2024第二届“pangushi杯”全国电子数据取证大赛总决赛-备注-USB迷|专注于互联网分享

—

手机取证

1、分析安卓手机检材，空闲的磁盘空间是多少：[答案格式：3.12GB][★☆☆☆☆]

146.34 GB

2、分析安卓手机检材，蓝牙MAC地址是多少：[答案格式：11:22:d4:aa:38:1f][★☆☆☆☆]

78:46:D4:8F:38:2E

3、分析安卓手机检材，吴某浏览过最贵的一双鞋子是多少钱：[答案格式：1234][★☆☆☆☆]

4、分析安卓手机检材，手机中最高版本的安卓虚拟机的wifi_mac是：[答案格式：11:22:d4:aa:38:1f][★★★☆☆]

12:34:56:12:e8:24

在应用列表中找到VMOS Pro

找到该应用的数据目录\data\data\com.vmos.pro

找到数据库vmos.db

使用Navicat打开，找到vm表

可以看到有两个虚拟机，查看rom_info可以看到系统版本

一个是安卓9

另一个是安卓7

查看安卓9这部虚拟机的env_info，可以找到wifi_mac

但是在default_env_info中又找到了不同的wifi_mac

这里还不确定正确的wifi_mac是哪一个，推测default_env_info应该是虚拟机使用的原始镜像的环境变量信息，而env_info为虚拟机实际的环境变量信息

将\data\data\com.vmos.pro中的文件夹按照大小降序排列，可以看到osimg目录最大

推测应该是虚拟机的磁盘目录

在\data\data\com.vmos.pro\osimg\r\ot01目录可以看到类似安卓系统目录结构

\data\data\com.vmos.pro\osimg\r\ot02也是

ot01和0t02应该就是对应两台安卓虚拟机，使用火眼分别添加为文件集合类型的检材，使用Android的解析策略进行解析

这里的Android ID刚好与vmos.db中的env_info中的android_id对上了

5、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最早保存的书签地址是：[答案格式：https://baidu.baidu/n/5555579038?ent_id=1][★★★☆☆]

https://zhuanlan.zhihu/p/370879038?utm_id=0

在ot2中有夸克浏览器

查看书签记录

以前被取证软件的浏览器解析坑过，所以还是查看一下数据库比较保险

找到bookmark.db

使用Navicat查看，找到bookmark表，按照create_time升序排列可以确定答案

6、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最后一次的访问地址是：[答案格式：https://baidu.baidu/naa-1-1231.html][★★★☆☆]

https://www.wsym8/show-5-3199.html

找到history这个数据库

修改后缀为.db，使用Navicat查看，找到history表，将visited_time按照降序排列

https://m.quark/s?q=开头的url应该是属于搜索历史的范畴，GET方法传入的q参数的值为搜索的关键词的URL编码

排除掉搜索历史，最后一次访问的网站地址为https://www.wsym8/show-5-3199.html

7、分析安卓手机检材，手机中远程控制软件的密码是：[答案格式：aNdy][★☆☆☆☆]

lp604n

8、分析苹果手机检材，手机中安装的第三方APP（排除系统应用）的数量合计是：[答案格式：1][★☆☆☆☆]

导出应用列表为xls表格

筛选一下程序类型，程序类型为User的应用数量为20个

9、分析苹果手机检材，吴某尝试登录telegram应用所使用的手机号码是：[答案格式：13800138000][★☆☆☆☆]

13800135700

在telegram的应用快照中可以找到

10、分析苹果手机检材，吴某是从什么iOS版本升级到当前版本的：[答案格式：14.4.1][★★★☆☆]

16.0.3

找到更新的日志\private\var\MobileSoftwareUpdate\restore.log

搜索当前版本16.1，定位到相关更新信息，可以看到更新到16.1需要从16.0.3更新

11、分析苹果手机检材，手机相册中的照片中，有多少张时通过iPhone8手机拍摄的：[答案格式：1][★★☆☆☆]

查看相册中的照片的详细信息

2430B0F4-06FB-4053-BD82-296888BEEC91.HEIC

9C5C98EE-D3AF-4506-B409-9C9FA63031C6.HEIC

A7F45C5E-403A-453F-A170-77706A947927.HEIC

934ACD78-1F08-4974-9D57-CD5DFEA80C4E.HEIC

A46DB8B9-DD6E-410D-8977-CEC1B63A5BD7.HEIC

B717815B-C023-472E-A5C9-368229F525B5.HEIC

E1E0365B-1405-4F8E-86C3-C20B45719A20.HEIC

这7张照片是使用iPhone 8拍摄的

12、分析苹果手机检材，手机曾开启热点，供其他人连接，分析手机开启的热点连接密码是：[答案格式：123adb][★★★☆☆]

hello123girl

在/private/var/run目录下的hostapd.conf

密码为hello123girl

*13、接上题，分析成功连接到手机热点的手机型号是：[答案格式：HUAWEI-P40i][★★★☆☆]

14、分析苹果手机检材，吴某曾连接过阿里云服务器，并将服务器的宝塔面板信息保存在手机上，请问该阿里云服务器的内网IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

172.28.39.11

分析backup这个快捷指令

通过SSH连接到了一台服务器，执行了bt 14命令，查看宝塔面板信息，将结果保存了下来

在手机中有个panel info.txt，其中保存了bt 14命令的执行结果

—

APK取证

1、分析安卓手机检材，手机中创建了几个安卓虚拟机：[答案格式：3][★☆☆☆☆]

