**容器密码 **!fR7$pX3&zT9@kL5*wV1#sG7%qD3^yA9(mB2)jN6~hY4+gC8dW2=eK5;fX7?vM3[oL9]tR4}uS1<yJ5>iP8_bH3:zD6"nQ2'pF4lA7|sC1\wE9/rT3=vY6
计算机取证
请根据计算机检材,回答以下问题:
电脑仿真之后会看到是这个页面
可知是平板模式,可以在设置里改一下
还可以直接点通知关闭
1、请分析计算机检材,用户曾远程连接过IP为192.168.114.51的主机,其远程登陆密码为多少?(答案格式:按实际值填写)
uika
在开始菜单里找到Remote Desktop Manager
看到此ip
点击属性即可查看密码
2、请分析计算机检材,发现嫌疑人有一定的密码构造习惯,依据其密码使用习惯找出嫌疑人购买拷贝的公民信息表格的密码。(答案格式:按实际值填写)
Doloris@0721
在文档里可以找到这个文件
在谷歌密码管理工具里,可以找到嫌疑人的密码构造习惯
可以看到构造习惯应该是Doloris@,所以用passwarekit自定义爆破一下
打开文件就是公民信息表格
3、请分析计算机检材,其中有一模拟器备份文件,请找出用户常用笔记app锁定密码是多少?(答案格式:按实际值填写)
这个题需要用到夜神模拟器,雷电选手落泪。比赛忘记可以拷一份安装包了.......
20180818
先找到备份文件
导入备份文件
用雷电app的字符串相等判断,运行脚本然后输入密码点击验证
4、接上题,app中记录了保险箱密码,该密码是?(答案格式:按实际值填写)
20250228
看到了个二维码
给二维码修复一下
解压密码:KFCVme50
保险箱密码:我的模拟器被勒索的时间【格式:20251001】
在文件备份中找到数据库文件
以文本方式打开,搜索保险箱,发现有黑客,应该是勒索时间
5、请分析模拟器备份,内部转账银行卡号是多少?(答案格式:16位数字)
6214861219932969
打开保险箱之后可以看到这个文件,但是打不开
根据给出的路径,去手机文件里搜索一下,找到该文件
然后放回原路径
在保险柜里打开,得到银行卡号
6、分析计算机检材, 嫌疑人通过换脸软件一共生成了几张图片?(答案格式:仅数字)
5
打开换脸软件的输出文件夹,可以看到有5张照片
7、接上题,嫌疑人使用换脸软件过程中,选择次数最多的源图片名称?(答案格式:包含后缀,如abc123.jpg)
862281175ea6405abda7f2c9c6934ea7.png
看jobs里的completed文件夹,里面有五个文件,分别对应输出的五张图片
打开一个个看,发现这个文件用的最多
8、接上题, 嫌疑人使用换脸软件过程中,一共尝试了几种换脸模型?(答案格式:仅数字)
3
继续看上面的那五个文件
9、请分析计算机检材,嫌疑人有一个密码管理软件,记录了备用机密码,请找到该密码。(答案格式:按实际值填写)
22E4828017
找到一个keepass的加密数据库文件
用keepass打开,最近访问里有个kp.txt,里面提示密码是16161616,打开数据库即可
10、请分析计算机检材,找出文件MD5哈希值为d58c3e31ec6eaecb9026af9821dad645的文件,写出其文件名。(答案格式:包含后缀,如abc.exe)
index.4682354987edf.js
用桌面上的镜像破解出vhd.vhd的秘钥
计算一下所有文件的md5值,过滤一下
11、请分析计算机检材,找出虚拟硬盘内隐藏的VC容器,并使用公民信息表格中身份证号为明显伪造者的地址解密,回答该容器中包含多少个文件(答案格式:仅数字)
4
上题的文件就是容器
根本想不到
然后公民信息表中,周杰的明显伪造,所以密码是山东省济南市历下区经十路200号
看到有四个文件
12、对计算机检材进行分析,其中有个NAS存储,对NAS磁盘分析,找出姓名为“谢妍尚”的手机号。(答案格式:11位数字)( )
15743275550
在FNOS文件夹中能看到很明显的NAS,直接将文件全部拖进UFS中
UFS自动重组之后,可以直接看到有一个Excel表格
在sheet3中可以找到手机号
移动终端取证
请根据手机检材,回答以下问题:
13、分析手机检材,检材的MEID号是多少?(答案格式:14位数字)
99001844373347
直接看基本信息
14、手机备忘录软件里有一串压缩包解密密码,请问密码是多少?(答案格式:按照实际填写)
xinglo-chat
先找备忘录软件
找到三个
找到备忘录软件的数据库
15、手机曾安装过一个小众聊天软件,分析其APP的包名为?(答案格式:com.tencent.mm)
上一题其实也提示软件名称是什么了
com.xinglo.chat
在文件中搜索message,看到消息数据库
回到原始目录
16、小众聊天软件官网Email地址疑似被加密,请找出解密密钥(Key)为?(答案格式:与线索保持一致)
XingLuoChat2024!
