数证杯决赛——个人赛WP

容器挂载密码：4zL!$WpRkmANv@XFQ#7HdEyU&GpoTb56YZ^Jq83!Wr(tqA%XsPB7f@CY1xRmKH9#Le*WVG9NuvT$kJ2@7b64Tp(FLM#zqRY8Hv%!KU^9C&YXL*powq87Hr检材下载链接：链接:https://pan.baidu.com/s/12ZZnIfc7ifYoTNi9H8ZqsA?pwd=5g81 提取码:5g81

计算机部分

1. [填空题]

计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1分)

700755

2. [填空题]

请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1分)

192.168.50.227

3. [填空题]

计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1分)

M

发现计算机中一共有两个vhd虚拟磁盘

仿真起计算机 尝试挂载一下两个虚拟磁盘 发现这个996600.vhd可以直接挂载 挂载后盘符是M

而另一个338899挂载上是被bitlocker加密的 上面咱们密钥也拿到了 也能挂载 但是挂上是空的 没啥用

4. [填空题]

接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1分)

D5F560E72A5BE2FF518DA52BBCF2EB8E

回到刚才挂载的M盘 看一下最后修改的文件 是direct_url.json

我直接往里面传一个fHash算md5 hhh 按要求进行大写

当然用命令也可以

certutil -hashfile direct_url.json MD5

5. [填空题]

请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6分)

1P2P3$$PIAN5P6P78PIAN

在/Document/DYPG/文件夹下找到一个npbk文件

开始以为这个是vc容器 放到passwarekit之后发现竟然识别出来是个7z压缩包 改后缀解压 发现是个nox的嵌套镜像 放到火眼中继续分析

在微信聊天记录中找到vc容器密码图片

6. [填空题]

请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1分)补充：题干中所述发送的邮件指的是某IP向机主发送的最后一封邮件！

6CF25FFF7D2882DBF5722B3B9E382B5F

7. [填空题]

计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://...） (1分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130

8. [填空题]

 计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1分)

2024-11-09 21:59:48

9. [填空题]

Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3分)

40.0112N,112.7000E

在邮件记录中找到发送的图片 导出来

转一下就行了

10. [填空题]

计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？ （答案格式：纯数字） (3分)

6

手机部分

1. [填空题]

 分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1分)

FK3XDN2UKPJ5

2. [填空题]

分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1分)

1234qwer

3. [多选题]

分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2分)A. 南宁市青秀区B. 南宁市江南区C. 济南市历城区D. 上海市松江区E. 上海市宝山区

AD

首先第五个是很好找到的 高德地图解析出来的有很多是宝山区

第一个就是在翻图片的时候 先是发现有个手机截图里面提到南宁建政路

ai问了一下 确实是在青秀区

后面在手机拍照的图片中也找到了建政路美食街的图片 证明去过

4. [填空题]

分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1分)

com.maicai.freejizhang

5. [填空题]

分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5分)

17000000元

也是要翻数据库

用navicat打开

首先在TBL_ACCOUNTINFO表中看到使用支付宝支付对应的uuid是7EB78B8F64E24EB6956DC9DB44720794

再在TBL_OUTGOCATEGORYINFO表中看到礼金红包对应的uuid应该是1701

然后找到TBL_TRADE表中记账的明细 蓝框中的部分才是又满足是支付宝支付又是礼金红包的金额

看到左侧的money列 对应加起来是17000000元

6. [填空题]

分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3分)

201808188

这里是继续翻应用程序 找到一个锤子便签

直接搜包名 找数据库

7. [填空题]

分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1分)

上海市浦东新区张杨北路2899弄

8. [填空题]

分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5分)

344

这个根据微信聊天记录

先让发货的价格 然后对面发了个图片 后面又发了个看着很像密码的东西 这不得不让人怀疑 我们先来找这个图片 找到导出

放010中看一下 发现其实是个png 改了后缀名在放进去 发现文件末尾有冗余数据

直接在010里面提出来另存为 这里可以使用magika工具来识别类型 是个cdf文件

用WPS打开 发现需要输入密码 用上面的mm20241105 打开看到大麻价格

网络流量部分

1. [填空题]

分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1分)

2024-10-24 17:26:12

2. [单选题]

分析网络流量包，可以发现哪种攻击行为？ (1分)A. 网络钓鱼B. SQL注入C. 拒绝服务攻击D. 恶意软件传播E. 中间人攻击

B

sql延时注入攻击

3. [填空题]

分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3分)

secret

4. [填空题]

分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6分)

th!s_1s_5ecret!

