freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2023第七届“蓝帽杯”取证部分题目题解思路
2023-09-01 17:57:27

前言

因为参加不了蓝帽杯所以是在赛后下载题目解题的,而且本人学艺不精(流泪)所以好多题目都没做, 请轻点喷,后面学习相关知识知识之后会补充完整。

简要案情

2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万 元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有 重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据   杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由    你负责勘验,请结合案情,完成取证题目。

题目概览

【APK取证】涉案apk的包名是?  [答题格式:com.baid.ccs]

【APK取证】涉案apk的签名序列号是?  [答题格式:0x93829bd]

【APK取证】涉案apk中DCLOUD_AD_ID的值是?  [答题格式:2354642]

【APK取证】涉案apk的服务器域名是?  [答题格式:http://sles.vips.com]

【APK取证】涉案apk的主入口是?  [答题格式:com.bai.cc.initactivity]

【手机取证】该镜像是用的什么模拟器?  [答题格式:天天模拟器]

【手机取证】该镜像中用的聊天软件名称是什么?  [答题格式:微信]

【手机取证】聊天软件的包名是?  [答题格式:com.baidu.ces]

【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?  [答题格式:1万]

【手机取证】受害人是经过谁介绍认识王哥?  [答题格式:董慧]

【计算机取证】请给出计算机镜像pc.e01的SHA-1值? [答案格式:字母小写]

【计算机取证】给出pc.e01在提取时候的检查员?  [答案格式:  admin]

【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?  [答案格式:  http://www.baidu.com]

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?  [答案格式:  root/admin]

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?  [答案格式:  xxxx(xx)]

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1? [答案格式:字母小写]

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?  [答案格式:  admin!@#]

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?  [答案格式:  8080]

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?  [答案格式:  root/admin]

【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?  [答案格式:   10000]

【内存取证】请给出计算机内存创建北京时间?  [答案格式:  2000-01-11 00:00:00]

【内存取证】请给出计算机内用户yang88的开机密码?  [答案格式:  abc.123]

【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?  [答案格式:  2000-

01-11 00:00:00]

【内存取证】请给出用户yang88的LMHASH值? [答案格式:字母小写]

【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?  [答案格式:  2000-01-11 00:00:00]

【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?  [答案格式:  2000-01-11 00:00:00]

【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少 次? [答案格式:10]

【内存取证】请给出用户最后一次访问chrome浏览器的进程PID? [答案格式:  1234]

【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?  [答案格式:  xx.xxx-xxx.xx.xx]

【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?  [答案格式:  Admin123]

【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?  [答题格式: xx-xx.xx.xx.xx.xx]

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

【服务器取证】请给出嫌疑人累计推广人数?  [答案格式:  100]

【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为?  [答题格式:1.00%]

【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受 害人的数量为[答题格式:8]

【服务器取证】分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?  [答题格 式:10000.00]

【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?  [答题格式:123]

【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?  [答题格式:10]

【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

【服务器取证】分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]

注:本次解题使用的取证软件由上海弘连网络科技有限公司提供。解题过程仅供参考。

APK取证部分

先把获取到的“维斯塔斯.apk”放入雷电APP智能分析软件中,开始自动分析。

【APK取证】涉案apk的包名是?  [答题格式:com.baid.ccs]------答案:  com.vestas.app

雷电APP智能分析软件自动分析结束后可以在基本信息页面看见该apk的包名。

【APK取证】涉案apk的签名序列号是?  [答题格式:0x93829bd]------答案:  0x563b45ca

在详细信息界面往下拉能看到该apk的签名序列号

【APK取证】涉案apk中DCLOUD_AD_ID的值是?  [答题格式:2354642]------答案:  2147483647

使用jadx-gui反编译软件打开该APK包,在资源文件的AndroidManifest文件的第113行代码中找到 DCLOUD_AD_ID的值

【APK取证】涉案apk的服务器域名是?[答案格式:http://sles.vips.com]-----答案 :https://vip.licai.com:8083/

打开雷电自动分析导出的取证报告中能看到服务器域名

【APK取证】涉案apk的主入口是?  [答题格式:com.bai.cc.initactivity]------答案:io.dcloud.PandoraEntry

