2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

admin 2024年10月5日13:09:39评论21 views字数 6345阅读21分9秒阅读模式

案情简介(部分案情)

近期,某公安机关正式受理了一起受害者报案案件。受害者陈述称,其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动,即所谓的“选妃”过程。在受害者不察之下,整个交流过程被犯罪团伙暗中录音录像。随后,该客服人员以提供更多潜在相亲对象为由,诱导受害者下载并安装了一款预先准备好的恶意木马应用程序(APP)。一旦受害者安装了此 APP,犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段,对受害者实施多次敲诈勒索和诈骗行为。面对持续的精神压力和经济损失,受害者最终不堪重负,决定向公安机关报案,以期揭露并制止这一恶劣的犯罪行为。

检材下载链接

链接:

https://pan.baidu.com/s/1mlWisF8u4UfBTVfV51BMOw?pwd=hpy0 

提取码:hpy0 

容器密码:MjAyNOm+meS/oeadrw==

注:wp仅为个人思路,如有错误劳烦各位大佬指正,实际答案以后续官方wp为准。

PART/1

 手机取证部分

1.分析手机检材,请问此手机共通过adb连接过几个设备?[标准格式:3]

2

这里当初以为的是3,policies表存储了与Magisk Hide功能相关的策略信息,保存了对哪些应用隐藏 root 权限的设置,并非连接过的设备

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

在misc下adb_temp_keys.xml中找到两条adbkey记录

adbkey通常存储的是ADB公钥(public key)或指纹信息,用于标识曾经与设备通过ADB进行过身份验证的主机

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2.分析手机检材,机主参加考试的时间是什么时候?[标准格式:2024-06-17]  

2024-08-23

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

3.分析手机检材,请问手机的蓝牙Mac地址是多少?[标准格式:12:12:12:12:12:12]

48:87:59:76:21:0f

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

4.分析手机检材,请问压缩包加密软件共加密过几份文件?[标准格式:3]

6

分析得到压缩包加密软件为filecompress    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

火眼特征分析

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

5.分析手机检材,请问机主的另外一个155的手机号码是多少?[标准格式:15555000555]

15599555555

找到密码1!8Da9Re5it2b3a.    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

用该密码将上述压缩包解密得到另一个手机号

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

6.分析手机检材,其手机存在一个加密容器,请问其容器密码是多少。[标准格式:abc123]

d7Avsd!Y]u}J8i(1bnDD@<-o

同上题

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

7.分析手机检材,接上问,其容器中存在一份成员名单,嫌疑人曾经误触导致表格中的一个成员姓名被错误修改,请确认这个成员的原始正确姓名?[标准格式:张三]

陆俊梅

用网钜进行层级分析,发现总部下第二层级中有一单列出来的,回溯到表格中查一下

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

相同手机号在其他地方为“陆俊梅”,所以这里认为原始正确姓名是“陆俊梅”

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

8.分析手机检材,接上题,请确认该成员的对应的最高代理人是谁(不考虑总部)?[标准格式:张三]

刘珏兰    

对陆俊梅单独进行层级分析

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

9.分析手机检材,请确认在该组织中,最高层级的层次是多少?(从总部开始算第一级)[标准格式:10]

12

加上总部12层

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

10.分析手机检材,请问第二层级(从总部开始算第一级)人员最多的人是多少人?[标准格式:100] 

59

总部邀请的人有11人,这里应该是看直接下游人数(直接邀请人数)最多的,是贾书英59人

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

11.分析手机检材,机主共开启了几款APP应用分身?[标准格式:3]

2

这里用龙信的软件分析

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

12.分析手机检材,请问机主现在安装了几款即时通讯软件(微博除外)?[标准格式:1]

2

除去微博是2

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

13.分析手机检材,请问勒索机主的账号是多少(非微信ID)?[标准格式:AB123CD45]

1836042664454131712

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

14.分析手机检材,接上问,请问机主通过此应用共删除了多少条聊天记录 ?[标准格式:2]

1

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

15.分析手机检材,请问会盗取手机信息的APP应用包名是什么?[标准格式:com.lx.tt]

com.lxlxlx.luoliao

微信聊天记录里的apk,用雷电分析试一下    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

16.接上题,请问该软件作者预留的座机号码是多少?[标准格式:40088855555]

