首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup

admin 2024年12月5日21:18:13评论9 views字数 5675阅读18分55秒阅读模式

APK分析做不了一点,请参考川佬博客

https://www.cnblogs.com/WXjzc/p/18586809

检材下载请访问:

forensics.didctf.com/download

计算机取证

1. 计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为?(6位数字)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203192040511

700755

2. 请写出远程连接过该计算机的IP(6.6.6.6)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203192135562

192.168.50.227

3. 计算机中曾挂载的vhd非加密分区驱动器号为?(答案格式:大写,如D) (1.0分)

两个vhd,有一个bitlocker加密的,挂载另一个

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204204115755
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204204108074

M

4. 接上题,分区中最后修改时间的文件MD5值为?(答案格式:全大写) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204204152755
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204204256050

0A7152C5AA002A3D65DC5C5C5FAAB868

5. 请找到计算机中的Veracrypt加密容器,并写出其解密密码?(答案格式:字母大小写与实际需一致)

E:DocumentDYPGbackup20241111110139.npbk

导入备份,看微信聊天记录

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160122437

1P2P3$$pian5p6p78pian

6. 请写出IP为202.113.81.243的发件人向机主发送的最后一封邮件附件的MD5值;(答案格式:全大写) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160413483
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160549451

6CF25FFF7D2882DBF5722B3B9E382B5F

7. 计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为?(答案格式:http://...) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160634852

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130

8. 计算机中lqrazqq016j41.jpg文件的删除时间为?(UTC+0800)(答案格式:1990-01-01 01:01:01) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160715821

2024-11-09 21:59:48

9. Fikret Ceker曾经向机主发送过一张照片,请找到该图片写出其拍摄的GPS坐标;(答案格式:保留小数点后4位,如33.3333N,33.3333E) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160816382
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204160925726

112.7000E,40.0112N

10. 计算机中用户“李四”在最后一次成功登录之前登录失败了多少次?(答案格式:纯数字) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204161422916

6

手机取证

1. 分析手机检材,写出苹果手机的序列号是多少?(答案格式:大小写与实际需一致) (1.0分)

image-20241204163014234

FK3XDN2UKPJ5

2. 分析手机检材,写出嫌疑人facebook账号的密码是多少?(答案格式:大小写与实际需一致) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204194320700

1234qwer

3. [多选题] 分析手机检材,下列哪些地址是嫌疑人曾经去过的?(2.0分)

A: 南宁市青秀区

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204170506112

B: 南宁市江南区 没去

C: 济南市历城区

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204170436917

D: 上海市松江区 没去 E: 上海市宝山区

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204171026593

ACE

4. 分析手机检材,嫌疑人安装了用于记账的APP,请问该APP的包名是什么?(答案格式:com.abc.abc) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204171324985

com.maicai.freejizhang

5. 分析手机检材,嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少?(答案格式:请写整数金额,如1230元) (5.0分)

select uuid from TBL_OUTGOCATEGORYINFO where name = '礼金红包';

得到10001 1701 1701

SELECT sum(money) FROM TBL_TRADE WHERE typeuuid IN ('1701''10001');

得到19000000

最后一个不是支付宝支付减去得到17000000这个单位是分,换算就是170000

170000

6. 分析手机检材,嫌疑人家里路由器密码是多少?(答案格式:大小写与实际需一致) (3.0分)

搜路由器就出了

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204192625307
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204192638875

201808188

7. 分析手机检材,写出嫌疑人最新家庭地址;(答案格式:XX市XX区XX路XX弄 (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204192521148

浦东新区张杨北路2899弄

8. 分析手机检材,嫌疑人团伙走私的“大麻”的单价是每克多少元?(答案格式:XX元/克) (5.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204193038185

png的结尾是AE 42 60 82但是这个后面还有东西,分离出来

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204193945056

打开有密码,查看聊天记录得到mm20241105

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204194105935
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204194123306

344

服务器取证

1. 重建完整的系统后,redis对外暴露的端口号是多少?(答案格式:数字) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203204233803

16379

2. 请找出加密mysql数据库连接密码所用的加密密钥(盐值)?(答案格式:注意大小写) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203223011279
F*DZ-kZMs5qt