备忘录那个数据库里有key
在记事本里好看
美好的一天从现在开始!
unit AESDecrypt;
interface
uses
Windows, SysUtils, Classes, IdCoder, IdCoder3to4, IdCrypt, IdCryptAES;
function DecryptAES(const Ciphertext, Key, IV: string): string;
implementation
function DecryptAES(const Ciphertext, Key, IV: string): string;
var
AES: TIdAES;
Decoder: TIdBase64Decoder;
Input, Output, KeyBytes, IVBytes: TBytes;
InputStream, OutputStream: TStringStream;
begin
Decoder := TIdBase64Decoder.Create(nil);
InputStream := TStringStream.Create(Ciphertext);
OutputStream := TStringStream.Create('');
try
Decoder.InputStream := InputStream;
Decoder.OutputStream := OutputStream;
Decoder.Decode;
Input := OutputStream.Bytes;
finally
Decoder.Free;
InputStream.Free;
OutputStream.Free;
end;
KeyBytes := TEncoding.UTF8.GetBytes(Key);
IVBytes := TEncoding.UTF8.GetBytes(IV);
AES := TIdAES.Create(nil);
try
AES.BlockSize := 128;
AES.KeySize := 128;
AES.Mode := cmCBC;
AES.Padding := padPKCS7;
AES.Key := KeyBytes;
AES.IV := IVBytes;
SetLength(Output, Length(Input));
AES.DecryptBuffer(Output[0], Input[0], Length(Input));
Result := TEncoding.UTF8.GetString(Output);
finally
AES.Free;
end;
end;
procedure TestDecrypt;
var
Ciphertext, Key, IV, Plaintext: string;
begin
Ciphertext := ''; '等待传参
Key := 'XingLuoChat2024!';
IV := '1234567890abcdef';
Plaintext := DecryptAES(Ciphertext, Key, IV);
ShowMessage(Plaintext);
end;
end.
17、接上题,请分析小众聊天软件官网的Email地址为?(答案格式:abc@qq.com)
在该软件的cache目录下,找到官网的文件
导出添加html后缀
在源码里看到隐藏内容
解码
18、在本案件中,张明向王芳已支付的总金额为多少元?(答案格式:仅数字)
780000
查看message.db
过滤一下
可以看到第一次5w,第二次8w,第三次12w,第四次18w,第五次13w,第六次22w,第七次25w,但是这里要注意,题目问的是已支付的,最后一次的25w还没有支付,所以是78w
19、李伟在非工作时间(18:00-次日8:00)向王芳发送的加密文件数量占其向王芳发送的所有加密文件数量的百分比为多少?(答案格式:10%,四舍五入)
50%
先过滤一下
可以看到非工作日有两天,2÷4=50%
20、分析手机检材,检材中的记账app是通过应用市场APP安装的,该应用市场的包名是?(答案格式:com.xiaomi.gamecenter)
com.wandoujia.phoenix2
可以看到应用里有一个豌豆荚还有记账鸭
猜测是豌豆荚下载的,查看文件
在文件夹中翻到了记账的apk包,肯定是豌豆荚安装的了
21、分析手机检材,检材中的记账app安装包MD5为?(答案格式:32位字符,字母请大写)
003E9C929ADF12A56770DC5D9C5109A6
接上题
22、分析手机检材,嫌疑人记账APP中的支出项一共有几个分类?(答案格式:仅数字)
2
查看记账app的数据库文件
可以看到有以下分类
再对比支出项
23、分析手机检材,最终张总给了嫌疑人多少钱?(答案格式:100万)
15万
请吃饭是1,说明收入是2,即15万
24、分析手机检材,检材中的记账app的隐私密码是什么?(答案格式:按实际值填写)
0410
不会逆向.....
