案情简介(部分案情)
近期,某公安机关正式受理了一起受害者报案案件。受害者陈述称,其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动,即所谓的“选妃”过程。在受害者不察之下,整个交流过程被犯罪团伙暗中录音录像。随后,该客服人员以提供更多潜在相亲对象为由,诱导受害者下载并安装了一款预先准备好的恶意木马应用程序(APP)。一旦受害者安装了此 APP,犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段,对受害者实施多次敲诈勒索和诈骗行为。面对持续的精神压力和经济损失,受害者最终不堪重负,决定向公安机关报案,以期揭露并制止这一恶劣的犯罪行为。
检材下载链接
链接:
https://pan.baidu.com/s/1mlWisF8u4UfBTVfV51BMOw?pwd=hpy0
提取码:hpy0
容器密码:MjAyNOm+meS/oeadrw==
注:wp仅为个人思路,如有错误劳烦各位大佬指正,实际答案以后续官方wp为准。
PART/1
手机取证部分
1.分析手机检材,请问此手机共通过adb连接过几个设备?[标准格式:3]
2
这里当初以为的是3,policies表存储了与Magisk Hide功能相关的策略信息,保存了对哪些应用隐藏 root 权限的设置,并非连接过的设备
在misc下adb_temp_keys.xml中找到两条adbkey记录
adbkey通常存储的是ADB公钥(public key)或指纹信息,用于标识曾经与设备通过ADB进行过身份验证的主机
2.分析手机检材,机主参加考试的时间是什么时候?[标准格式:2024-06-17]
2024-08-23
3.分析手机检材,请问手机的蓝牙Mac地址是多少?[标准格式:12:12:12:12:12:12]
48:87:59:76:21:0f
4.分析手机检材,请问压缩包加密软件共加密过几份文件?[标准格式:3]
6
分析得到压缩包加密软件为filecompress
火眼特征分析
5.分析手机检材,请问机主的另外一个155的手机号码是多少?[标准格式:15555000555]
15599555555
找到密码1!8Da9Re5it2b3a.
用该密码将上述压缩包解密得到另一个手机号
6.分析手机检材,其手机存在一个加密容器,请问其容器密码是多少。[标准格式:abc123]
d7Avsd!Y]u}J8i(1bnDD@<-o
同上题
7.分析手机检材,接上问,其容器中存在一份成员名单,嫌疑人曾经误触导致表格中的一个成员姓名被错误修改,请确认这个成员的原始正确姓名?[标准格式:张三]
陆俊梅
用网钜进行层级分析,发现总部下第二层级中有一单列出来的,回溯到表格中查一下
相同手机号在其他地方为“陆俊梅”,所以这里认为原始正确姓名是“陆俊梅”
8.分析手机检材,接上题,请确认该成员的对应的最高代理人是谁(不考虑总部)?[标准格式:张三]
刘珏兰
对陆俊梅单独进行层级分析
9.分析手机检材,请确认在该组织中,最高层级的层次是多少?(从总部开始算第一级)[标准格式:10]
12
加上总部12层
10.分析手机检材,请问第二层级(从总部开始算第一级)人员最多的人是多少人?[标准格式:100]
59
总部邀请的人有11人,这里应该是看直接下游人数(直接邀请人数)最多的,是贾书英59人
11.分析手机检材,机主共开启了几款APP应用分身?[标准格式:3]
2
这里用龙信的软件分析
12.分析手机检材,请问机主现在安装了几款即时通讯软件(微博除外)?[标准格式:1]
2
除去微博是2
13.分析手机检材,请问勒索机主的账号是多少(非微信ID)?[标准格式:AB123CD45]
1836042664454131712
14.分析手机检材,接上问,请问机主通过此应用共删除了多少条聊天记录 ?[标准格式:2]
1
15.分析手机检材,请问会盗取手机信息的APP应用包名是什么?[标准格式:com.lx.tt]
com.lxlxlx.luoliao
微信聊天记录里的apk,用雷电分析试一下
16.接上题,请问该软件作者预留的座机号码是多少?[标准格式:40088855555]
40085222666
雷电分析出一个邮箱,到源码看看
发现加密方式目录,顺着找下去
key是E10ADC3949BA59ABBE56E057F20F883E,iv是其前16位,即E10ADC3949BA59AB
这里需要的是作者预留的座机号
17.接上题,恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少?[标准格式:[email protected]]
18.接上题,恶意程序偷取数据的发件邮箱地址是多少?[标准格式:[email protected]]
由上题得发送邮件的目录在b.b.a.g.a下,其中smtp常用来发送邮件
19.接上题,恶意程序偷取数据的发件邮箱密码是多少?[标准格式:abc123]
qwer123456
20.接上题,恶意程序定义收发件的地址函数是什么?[标准格式:a]
a
无论是否发生异常,都返回true
PART/2
计算机取证部分
1.分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?[标准格式:1A23456ABCD]
