2023蓝帽杯初赛 取证

2023蓝帽杯

检材：链接：https://pan.baidu.com/s/1fSXPx35zeDmYIpLwRceB3w?pwd=ksd9

密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

案情材料

2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目。

‍

apk

1、涉案apk的包名是？[答题格式:com.baid.ccs]

直接APK Messenger

​​

com.vestas.app

2、涉案apk的签名序列号是？[答题格式:0x93829bd]

繁琐的：

直接解压apk

​​

​​

找到CERT.RSA文件

keytool -printcert -file CERT.RSA

​​

序列号就是 0x563b45ca​

工具梭哈

​​

​

​​

这两个工具都能梭

3、涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

​

还有一个​​

不过我觉得应该是xml里面那个

4、涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

​​

直接模拟器打开

​https://vip.licai.com:8083​

5、涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

​​

io.dcloud.PandoraEntry

手机取证

6、该镜像是用的什么模拟器？[答题格式:天天模拟器]

​​

雷电模拟器

7、该镜像中用的聊天软件名称是什么？[答题格式:微信]

与你

​​

8、聊天软件的包名是？[答题格式:com.baidu.ces]

com.uneed.yuni

​​

9、投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

5万

​​

‍

10、受害人是经过谁介绍认识王哥？[答题格式:董慧]

​

‍

计算机取证

11、请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

​​​

12、给出pc.e01在提取时候的检查员？[答案格式：admin]

​​

pgs

13、请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

​​

14.【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

yang88	3w.qax.com

打开火眼仿真直接得到密码

​​

15.【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

​​

16.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

仿真后取出D盘下面的镜像文件，导入火眼

计算hashfile

​​

24CFCFDF1FA894244F904067838E7E01E28FF450

17.【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

直接搜索密码

3w.qax.com!!@@

​​

18.【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

直接搜ISCSI会看到3260端口

如果不细心的话直接看可能就是会选择这个端口

​​

需要通过端口进程查看pid转到这个程序，然后打开可以看见开放端口

19.【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

​​

点击连接后看不到密码

需要找配置文件

​​

先找exe文件，同路径下面有配置文件：

cfg是一种配置文件的后缀，可以打开看看

​​

直接打开

​​

搜索可以看到密码

‍

20.【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

分析另一个内存镜像

​​

可以看到有疑似var加密的容器，拖出来解密就有这个文档

用火眼看：

​​

也可以看到一个txt有两个g，难免会让人起疑

挂载后里面有很多个xls，看提现记录.xls​算答案

​​

排序、求和

内存取证

21【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

​​

22.【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

​​

23.【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

用取证大师就是直接看，这里答案是选择首次插拔时间

​​

24.【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

​​

yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::

25.【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

​​

26.【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

​​

2023-06-20 16:47:41 UTC+0000

转成北京时间

2023-06-21 0:47:41

27.【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

​​

2次

28.【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

​​

2456

服务器取证

29.【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

​​

30.【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

​​

服务器仿真后找密码

31.【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

​​

32.【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

​​

33.【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

重置密码，查看面板信息得到随机码进入后台

​​

看数据库密码：

​​

刚才有一个root的数据库密码但是连接不上，只能用宝塔页面的，但是我们也可以修改配置文件，让他不用密码验证即可，下面会提到

恢复数据库文件

安装qpress

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin

安装xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

处理文件：
cat qp.xb | xbstream -x -v -C /www/server/data
# 这里的qp.xb就是附件给的文件
导入mysql
cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data
chown -R mysql:mysql /www/server/data

‍

数据库文件配置：（在mysqld模块增加2，3行两条语句）

[mysqld]
lower_case_table_names=1 # 忽略大小写
skip-grant-tables 跳过登录认证

重启mysql后即可登录

​​

/www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php修改后台登录逻辑：

​​​​

这个地址是之前做分析浏览器访问后台得到的地址http://192.168.120.131:8083/AdmanV9YY/Login

修改.env：

​​

地址全改成localhost或者127.0.0.1

利用admin/123456登录即可

​​​​

34、请给出涉案网站后台启用的超级管理员?[答题格式:abc]

​​

只有admin是启用的

35、投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

​​

36、最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

​​

37、分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

​​

刚好两页20个

‍

38、分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

‍

​​

‍

39、分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

128457.00

​​

40.【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

嫌疑人的推荐人

就是陈昊民的推荐人：

​​

查id就是

​​

yang88，推荐号：513935

​​

41、分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

select count(*) as `total`,inviter from member GROUP BY inviter having total>2;

​​

统计出一共60个

42.【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

​​

后面加个order by即可

找到inviter是617624

​​

再查询姓名：骆潇原

43.【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

把状态为+和-的想减即可：

select sum(moneylog_money) from moneylog where moneylog_status = '+'
select sum(moneylog_money) from moneylog where moneylog_status = '-'

​​

​​

​​