服务器取证
受害人搭建了一套AI模型网站对外提供交流服务,某天服务器遭遇黑客入侵,经排查黑客利用AI框架漏洞渗透进入服务器,而后建立持久化登录长期登录作案,请根据服务器检材,回答以下问题:
想给学弟学妹们做一篇服务器的开篇之作,但是这个题又比较少,所以打算从獬豸杯入手,这篇就不做那么详细的流程了
一般来说,都不会在vm上输命令,因为不方便,我这里用的finalshell连接的,无需关闭防火墙,可以直接ssh连上
25、AI服务的对外端口是多少?(答案格式:仅数字)
7860
在home目录下找到AI服务的配置文件
查看该目录下的.env文件
可以启动AI服务/home/langflow/bin/activate
langflow run --env-file /home/langflow/.env
26、当前AI服务共有多少普通用户?(答案格式:仅数字)
8
查看langflow的数据库文件,/root/.cache/langflow/langflow.db
27、已知管理员密码是xxxx@2025,x为小写字母,AI服务的管理员明文密码是多少?(答案格式:按实际值填写)
sszb@2025
把上题管理员的数据保存下来,用hashcat爆破hashcat.exe -m 3200 -a 3 "$2b$12$B/A757s9z/N2ESVYYRKtROPvcyqmnqswWfpbeM1oCDqV1myumc9Q2" ?l?l?l?l@2025
爆破出密码,试试网站,发现可以进去
28、AI服务的对话历史中某个用户上传了一个文件,该文件sha256后八位是多少?(答案格式:字母大写)
B2D10252
查看聊天看到这个文件
下载出来计算哈希
29、已知黑客攻击了AI服务器获取了权限,该黑客利用了哪个接口uri进行攻击的?(答案格式:/api/some/path)
/api/**v1/validate/code**
将上题图片放大即可看到
30、已知黑客攻击了AI服务器获取了权限,请问黑客反弹shell的连接的端口是多少?(答案格式:80)
7788
在日志文件nohup.out中可以找到
31、黑客通过ssh登录服务器所用的ip是多少?(格式:192.168.1.1)
172.23.194.110
查看ssh登录记录
结合上题得到答案
32、已知黑客入侵服务器后植入了一个隐藏文件,该程序的全路径(包括扩展名)为?(答案格式:/path/to/a.ext)
/usr/lib/modules/5.15.0-161-generic/extra/file_hider.ko
查看已加载内核模块
lsmod | grep file
发现了一个名为file_hider的文件,**modinfo**查询详细信息
程序功能分析
请根据程序功能分析检材,回答以下问题:
33、分析程序“MicroSoft-Edge.zip”,实现“对桌面文件遍历并加密”逻辑的动态链接库文件为?(答案格式:kernel32.dll)
34、分析程序“MicroSoft-Edge.zip”,程序从DLL中获取函数指针后,使用哪个API将其转换为委托并执行(区分大小写并完全匹配)?(答案格式:按实际值i填写,如FunA)
35、分析程序“MicroSoft-Edge.zip”,接上题,该动态链接库文件用于加密文件的加密算法为?(答案格式:RC4-128)
36、分析程序“MicroSoft-Edge.zip”,接上题,该加密算法的初始密钥(十六进制)?(答案格式:字母大写)
37、分析程序“MicroSoft-Edge.zip”,接上题,该加密算法的初始向量(十六进制)?(答案格式:字母大写)
38、分析程序“MicroSoft-Edge.zip”,对附件try.txt.enc进行解密,解密后的内容为?(答案格式:按实际值填写)
网络流量分析
请根据流量分析检材,回答以下问题:
39、被攻击ip开放了多少个端口?(答案格式:仅数字)
首先确定被攻击ip
http.request.method == "POST"
可以确定是10.0.0.68被攻击
因为要查询开放端口,所以需要寻找所有源IP为10.0.0.68,且TCP标志SYN和ACK都设置为1的数据包
ip.src==10.0.0.68 && tcp.flags.syn==1 && tcp.flags.ack==1
初步统计下来是有七个,但实际是六个,原因在于追踪4444端口的流量时发现