40085222666

雷电分析出一个邮箱,到源码看看

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

发现加密方式目录,顺着找下去

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

key是E10ADC3949BA59ABBE56E057F20F883E,iv是其前16位,即E10ADC3949BA59AB

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

这里需要的是作者预留的座机号

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

17.接上题,恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少?[标准格式:[email protected]]

[email protected]  

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

18.接上题,恶意程序偷取数据的发件邮箱地址是多少?[标准格式:[email protected]]

[email protected]

由上题得发送邮件的目录在b.b.a.g.a下,其中smtp常用来发送邮件

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

19.接上题,恶意程序偷取数据的发件邮箱密码是多少?[标准格式:abc123]

qwer123456

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

20.接上题,恶意程序定义收发件的地址函数是什么?[标准格式:a]

a

无论是否发生异常,都返回true    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

PART/2

 计算机取证部分

1.分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?[标准格式:1A23456ABCD]

65B2564BG89F16G9

根据加密脚本写出解密脚本    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2.分析计算机检材,身份证为"371963195112051505"这个人的手机号码是多少?[标准格式:13013524420]

15075547510

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

3.分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)[标准格式:100]

4.分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?[标准格式:100]

5.分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?[标准格式:100]

6.分析计算机检材,计算机中存在的“VPN”工具版本是多少?[标准格式:1.1]

4.4    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

7.分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?[标准格式:http://xxx.xx/x/xxx]https://paste.ee/d/4eIzU

https://paste.ee/d/4eIzU

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

8.分析计算机检材,eduwcry压缩包文件的解压密码是什么?[标准格式:abcabc]

yasuomima

密码管理器内发现一个密码, 测试一下是对的

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

9.分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。[标准格式:全小写]    

30f8820cf93a627c66195f0d77d6a409024c6e52

这里用pestudio查看wcry.exe,里面有一个PKZIP压缩包

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

换到resource hacker中导出该压缩包,将XIA保存为bin文件,将后缀改为zip

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

certutil计算md5

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

10.分析计算机检材,接上题,请问恶意程序记录的洋葱浏览器下载地址是多少?[标准格式:http://xxx.xxx/xxx/xxx.zip]

11.分析计算机检材,接上题,请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式:全小写]

12.分析计算机检材,接上题,恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式:2]

13.分析计算机检材,接上题,请问@[email protected]文件是通过什么函数创建的。[标准格式:Aabcdef]

14.分析计算机检材,接上题,恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式:sub_xxx]

15.分析计算机检材,VeraCrypt加密容器的密码是什么?[标准格式:abc]

qwertyuiop1

发现该文件可以直接解压

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

txt文档中存有容器密码,解压之后得到苹果的备份包   

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

16.分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?[标准格式:12345]

75966

浏览器历史记录有提示,备份包密码位5位数字

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

用passware kit爆破,这个时间用的很久    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

17.分析计算机检材,接上题,机主实际篡改多少条微信数据?[标准格式:1]

3

解析后,对比消息碎片和好友消息内容,共发现3条篡改数据

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

18.分析计算机检材,接上题,机主共存款了多少金额?[标准格式:10万]

19.分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]

340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

记录中发现backup.npbk文件    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

20.分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]   

anzhuo.com

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

PART/3

流量分析

1.分析流量包检材,给出管理员对web环境进行管理的工具名。(标准格式:小皮)

WordPress

/wp-login.php通常用于访问WordPress的登陆界面

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2.分析流量包检材,给出攻击者的ip地址是多少。(标准格式:127.0.0.1)

192.168.209.135

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

3.分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。(标准格式:admin)

users

过滤http流量

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

4.分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。(标准格式:/abc.html)

/up_load.php

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

5.分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。(标准格式:test-type)

6.分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。(标准格式:/abc/edf)

7.分析流量包检材,服务器php配置文件的存放位置(标准格式:/www/sev/php.ini)

8.分析流量包检材,被攻击的web环境其数据库密码是。(标准格式:qwer1234)

9.分析流量包检材,服务器管理存放临时登录密码的位置。(标准格式:/tmp/pass)

10.分析流量包检材,黑客获取的高权限主机的登录密码。(标准格式:qwer1234)

PART/4

服务器取证

1.分析服务器检材,服务器会做登录密码验证,该登录验证文件位置在?[标准格式:/xxx/xxx/xxx.xxx]

