本期题解来自M4nd3l3y3v师傅,感谢师傅投稿!本题目无案情,检材不公开分享。
手机取证
先放一下手机取证部分的题目
1.手机检材的手机型号是什么
2.手机的蓝牙mac地址是什么
3.手机检材中,嫌疑人在2022年5月9日3点4分52秒的时候可能在哪里?
4.手机在通讯工具potato的包名是什么?
5.手机potato的内部id是多少?
6.potato曾使用过的登录验证码是多少?
7.手机中有一张图片有exif信息,该照片md5后8位是多少
8.嫌疑人联系的诈骗人员的手机号可能是
9.嫌疑人联系的诈骗人员的邮箱可能是
10.嫌疑人的手机号可能是
wp:
1.手机检材的手机型号是什么首先把检材以多文件集合和镜像文件形式分别导入两次,然后可以直接在火眼里面看到
Redmi Note 7 Pro
2.手机蓝牙的mac的地址是什么?
也是如上图所示
58:20:59:0C:42:77
3.手机检材中,嫌疑人在2022年5月9日3点4分52秒的时候可能在哪里?
这个是可以通过火眼的搜索引擎搜索05-09直接搜到结果,也可以凭借经验,一般聊天记录,浏览器记录,照片及其exif信息和地图软件都有可能反映地理位置。
合肥
4.手机在通讯工具potato的包名是什么?
这个咱们可以在手机检材\sdcard\Android\data里面找到potato的包名文件夹,进一步还可以打开cache文件夹找到potato的apk文件,然后丢到雷电APP里确认其包名
org.potato.messenger
5.手机potato的内部id是多少?
内部id这里实际上就是用户id,uid,也是火眼直接看到
72568735
6.potato曾使用过的登录验证码是多少?
登录验证码同题3,也在potato的官号聊天记录那里
7.手机中有一张图片有exif信息,该照片md5后8位是多少
问exif可以考虑考虑照片,找到/手机检材/sdcard/DCIM/Camera之下可以找到一张照片,右击属性发现EXIF版本为0220说明其的确有exif信息
8.嫌疑人联系的诈骗人员的手机号可能是
看potato的聊天记录可以发现,机主似乎要给某人提供赚块钱的视频软件,对面估计是搞果聊的,所以对面就是诈骗人员,看联系人,可以找到他的电话
9.嫌疑人联系的诈骗人员的邮箱可能是
10.嫌疑人的手机号可能是
这个直接看potato账号信息就能找到
Windows取证
先放一下题目
11.电脑磁盘镜像的总扇区数是多少?
12.admin用户密码NThash的后八位是多少?
13.电脑中惠普打印机的驱动版本是?
14.电脑中禁止开机启动的软件程序是哪个
15.电脑中有一个加密容器,求md5后八位
16.电脑中有一个加密容器,求密钥文件md5后八位
17.电脑中有一个加密容器,求加密容器的加密算法
18.电脑中哪个浏览器浏览过steghide的相关信息
19.22.jpg的隐写密码是多少?
20.电脑中哪个浏览器登陆过后台网站
21.受害人张某填写的推广号码是多少
22.嫌疑人曾用哪些邮箱给诈骗分子发送apk
23.那一年的那一月是诈骗分子诈骗的集中时间
24.受害人张某的手机号码是?
25.受害人张某的银行卡号码后四位是?
26.诈骗张某的诈骗分子的银行卡号码后四位是?
计算机部分不知道为什么,火眼分析不出基本信息,所以这里换盘古石计算机取证分析系统
11.电脑磁盘镜像的总扇区数是多少?
总扇区数 = 结束扇区 - 开始扇区 + 1,结束扇区和开始扇区都可以在软件里面找到
106944705
12.admin用户密码NThash的后八位是多少?
这个可以在用户信息那里直接看到
BD2FB0B4
13.电脑中惠普打印机的驱动版本是?
这个在硬件信息那里
10.0.18362.1316
14.电脑中禁止开机启动的软件程序是哪个
这个需要仿真后进入任务管理器找
发现skype是被禁了
15.电脑中有一个加密容器,求md5后八位
加密容器可以在盘古石里看到,是“我的保险箱.txt”
直接导出计算MD5就可以了
16.电脑中有一个加密容器,求密钥文件md5后八位
首先我们知道加密容器通过密钥而不是密码打开,密钥文件是哪个呢?桌面上hint:大神,那就把大神作为密钥文件丢进vc解密,顺便算算MD5
17.电脑中有一个加密容器,求加密容器的加密算法
vc上挂载成功后会显示,是AES
18.电脑中哪个浏览器浏览过steghide的相关信息
QQ浏览器书签处有显示;一定要注意,浏览过可能不止在历史记录,书签也要看一看TAT,思维不要太局限(比赛就是只看了历史记录)
19.22.jpg的隐写密码是多少?