5. [填空题]

分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3分)

冰蝎

一眼冰蝎

6. [填空题]

分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5分)

type login.php

服务器部分

1. [填空题]

重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3分)

16379

2. [填空题]

请找出加密mysql数据库连接密码所用的加密密钥（盐值）？（答案格式：注意大小写） (3分)

找到用于部署网站的jar包

F*DZ-kZMs5qt

3. [填空题]

 请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6分)

a_member_st

进网站的步骤看下一题

可以看到会员相关信息，无法导出，这里使用全局搜索大法，选择一个联系方式去检材里搜

发现文件里有sql语句

a_member_st

4. [填空题]

已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/...） (3分)

/zwz/role/getAllByPage

进数据库 /zwz/role/getAllByPage

5. [填空题]

请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1分)

禁用

新建一个用户，把password替换一下就可以用你新建的密码登录了

6. [填空题]

请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3分)

内蒙古自治区

第三题的sql语句全部复制到word里

使用最原始的方法统计

再删掉最前面和最后面的括号，简单的数据处理就做好啦，再粘贴到xlsx里面使用分列功能

再把引号去掉，同时删掉不需要的数据

=AVERAGEIFS(A:A, B:B, B1)  //xlsx是世界上最棒的编程语言

内蒙古自治区

APK部分

1.

分析APK检材，请问程序申请了几项系统权限?格式:6)(2分)

4

2.

分析APK检材，请写出程序的入口邀请码,(答案格式:与实际大小写保持一致)(6分)

ABCDEF

从入口函数看是从so文件加载的

拆包定位对应函数名发现明文比对

3.

分析APK检材，该程序进行恶意行为时保存的文件使用的加密算法及加密模式是?(答案格式:大写，如XXX-XXX)(1分)

AES-GCM

XXX-XXX盲猜AES

验证：

4.

分析APK检材，该程序进行恶意行为时保存的文件使用的加密密钥的？（答案格式：与实际大小写保持一致）（3分）

0123456789abcdef0123456789abcdef

根据前一题定位到AES加密调用部分，bArr2是密钥，一路向上追踪发现是从GalleryActivity获取的，stringFromJNI()说明是来自so文件

跟进到GalleryActivity发现还是来自前面用到的so文件

根据java层代码，发现是aes128，截取前16位

5.

分析APK检材，该程序上传文件的服务器通信URL是多少?(答案格式:https://xxxx/xx/xx)(1分)

https://biwuzhuanyongurl.com/upload

一分的题，估计是直接写了明文，根据提示https直接搜

6.

分析APK检材，以下哪个是该程序存在的恶意行为?(1分)

提示很多：

aes加密这里是图片相关

全篇都是camera相关

基本上可以确定是拍照并上传，现在要确定是前置还是后置 猜也是前置，恶意软件调用前置获取人脸等敏感信息

搜front发现确实是前置

前面题目aes部分、url部分都在k类里面，翻一下k类也能看到前置摄像头

数据分析部分

1. [填空题]

分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1分)

2945

检材给到一个sql文件 我们首先要先把这个sql文件加载到我们本地的数据库中 看到这个数据库名为geren

我们就用navicat连上本地数据库之后 新建一个名为geren的数据库 然后右键导入数据库就行

直接运行sql查询语句

2. [填空题]

属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1分)

11

3. [填空题]

请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3分)

87314

4. [填空题]

计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5分)

11756