从雷电的详细界面能看到该apk的主入口

自此,apk取证结束


手机取证部分

【手机取证】该镜像是用的什么模拟器?  [答题格式:天天模拟器]------答案:雷电模拟器

打开“手机文件夹”,能看到一个“leidian-1.15-windows.vbox”文件,初步判断是用的雷电模拟器

因为只是初步判断,所以想验证一下我的猜想,随后看见有个logs文件夹,进入后打开查看.log文件,从 VBox.log文件中最终判断为雷电模拟器

【手机取证】该镜像中用的聊天软件名称是什么?  [答题格式:微信]------与你

先把”手机“文件夹中的三个 .vmdk文件通过火眼取证分析软件分别进行加载,最终在data.vmdk镜像中的 好友消息中找到使用的聊天软件名称是与你

【手机取证】聊天软件的包名是?  [答题格式:com.baidu.ces]------答案:  com.uneed.yuni

在火眼加载的data.vmdk镜像里的应用列表能看见该聊天软件的包名是com.uneed.yuni

【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?  [答题格式:1万]-----答案:5万

在火眼里的与你聊天软件中受害人跟”(586479349591474176)“的聊天记录能看到最低要求是5万

【手机取证】受害人是经过谁介绍认识王哥?  [答题格式:董慧]------答案:华哥

在火眼里的与你聊天软件中受害人跟”(586479349591474176)“的聊天记录能看到介绍人是华哥

自此,手机取证结束                                                   

计算机取证部分

【计算机取证】请给出计算机镜像pc.e01的SHA-1值? [答案格式:字母小写]

使用xways打开pc.e01镜像进行分析

【计算机取证】给出pc.e01在提取时候的检查员?  [答案格式:  admin]

【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?  [答案格式:  http://www.baidu.com]------答 案: http://go.microsoft.com/fwlink/?LinkId=72186

在火眼分析中能看到IE浏览器的首页地址为http://go.microsoft.com/fwlink/?LinkId=72186

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?  [答案格式:  root/admin]------答 案: 3w.qax.com

在火眼分析中的Chrome浏览器中保存的密码里可以看见使用的账号密码是3w.qax.com

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?  [答案格式:  xxxx(xx)]------答 案: 2023春季更新(14309)

使用火眼仿真pc.e01镜像后,打开wps查看版本号

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1? [答案格式:字母小写]------答 案: 24cfcfdf1fa894244f904067838e7e01e28ff450

在使用火眼分析查看文件时在D盘发现发现一个名为“disk.img”的压缩包,由于压缩包过大引起了我的怀 疑,所以直接把这个压缩包添加为新检材,结果火眼识别为windows平台,果断分析,然后直接在文件 系统中搜索“C盘清理.bat”后计算SHA-1值为24CFCFDF1FA894244F904067838E7E01E28FF450,转换一  下得出24cfcfdf1fa894244f904067838e7e01e28ff450

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?  [答案格式:  admin!@#]

使用火眼分析浏览文件时看见一个名为“20134133datqwer.txt”的可疑txt文件,故确定应该是VC加密过  了,原来想着把该PC镜像的内存镜像导出来查找VC密钥,但是因为火眼分析没有导出内存镜像功能,所 以这题就没写

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?  [答案格式:  8080]------答案:  3261

用火眼仿真PC镜像后在虚拟机中看到有个starwind软件(starwind软解功能详情请百度,这里就不放介 绍链接了),打开后发现iSCSI服务器对外端口号为3261

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?  [答案格式:  root/admin]------答 案: user/panguite.com

打开iSCSI服务器查看用户能发现用户名为user

然后在火眼分析中关键词查找StarWind并导出文件,导出后使用VScode打开文件夹

然后在文件夹中搜索“user”并找到StarWind.cfg文件中的chapLocalSecret

随后得出账号和密码分别为user/panguite.com

【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?  [答案格式:   10000]

因为这题也需要VC容器密钥,所以也就没做

自此,计算机取证结束

内存取证部分

内存取证因为没做成功内存镜像所以只能放弃了,发誓之后好好学习(暴风哭泣)

自此,内存取证结束(狗头)

服务器取证部分

这里用火眼仿真的时候火眼没有分析出账户和密码,所以只能手动修改密码了(修改密码教程引用的是CSDN西红柿炒鸡蛋。  大佬的文章)

【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?  [答案格式:  xx.xxx-xxx.xx.xx]------答 案: 3.10.0-957.el7.x86_64

仿真进入服务器后输入uname -r命令查看得到3.10.0-957.el7.x86_64

【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?  [答案格式:  Admin123]------答 案: bad11d923939ca2dcf

在服务器中输入BT命令发现是乱码,由于配置中文模块太麻烦,直接ssh连接服务器

ssh连接后修改宝塔密码然后进入宝塔面板

随后在数据库页面中看见数据库密码

【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?  [答题格式: xx-xx.xx.xx.xx.xx]------答案:pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

在宝塔的数据库页面的远程服务器界面能看到RDS数据库地址

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]------答案:5.7.40

剩下的题目因为还没学会怎么还原RDS数据库,所以折戟于此,后面学习相关知识后会补充完整

自此,服务器取证结束                      

本次蓝帽杯取证部分题目题解全部结束,从这次题解中看出我还有很多需要学习的东西,加油!

加入恒梦安全知识大陆,免费查看完整文档

# 网络安全 # 系统安全 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录