22.jpg在加密盘steghide那个文件夹里面,然后我们找了两份密码文件password.txt和passwd.txt里面的密码都是错的,但是操作手册里还给了爆破的办法,那就试试看爆破,最后放在自己的电脑上爆破,字典用他给的dic.txt,得出密码为00000
20.电脑中哪个浏览器登陆过后台网站
显然这么多浏览器,只有Edge(盘古石会解析成EdigeChrome)里面涉及到了登录,且其中有一个网站涉及到管理员admin,那么这个就是后台网站了
21.受害人张某填写的推广号码是多少
这题要稍微思考了。首先,我们在vc容器的q 708932710文件夹可以找到“张有财”向“技术大拿”的转账记录,说明张有财归708932710管理,那么看到邮箱,那么708932710的邀请码为700001,所以张某的邀请码为700001;另外似乎是受害人先向控制后台的“技术大拿”直接转账,然后“技术大拿”再给这个708932710分成
22.嫌疑人曾用哪些邮箱给诈骗分子发送apk
显然嫌疑人用两个邮箱都发送了apk,直接看邮箱账号信息就可以了
23.那一年的那一月是诈骗分子诈骗的集中时间
看账本,时间主要集中在4月和7月?
24.受害人张某的手机号码是?
这个由转账记录对应到账本,张有财转了10000和3000,账本对应
25.受害人张某的银行卡号码后四位是?
21题的图有,8203
26.诈骗张某的诈骗分子的银行卡号码后四位是?
根据前边的分析,对应一下账本
这个转账就是大拿直接转给诈骗张某的诈骗分子进行分成,其招行尾号3580.
服务器取证
27.服务器是什么操作系统?
28.服务器是什么操作系统发行版本是?
29.服务器的网关是多少?
30.分析检材三磁盘/dev/sdb 的容量是多少GE※
31.分析检材三服务器操作系统安装时间是?
32.分析检材三服务器逻辑卷组名称是※
33.服务器中数据库的版本是?
34.11/909:51:52分更改过服务器哪个用户的密码
35.docker的版本
36.docker-compose的版本
37.服务器是那种raid重组类型
38.raid重组中表格的md5后8位是什么?
39.服务器raid重组后有一张图片,这张图片的隐写flag的后6位是什么?
40.服务器网站部署的工具是什么?
41.网站nginx的配置文件是什么?
42.mysql中删除的数据库是什么 ※
43.分析检材三后台管理登录代码中,退出系统的函数是?
44.服务器中admin用户的下线有多少个
45.简答19、39和44的做题过程
服务器部分给了四个检材,因此断定是RAID重组
那么直接把检材拖入ufs explorer就对了,自动重组出一个web0,然后把它导出,和1.E01一块仿真
27.服务器是什么操作系统?
28.服务器是什么操作系统发行版本是?
这个在仿真阶段可以看到 Ubuntu操作系统 发行版本22.04.3
29.服务器的网关是多少?
ip route show
default via后面的就是默认网关192.168.100.2
30.分析检材三磁盘/dev/sdb 的容量是多少GB
fdisk -l /dev/sdb
31.分析检材三服务器操作系统安装时间是?
这个在盘古石上可以看到
32.分析检材三服务器逻辑卷组名称是※
vgdisplay
ubuntu-vg
33.服务器中数据库的版本是?
数据库的版本mysql --version
5.6.51,前面14.14是客户端版本
34.2023/11/9 09:51:52分更改过服务器哪个用户的密码
这个在认证日志里,认证日志记录了sudo命令的使用,用户的授权等等;我的思路是查看日志→对应时间→对应修改密码的行为
发现改了root用户的密码
35.docker的版本
36.docker-compose的版本
docker版本,docker -v,docker-compose的版本同理
24.0.5和1.29.2
37.服务器是那种raid重组类型
这个一开始那张大图有,是RAID5
38.raid重组中表格的md5后8位是什么?
重组后的新磁盘有一个图和一个xls
MD5:64491d57afbff74098562849c8faa14e
39.服务器raid重组后有一张图片,这张图片的隐写flag的后6位是什么?