65B2564BG89F16G9
根据加密脚本写出解密脚本
2.分析计算机检材,身份证为"371963195112051505"这个人的手机号码是多少?[标准格式:13013524420]
15075547510
3.分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)[标准格式:100]
4.分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?[标准格式:100]
5.分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?[标准格式:100]
6.分析计算机检材,计算机中存在的“VPN”工具版本是多少?[标准格式:1.1]
4.4
7.分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?[标准格式:http://xxx.xx/x/xxx]https://paste.ee/d/4eIzU
https://paste.ee/d/4eIzU
8.分析计算机检材,eduwcry压缩包文件的解压密码是什么?[标准格式:abcabc]
yasuomima
密码管理器内发现一个密码, 测试一下是对的
9.分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。[标准格式:全小写]
30f8820cf93a627c66195f0d77d6a409024c6e52
这里用pestudio查看wcry.exe,里面有一个PKZIP压缩包
换到resource hacker中导出该压缩包,将XIA保存为bin文件,将后缀改为zip
certutil计算md5
10.分析计算机检材,接上题,请问恶意程序记录的洋葱浏览器下载地址是多少?[标准格式:http://xxx.xxx/xxx/xxx.zip]
11.分析计算机检材,接上题,请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式:全小写]
12.分析计算机检材,接上题,恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式:2]
13.分析计算机检材,接上题,请问@[email protected]文件是通过什么函数创建的。[标准格式:Aabcdef]
14.分析计算机检材,接上题,恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式:sub_xxx]
15.分析计算机检材,VeraCrypt加密容器的密码是什么?[标准格式:abc]
qwertyuiop1
发现该文件可以直接解压
txt文档中存有容器密码,解压之后得到苹果的备份包
16.分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?[标准格式:12345]
75966
浏览器历史记录有提示,备份包密码位5位数字
用passware kit爆破,这个时间用的很久
17.分析计算机检材,接上题,机主实际篡改多少条微信数据?[标准格式:1]
3
解析后,对比消息碎片和好友消息内容,共发现3条篡改数据
18.分析计算机检材,接上题,机主共存款了多少金额?[标准格式:10万]
19.分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]
340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e
记录中发现backup.npbk文件
20.分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]
anzhuo.com
PART/3
流量分析
1.分析流量包检材,给出管理员对web环境进行管理的工具名。(标准格式:小皮)
WordPress
/wp-login.php通常用于访问WordPress的登陆界面
2.分析流量包检材,给出攻击者的ip地址是多少。(标准格式:127.0.0.1)
192.168.209.135
3.分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。(标准格式:admin)
users
过滤http流量
4.分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。(标准格式:/abc.html)
/up_load.php
5.分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。(标准格式:test-type)
6.分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。(标准格式:/abc/edf)
7.分析流量包检材,服务器php配置文件的存放位置(标准格式:/www/sev/php.ini)
8.分析流量包检材,被攻击的web环境其数据库密码是。(标准格式:qwer1234)
9.分析流量包检材,服务器管理存放临时登录密码的位置。(标准格式:/tmp/pass)