4444的端口原本是不开放的,是由于攻击者在自己的机器(<font style="color:rgb(0, 0, 0);">10.0.0.5</font>)上提前开启了一个监听端口 21810,等待目标服务器反向连接回来。目标服务器(<font style="color:rgb(0, 0, 0);">10.0.0.68</font>)上的后门程序(<font style="color:rgb(0, 0, 0);">zhengxiang.exe</font>)被触发执行。它主动发起一个TCP连接到攻击者的监听端口(**<font style="color:rgb(0, 0, 0);">10.0.0.5:21810</font>**)。当一个程序发起TCP连接时,操作系统会为它分配一个临时源端口。分配到的源端口就是 4444。
所以4444在最开始并未开放,只是临时开放的端口它只是一个程序在运行时,操作系统临时分配给它的出站连接的源端口。是在漏洞利用后产生的。
所以答案是 6
40、攻击者攻击的站点是什么内容管理系统?(答案格式:字母小写)
http.response and http.content_type contains "text/html"
直接就可以找到
seacms
41、攻击者通过暴力破解获取到的用户账号的密码是多少?(答案格式:按实际值填写)、
http.request.method == "POST"
最后一个登录包信息可以发现if(pgo==0){ location='/cslab/'; pgo=1; }(成功信息)
而之前的都是if(pgo==0){ location='javascript:history.go(-1);'; pgo=1; }(失败)
cslab
42、攻击者上传的恶意文件MD5值为多少?(答案格式:字母大写)
然后再后面的流中发现一个有意思的
上传一个名为<font style="color:rgba(0, 0, 0, 0.6);">zhengxiang.exe</font>的恶意文件到服务器。
发现4D5A,这是MZ头代表可执行文件,对其进行md5加密
43、攻击者使用蚁剑执行的最后一条命令是什么?(答案格式:按实际值填写)
$x6191e10d2cf3f = base64_decode("MJY2QgL2QgIkM6L1dXVy9kYXRhL2FkbWluIiZ6aGVuZ3hpYW5nLmV4ZSZlY2hvIGFhZTg1NWFlNjkmY2QmZWNobyBjMzlkNjU2ZGM3Yg==");
// 解码后:cd /d "C:/WWW/data/admin" & zhengxiang.exe & echo aae855ae69 & cd & echo c39d656dc7b
44、通过流量分析可知,攻击者最终采用何种标准远控载荷类型,以维持正向连接Shell?(答案格式如:linux/x86/meterpreter/reverse_tcp)
Windows 10 版本 14393 是64位系统
标准的shell特征
从攻击模式分析:
- 攻击者通过WebShell上传并执行
<font style="color:rgb(0, 0, 0);">zhengxiang.exe</font> - 恶意程序在目标机器上开启监听端口
- 攻击者主动连接到目标机器的端口
这是典型的 bind_tcp(正向连接)模式
<font style="color:rgb(0, 0, 0);">windows/x64/shell/bind_tcp</font>
数据分析
请根据数据分析检材,回答以下问题:
45、分析数据库检材,直接推荐了最多下线用户共推荐了多少位下线。(答案格式:仅数字)
17
46、分析数据库检材,用户等级为"合伙人"的用户USDT的总投资金额为?(答案格式:1234.12,保留2位小数)
1135581.44
47、分析数据库检材,平台在2022年度的平均每季度新增用户数为多少?(答案格式:仅数字)
623
(Q1+Q2+Q3+Q4)/4=623
48、分析数据库检材,在用户推荐关系网络中,层级最深的用户链条包含多少个用户。(答案格式:仅数字)
7
49、分析数据库检材,该平台用户在同一时间内同时进行2笔以上大额交易(单笔数值>5000)的异常用户有多少人?(答案格式:仅数字)
8
50、分析数据库检材,2023年10月11日之前的90天内无任何交易且此前为活跃用户(注册后90天内有过交易)的潜在失效用户有多少?(答案格式:仅数字)
662