非常基础的隐写,放进010Editor在图片数据的结束标记后一眼盯帧
40.服务器网站部署的工具是什么?
这个服务器的网站不象往常一样在/www,而是在home文件夹,/home下的john有安装lnmp,是linux nginx mysql php的集成
所以部署工具为lnmp(这种不需要输入命令只要翻文件或者审计代码的建议直接在UFS看,对眼睛好)
41.网站nginx的配置文件是什么?
由40可知,nginx的配置文件多半在lnmp文件夹里,翻一下就可以发现在conf文件夹下的nginx.conf
42.mysql中删除的数据库是什么 ※
我也不会hhhhh等着培训放答案罢
43.分析检材三后台管理登录代码中,退出系统的函数是?
在网站的控制器下面找Login.php文件,里面发现进行了混淆,用php脚本解一下
<?php$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");//n1zb/ma5vt0i28-pxuqy*6lrkdg9_ehcswo4+f37jecho '第一步生成:',$O00OO0;echo '<br /><br />********************************************************<br /><br />';$O00O0O=$O00OO0[3].$O00OO0[6].$O00OO0[33].$O00OO0[30];$O0OO00= $O00OO0[33].$O00OO0[10].$O00OO0[24].$O00OO0[10].$O00OO0[24];$OO0O00=$O0OO00[0].$O00OO0[18].$O00OO0 [3].$O0OO00[0].$O0OO00[1].$O00OO0[24];$OO0000=$O00OO0[7].$O00OO0[13];$O00O0O.=$O00OO0[22].$O00OO0 [36].$O00OO0[29].$O00OO0[26].$O00OO0[30].$O00OO0[32].$O00OO0[35].$O00OO0[26].$O00OO0[30];echo '第二步生成:',$O00O0O;echo '<br /><br />********************************************************<br /><br />';//上面解出来 $O00O0O=base64_decode;//即然 $O00O0O=base64_decode那么把下面的代码改一下,eval是用来执行php代码,这里不需要执行,只需要解出php代码即可,那么去掉eavl 并把$O00O0O换成上面解出来的值//修改后变成echo '第三步生成:';echo (base64_decode("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"));echo '<br /><br />********************************************************<br /><br />';//上页那步输出来代码为://同样,不需要eval,改成echo$O0O000="PVfoMGSNjcLuZHFhEKJWCkybTQzwBtgdUslYeADqaXmirvRpxnOIuJXEtKYTDcPlVqjOvBARdQoNxgsreFhWLySiaUHMnpZzkfbImCGwuH9rnqUBNZjFVpTriRTSwKjrcjmOVK1INSmDN250cZ9yNKJoGrI1c2LhWKOINZFcg29lWqAfNKmScDyBWpTSwqbEnR5kpjAScpJSc3g7dCJsVYe0nKSln1mHN29knRL7dCJsVYe0nKSln1mviDyBdZTyipTswvmfV2SlwKJ4WKJlVqthg29lWqAfNKmSchI7dhEAPoEMdhQhBzHSQw7SD7HCZNfSfVLBdYUMwveOWpbEN3whNqJkWRQhwHwrtxcFtHwFtxtBdYUMwveoVpb1cZ4hR3b5cKJWwjFQVpTDcZSrWKSfNS0BdYUMPrEAcqJzNKSDwKV1NZT0nR9lwKmfV2SlBdQBdpyAdhQAAKmfV2SlwH0hi29fn2SSBdWQVR5CNqLCBxyBdgSIVzOIc3TSWdhQNK9CnR5NA3JsVpAIVdWWBYS7dhQAdYb0nKSsPx5ScCAfczhC5EBE5Nao55Z75N2J77oeAorCnR5QVphfnR5QVphCPHvytYQ7