sec.com/archives/2393846.html

发表评论

匿名网友 填写信息