/etc/profile.d/check-system.sh

这里是先用仿真软件仿真发现数据被删了,结合题目所说的登录密码验证,按e进入单用户模式

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

ctrl+x    

注:/etc/profile.d文件夹下的脚本文件会在用户登陆时被执行,所以怀疑登陆验证文件在其下,进去看看

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

怀疑是check-system.sh,从火眼里找到该文件查看,印证是

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

这里直接删掉该脚本

执行rm -rf check-system.sh    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

这样就可以重置密码了

passwd root,这里我修改的密码是123456,修改完成后重启用改过的密码登陆

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

2.分析服务器检材,服务器ssh端口是多少?[标准格式:1234]

12320

方法一:在/etc/ssh下查看sshd_config,找到ssh端口

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

方法二:netstat -anpt,sshd对应的端口号

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

ifconfig,用finalshell连接    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

3.分析服务器检材,服务器docker内有多少个镜像。[标准格式:100]

7

docker images

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

或者从火眼直接得到

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

4.分析服务器检材,服务器内sqlserver默认账号的密码是?[标准格式:xxx]

<i7uFtnkTv8>

docker exec -it 392 env发现该容器未启动 执行docker start 392

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

5.分析服务器检材,服务器内sqlserver存放了阿里云存储下载地址,该下载地址是?[标准格式:https://xxx]

https://xinfenfa.oss-accelerate.aliyuncs.com

docker inspect 392,其ipaddress为172.17.0.2

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

用navicat连接

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

6.分析服务器检材,服务器内sqlserver内“cmf_user_action_log”表,表内存在的用户操作日志,一共操作次数是多少?[标准格式:100]

99684318

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

7.分析服务器检材,该服务器正在使用的数据库的持久化目录是什么?[标准格式:/xxx/xxx]

/data/mongo

端口80

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

找到nginx配置文件conf.d查看到服务器名称为bl.dsnbbaj686.fit

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

按照路径,在/opt/bl.dsnbbaj686.fit/www/app下找到database.php查看到该数据库的用户名、密码和端口,对应的数据库类型为mongo,持久文件在/data/mongo

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

8.分析服务器检材,该网站后台正在使用的数据库有多少个集合?[标准格式:100]

13

使用上题得到的用户名、密码连接数据库,直接看到有13个集合    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

9.分析服务器检材,该网站的后台登录地址是?[标准格式:/xxx/xxx.xxx 全小写,不加域名]

mingadmin/common/login

在app_urlconfig表中找到

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

10.分析服务器检材,该网站后台使用的管理员加密算法是?[标准格式:全大写]

BCRYPT

在/opt/bl.dsnbbaj686.fit/www/app/appmanager下common.php中找到加密算法为bcrypt

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

也可以直接从加密后的形式推测

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

11.分析服务器检材,该网站最早使用超级管理员进行删除管理员操作的IP地址是?[标准格式:x.x.x.x]

117.132.191.203

在app_admin_menu中,找到删除管理员操作对应的id为26

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

在app_admin_log中以id=26为条件进行筛选

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

12.分析服务器检材,该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件,该文件内的账单交易订单号是多少?[标准格式:123456]

13.分析服务器检材,该网站存在网站数据库备份功能,该功能的接口地址是?[标准格式:/xxx/xxx 全小写,不加域名]

/appmanger/databackup

在/opt/bl.dsnbbaj686.fit/www/app/appmanager/controller下发现databackup.php文件,查看得到/appmanger/databackup

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

14.分析服务器检材,该网站存放银行卡信息数据表中,其中信息数量前十的公司对应旗下visa银行卡一共有多少金额?[标准格式:100.00]

21701599.63

一先找出信息数量前十的公司    

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

二再筛选出这十家公司旗下visa银行卡,计算金额为21701599.63

15.分析服务器检材,该网站在2023年二月一共获取了多少条通信记录?[标准标准格式:100]

16.分析服务器检材,该网站的一条管理员信息存在数据篡改,请分析是哪个管理员信息遭到篡改,该管理员用户名是?[标准格式:ABCDE]

xYpMLuROhNl

这里是看到的creat_time在login_time之后,所以是xYpMLuROhNl

2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]
2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]

公众号

数字侦探社

作者

宇灏

原文始发于微信公众号(网络安全与取证研究):2024第二届“龙信杯”电子数据取证竞赛部分wp[仅供参考]

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月5日13:09:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2024第二届龙信杯电子数据取证竞赛部分wp[仅供参考]https://cn-sec.com/archives/3233580.html

发表评论

匿名网友 填写信息