dhQAXgEAdgEBdgSIVzOINCe1WdhCcK9sWd4CBYS7dhQAdYbQipbOwH0hnR5rWpgEA3efc3glAoQ7dhQAdgEAdgQfP+zlyGY9D+nwQaY4hGRQMgEAdgSIVzOIc3TSWdhQVKj0iJyCcZJFVR1zVpAFVYWWBYS7dhQAdgSHN29knRL6GCTSWdhCcZJFVR1zVpAFVYcyAKbOWKjNA3JsVpAliR1SA10yTDUMTDUMtDgIGrEAdgS9dhEAdgQQcZJsWRm0wH0hbKw6GZ5ONRLEA3JsVpAINZVfAoQFuCWEVpASBKjocZj5BdW1c2JoNZjFVYc9uzbQipbORoW1c2JoNZjFVYWWBYQFuCWEVpASx3wEA3J0VRrCPdbQipbORoW1c2JoNZjFVYWWBY0+VZSSNKgEwCJIVdm1cqWQPqJsVpAliR1SPqJ0VRryWpbINRLyN3b5cKLyWpT0ipb1cowIPx5ZnR5QBdQ7dhQAdgEAdgQfP+ZMDGzfhaaLMGnwFhEAdgSIVzOSNpe0aYhQcZJsWRm0BYS7dhQAdgSoVpb1cZ4hJ1eoVpb1cZ4EA+aVl+R9SaRQyaz0IYsCSBDZzPNSQw3Qlw3SkVDSCBhOAorFtYQ7dhQAdp1SNqTSarEBdgQAdRSZBdboVpT1NqbNA290apeSA10hux0htdS7dhQAdgQAdhQAdgQAcZJ0WpAlwjWgcZJ0WpAlBdXZhMDZS6HZCiuCZNfSfVLOAorFtYQ7dhQAdgS9dgQAdhQAdgQBdgQAdRSZBdboVpT1NqbNA3JrW2gCpYU9uYeFVHLEAKbOWKjNA3eOc3T3N3AQA10lAqASc3JyWjyCWpbINRLCpYQIarEAdgQAdgEAdgQAdRSZwdhhAqASc3JyWjyCN3b5cKLCpYv9tdUZAzUQcZJsWRm0RoW1c3bOWqJsA109uxUIdhQAdgQAarEAdgQAdgQBdgQAdgQAAj9QipbOc1yCN3b5cKLCpYU9wdboVpT1NqbNA290apeSA107dhQAdgQAdYbXVKj0ipTNA3JsVpAIVdWWwH0hAqASc3JyWjyCWRSQA107dhQAdgQAdYbXVKj0ipTNA3JsVpAliR1SA10huYUQcZJsWRm0RoW1c2JoNZjFVYWWGrEAdgQAdgQQp2bOWKjsRoW0N2FSNzWWwH0hNRg1BdWlnR1Oc2OOiZQCBxyBdgQAdgQAdhQAdgQAdYbXL0JxL0SuxSyCN3b5cKLCpYU9wdboVpT1NqbNA290apeSA107dhQAdgQAdYbXL0JxL0SuxSyCWpTScZSQA10huYUQcZJsWRm0RoW1nRgCpxyBdgQAdgQAAj9xbJTxYL9GRoW1c2JoNZjFVYWWwH0hAqASc3JyWjyCWpTScZ5ONRLCpxyBdgQAdgQAAj9xbJTxYL9GRoW0N2FSNzWWwH0hNRg1BdWlnR1Oc2OOiZQCBxyBdgQAdgQAdhQAdgQAdRTfN2FIVYhCVKJlV2m1AorhAj9QipbOcorhTDUMtDUIGrEAdgQAdgSoVpb1cZ4hJ1eoVpb1cZ4EA+aVl+R9SanwQGRBCovCPHvIGrEBdgQAdgS9VRmsVRSZBdboVpT1NqbNA3JsWKj0WptCpx09tYS7dhQAdgQAdpASWqJoNzepLqASWqJoNzhC55Z75N2J5nYm6PYSPGndMGanOGz0IlnwF+nnhlnpFlzzM+RKl+a7QovCPd0mBxyBdgQAdgS9VRmsVpyBdgQAdgQAcZJ0WpAlwjWgcZJ0WpAlBdXCZNfSfVpSIPqEFBLy55YE5Ez25VdT5PzT5n2i5VoEwYcyPxvIGrEAdgQAdp0BdgQAdgEAdgQAXgEAdgQAVRmsVpyBdgQAdgSoVpb1cZ4hJ1eoVpb1cZ4EA+aVl+R9SaRQyaz0IYsSk4NCEksISACEk68OAorFtYQ7dhQAdgS9dhQAdgEAdgS9dhQAdgEAdp1SNqTSarEAdgQQcZJFVR1zVpAFVYU9wKSsc2J0BdbXg09uY0SjRoWoVR1SNRAScZ1SA10IuobXg09uY0SjRoWoVR1SNRAScZ1SA106Aoc7dhQAdYb0nKSsPx5Oc3TIV24EA3ASNRJFiZJoNRLCPdboVR1SNRAScZ1SBxyBdgQAcZJ0WpAlwdb0nKSsPx5ZVpbDndhCNK9CnR4CBxyBdgS9dhQAdgEAXgEBdY8MBhEAwdEh6idU5ia6dhQhBzeUipJ0nK9owKm1n3JIwdUotHv3PxUoPxvsdhQhBzeUcZJ0WpAlwjF0apeSpYeNVKJsi3AIcqbIN25WdhQhBz8Bdpe1iZmIioeZWR5DWKSfNzeyN2WfWpgEBgEAarEAdRTfN2FIVYhCVKJlV2m1AomlWRmyBxyBdgSsVpTsnR9lp3Jlc2J0BdQ7dhQAAqbEnptFuCASVKSoVRT0BdWyN2WINzcIGrEAdpASWqJoNzUQWKOIco0+VZJ0i2hEA2mfV291WdcIGrEAXgEBdpeoN3bSi3bSVdeZWR5DWKSfNzeZVpbDndhQWKJFcKmOWKLhuYUCAorhAqVOcCthuYeNpYrhAqAScKmOi2LhuYeNpYrhAKTfNZVIVoU9wjFWBgEhwdUharEhwdUhdYboVpeyiRTSRoWXp0jvxLSGp18CpYU9wqT0cS9oVpeyiRTSBdcfnR5QVphlcKOrAorCAomcWKOINZFcLZJmWRJsWHE6nR5sWKjli2LEBY0+cZ9fWdhIBY4CP3T0ipbIio9OVK1INzc7dzUhwdUAdzUhwdUhwdUhcZJ0WpAlwdb0nKSsPx52nRJ3Px5ZVpbDndhQWKJFcKmOWKLywdb2ipAsPdUQcZJrNKjDVYrhAKTfNZVIVoQ7dzUhwde9dhEhwdUhcqJzNKSDwKV1NZT0nR9lwqT5c25QcohIdhS7dhQAPo9SaKS0GrEAdYbsapTQwH0hVKwEA3JsVpAINZVfAoQFuCWEVpASBdWfWqSrVYcytoQFuZVINZgEBxyBdgSIVzhQc3SsVdS7dhQAdYbXL0JxL0SuxSyCN3b5cKLCpYU9wdbXVKj0ipTNA290apeSA10huYUQc3SsVjyCN3b5cKLCpxyBdgQAAj9xbJTxYL9GRoW1c2JonRgCpYU9wdbXVKj0ipTNA3JsVpAIVdWWwH0hAqT5c2bNA3JIVdWWGrEAdgQQp1TjL1TAx05NA3JsVpAliR1SA10huYUQp2bOWKjsRoW1c2JoNZjFVYWWwH0hAqT5c2bNA3JsVpAliR1SA107dhQAdYbXL0JxL0SuxSyCWK9kVR4CpYU9wdbXVKj0ipTNA3bfn2JlA10huYeFVHLEA25INRjsnKjznYcIGrEAdgQBdgQAdhQAdgQAdgEAdgSDN29knRLEA2bSNZWyWYcywdbXVKj0iptywHirBDwrBxyBdgS9dhQAAqbEnptFuCASVKSoVRT0BdWINZbSad9INZbSadcIGrEAXgEAdhQBwdUhwUI9dh==";echo '最终代码是:(这是我用htmlspecialchars函数把标签转换了)'.htmlspecialchars('?>'.$O00O0O($O0OO00($OO0O00($O0O000,$OO0000*2),$OO0O00($O0O000,$OO0000,$OO0000),$OO0O00($O0O000,0,$OO0000))));?>
可以看到退出系统的函数是sysnds()
44.服务器中admin用户的下线有多少个
需要登录后台
方法一:绕过用户验证
这里先给/etc/my.cnf的mysqld模块加上skip-grant-tables,然后systemctl restart mysqld重启服务
然后navicat可以连到数据库;
方法二:重构账户密码hash
关于网站重构,我们直接在本机的hosts文件加上ip对域名v.licai.cc的映射,这样就可以从这个域名访问网站了,从/admin进入后台,默认是进入的客户端
在v.licai.cc/application/admin/controller/System.php可以找到密码的加密方式,也就是MD5(密码+时间戳),那就可以在数据库里改MD5,改成自定义密码+时间戳的MD5,这样就能顺利登上admin了