10.分析流量包检材,黑客获取的高权限主机的登录密码。(标准格式:qwer1234)
PART/4
服务器取证
1.分析服务器检材,服务器会做登录密码验证,该登录验证文件位置在?[标准格式:/xxx/xxx/xxx.xxx]
/etc/profile.d/check-system.sh
这里是先用仿真软件仿真发现数据被删了,结合题目所说的登录密码验证,按e进入单用户模式
ctrl+x
注:/etc/profile.d文件夹下的脚本文件会在用户登陆时被执行,所以怀疑登陆验证文件在其下,进去看看
怀疑是check-system.sh,从火眼里找到该文件查看,印证是
这里直接删掉该脚本
执行rm -rf check-system.sh
这样就可以重置密码了
passwd root,这里我修改的密码是123456,修改完成后重启用改过的密码登陆
2.分析服务器检材,服务器ssh端口是多少?[标准格式:1234]
12320
方法一:在/etc/ssh下查看sshd_config,找到ssh端口
方法二:netstat -anpt,sshd对应的端口号
ifconfig,用finalshell连接
3.分析服务器检材,服务器docker内有多少个镜像。[标准格式:100]
7
docker images
或者从火眼直接得到
4.分析服务器检材,服务器内sqlserver默认账号的密码是?[标准格式:xxx]
<i7uFtnkTv8>
docker exec -it 392 env发现该容器未启动 执行docker start 392
5.分析服务器检材,服务器内sqlserver存放了阿里云存储下载地址,该下载地址是?[标准格式:https://xxx]
https://xinfenfa.oss-accelerate.aliyuncs.com
docker inspect 392,其ipaddress为172.17.0.2
用navicat连接
6.分析服务器检材,服务器内sqlserver内“cmf_user_action_log”表,表内存在的用户操作日志,一共操作次数是多少?[标准格式:100]
99684318
7.分析服务器检材,该服务器正在使用的数据库的持久化目录是什么?[标准格式:/xxx/xxx]
/data/mongo
端口80
找到nginx配置文件conf.d查看到服务器名称为bl.dsnbbaj686.fit
按照路径,在/opt/bl.dsnbbaj686.fit/www/app下找到database.php查看到该数据库的用户名、密码和端口,对应的数据库类型为mongo,持久文件在/data/mongo
8.分析服务器检材,该网站后台正在使用的数据库有多少个集合?[标准格式:100]
13
使用上题得到的用户名、密码连接数据库,直接看到有13个集合
9.分析服务器检材,该网站的后台登录地址是?[标准格式:/xxx/xxx.xxx 全小写,不加域名]
mingadmin/common/login
在app_urlconfig表中找到
10.分析服务器检材,该网站后台使用的管理员加密算法是?[标准格式:全大写]
BCRYPT
在/opt/bl.dsnbbaj686.fit/www/app/appmanager下common.php中找到加密算法为bcrypt
也可以直接从加密后的形式推测
11.分析服务器检材,该网站最早使用超级管理员进行删除管理员操作的IP地址是?[标准格式:x.x.x.x]
117.132.191.203
在app_admin_menu中,找到删除管理员操作对应的id为26
在app_admin_log中以id=26为条件进行筛选
12.分析服务器检材,该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件,该文件内的账单交易订单号是多少?[标准格式:123456]
13.分析服务器检材,该网站存在网站数据库备份功能,该功能的接口地址是?[标准格式:/xxx/xxx 全小写,不加域名]
/appmanger/databackup
在/opt/bl.dsnbbaj686.fit/www/app/appmanager/controller下发现databackup.php文件,查看得到/appmanger/databackup
14.分析服务器检材,该网站存放银行卡信息数据表中,其中信息数量前十的公司对应旗下visa银行卡一共有多少金额?[标准格式:100.00]
21701599.63
一先找出信息数量前十的公司
二再筛选出这十家公司旗下visa银行卡,计算金额为21701599.63
15.分析服务器检材,该网站在2023年二月一共获取了多少条通信记录?[标准标准格式:100]
16.分析服务器检材,该网站的一条管理员信息存在数据篡改,请分析是哪个管理员信息遭到篡改,该管理员用户名是?[标准格式:ABCDE]
xYpMLuROhNl
这里是看到的creat_time在login_time之后,所以是xYpMLuROhNl
公众号
数字侦探社
作者
宇灏
原文始发于微信公众号(网络安全与取证研究):2024第二届“龙信杯”电子数据取证竞赛部分wp[仅供参考]
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论