3. 请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息,写出表名?(6.0分

mysql里的数据少的离谱,看配置文件,他还有另一个数据库,尝试连接,但是配置文件中的密码是加密过的,所以要写一个脚本解密

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204200456087

真看不懂解密,用川佬的

package org.example;
import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEByteEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class Main {
    public static StringEncryptor stringEncryptor() {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setAlgorithm(StandardPBEByteEncryptor.DEFAULT_ALGORITHM);
        encryptor.setPassword("F*DZ-kZMs5qt");
        return encryptor;
    }
    public static void main(String[] args) {
        StringEncryptor encryptor = stringEncryptor();
        String a = "ij+NuXpx6CZwYB1oGHA2M2E2na0G8Tux";
        System.out.println(a+"--->"+encryptor.decrypt(a));
        String b = "064l9Wwf9KjXlSz0phcwvg+R5xwzCNl7";
        System.out.println(b+"--->"+encryptor.decrypt(b));
        String c = "8fiHevvtSApJ/7UoFXZcMMhzXWIdvyjv";
        System.out.println(c+"--->"+encryptor.decrypt(c));
    }
}

得到密码是kidsk&klf^rv,连接得到表名

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204202540774

a_member_st

4. 已知用户在系统中的所有操作都会被记录,请找出用户在“查询角色”时,其请求的后端路径地址为?(格式:/api/query/...) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203210702869

/zwz/role/getAllByPage

5. 请分析得出数据库用户表中status为-1状态值的含义为?(格式:学生) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204202733808

禁用

6. 请统计平均月均收入第二高的省份(省份包含三大类:省、直辖市、自治区)(答案格式:请写出完整的省份名(或直辖市名、自治区名),如江西省、天津市、西藏自治区) (3.0分)

扔给GPT

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204203134958
WITH ProvinceIncome AS (
    SELECT
        SUBSTRING(address, 12AS province,
        AVG(income) AS avg_income
    FROM
        a_member_st
    GROUP BY
        SUBSTRING(address, 12)
),
RankedProvinces AS (
    SELECT
        province,
        avg_income,
        DENSE_RANK() OVER (ORDER BY avg_income DESCAS rank
    FROM
        ProvinceIncome
)
SELECT
    province,
    avg_income
FROM
    RankedProvinces
WHERE
    rank = 2;
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204203143945

内蒙古自治区

流量分析

1. 分析网络流量包,请问目录遍历攻击开始时间是什么时候?(答案格式:1990-01-01 01:01:01) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203194525581

2024/10/24 17:26:12

2. [单选题] 分析网络流量包,可以发现哪种攻击行为?(1.0分)

A: 网络钓鱼 B: SQL注入 C: 拒绝服务攻击 D: 恶意软件传播 E: 中间人攻击

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203194630262

B

3. 分析网络流量包,黑客获取到的数据库名称是?(答案格式:小写) (3.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203202629140

secret

4. 分析网络流量包,黑客通过时间盲注获取到的数据是什么?(答案格式:与实际大小写保持一致) (6.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203202335365

Th!s_1s_5ecret!

5. 分析网络流量包,黑客使用什么webshell管理工具控制服务器?(答案格式:请写中文名,无需填写版本号) (3.0分)

key=72e03c7d2a44eadf

冰蝎

6. 分析网络流量包,黑客通过后门执行的最后一条命令是什么?(答案格式:与实际大小写保持一致) (5.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241203201657401

type login.php

数据分析

1. 分析数据库检材,该数据库中会员姓名包含“强”字的会员数量为多少?(答案格式:纯数字) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204205051801
SELECT COUNT(*FROM member WHERE userName LIKE '%强%';

2945

2. 属于会员id“89378”的直接下级用户数为多少?(答案格式:纯数字) (1.0分)

首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204205248710

11

3. 请计算每名会员的总返佣金额,写出总返佣金额最大的会员id;(答案格式:纯数字) (3.0分)

SELECT userId, SUM(newBlance - oldBlance) AS totalCommission FROM salary GROUP BY userId ORDER BY totalCommission DESC;
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204210022529

87314

4. 计算在2023年5月1日到2024年5月30日之间(包含5月1日和5月30日),总提现金额大于1000的用户数量;(答案格式:纯数字) (5.0分)

SELECT COUNT(DISTINCT userId) AS user_count
FROM withdraw
WHERE 
    creationTime BETWEEN UNIX_TIMESTAMP('2023-05-01'* 1000 AND UNIX_TIMESTAMP('2024-05-30'* 1000
GROUP BY userId
HAVING SUM(withdrawAmount) > 1000;
首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup
image-20241204210714237

11756

原文始发于微信公众号(电子取证wiki):首届数证杯电子数据取证分析大赛 决赛-个人赛Writeup

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月5日21:18:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   首届数证杯电子数据取证分析大赛 决赛-个人赛Writeuphttps://cn-sec.com/archives/3468946.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息