见手机取证部分第4题分析

2、分析安卓手机检材，手机中安卓虚拟机下载了几个ROM：[答案格式：3][★★★☆☆]

3、分析安卓手机检材，发现在有几张图片是通过AI生成的，这些图是哪个应用生成的，写出该应用安装包的完整路径：[答案格式：/data/app/baidu.app-LLwjwKjpV8sNuMMYnuet3Q==/base.apk][★★★☆☆]

/data/app/~~oxqzMcH9ctmaXX1sqw8MNg==/com.zhipuai.qingyan-Q-8cXhNQuLxGaw7jSF6xTQ==/base.apk

找到AI生成的图片，可以看到右下角有“智谱AI生成”字样的水印

对应到应用列表中的智谱清言

4、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片来自哪个应用，请写出应用的包名：[答案格式：com.tencent.mm][★★★★★]

org.localsend.localsend_app

找到这张图片

在应用列表中找到文件管理相关APP

定位到我的文件APP的数据库目录

在FileInfo.db的recent_files表中可以看到该图片是来自于包名为org.localsend.localsend_app的APP

对应的应用为LocalSend

5、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片的发送者名称是：[答案格式：Andy Oge ][★★★★☆]

Handsome Orange

来到LocalSend的数据目录

在/shared_prefs/FlutterSharedPreferences.xml中可以看到flutter.ls_receive_history标签

尝试base64解码

可以看到senderAlias为Handsome Orange

—

IPA取证

1、警方在勘验苹果手机时，发现手机中有一个叫“私密空间”的应用。该应用打开需要密码，请分析苹果手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

找到该应用

在档案路径中找到SBUserInfo.db

使用Navicat打开，在SBUserInfo表中可以看到一个password，base64解码得到明文

2、接上题，分析该应用中一共加密了多少张图片：[答案格式：1][★★★☆☆]

查看SBMedia.db

在SBMediaInfo表中可以看到只有一条记录

*3、接上题，解密被加密图片，图片中记录的密码是：[答案格式：123adC][★★★★☆]

4、警方在勘验苹果手机时，发现手机中还有一个基于屏幕使用时间功能扩展的应用，该应用打开也需要密码，分析手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

应用列表中按照应用标识排序一下，可以很快排除一些apple官方应用，找到一个叫Cape的应用

在其共享数据目录找到\Library\Preferences\group.air-matters.cloak.plist

使用plistEditor Pro可以看到passcode为147258

5、接上题，该应用隐藏了多少个APP：[答案格式：1][★★★☆☆]

还是在group.air-matters.cloak.plist中，可以看到包含了两个APP的token

6、接上题，该应用限制了位置信息，通过分析，设定的位置所属的城市是：[答案格式：北京][★★★☆☆]

成都

解压检材后使用FileLocater Pro在应用的共享数据目录搜索关键词“市”

可以找到placemarks为成都市

7、审讯时，吴某交代其有通过手机中的某个应用对服务器数据库进行维护的习惯，分析苹果手机检材，给出该应用的应用名称：[答案格式：微信][★★☆☆☆]

快捷指令

在应用数据分析中有一个快捷指令工具

其中有7个指令

前四个应该是默认的快捷指令，重点关注后三个，即apk、yourcode、backup，应该是用户自定义的快捷指令

找到快捷指令应用的数据库

/private/var/mobile/Library/Shortcuts/Shortcuts.sqlite

导出使用Navicat查看，在ZSHORTCUTACTIONS表中找到对应的7个指令

指令数据在ZDATA字段，是以plist类型数据存储的，将后三个分别保存为plist文件

这部分需要联动服务器

在yourcode这个指令中可以找到一个服务器的IP

正好可以对应上源码商城服务器检材

每一个WFWorkflowActionIdentifier对应一步操作

可以看到有几个base64编码的操作

找到plist中的base64编码，解码发现执行了/root目录下的bak.py

来到服务器中查看该脚本，功能是备份数据库

8、接上题，该应用对服务器数据库的操作，一共需要多少步操作：[答案格式：1][★★★☆☆]

每一个WFWorkflowActionIdentifier对应一步操作，一共14步

盘古石也可以直接解析出

9、接上题，上述操作过程中，一共涉及几个变量：[答案格式：123456][★★★☆☆]

一共有4次setvariable的操作

变量分别为host、pwd、cmd2、cmd1

10、接上题，该服务器的IP地址是：[答案格式：127.0.0.1][★★★☆☆]

192.168.137.22

在设置host变量前的gettext操作中得到IP的Base64编码

*11、接上题，上述操作过程中，生成备份文件的压缩密码是：[答案格式：123adb][★★★★★]

根据python脚本，生成的备份文件的压缩密码应该是紧接在python /root/bak.py后的一个参数

对应到快捷指令中应该是cmd2

根据plist文件中的动作可以猜测与bullshit和照片的SHA1有关

12、继续分析该应用，该应用在相册中一共生成了多少张图片：[答案格式：1][★★☆☆☆]

相册中有一些二维码图片

扫码可以得到apk的下载地址，与后面一题的apk下载地址对应上了

分析apk这个快捷指令

应该是先访问带config.json的URL，然后根据key取值，取apk的下载地址，然后生成二维码，保存到相册中

对相册中的5个二维码图片分别解码，只有紫色的那一张解码失败，是被加进来混淆的二维码

13、继续分析该应用，吴某通过该应用还获取了一个APK的下载链接地址，请问该APK的下载链接地址中包含的时间戳是：[答案格式：20240605][★★★★☆]

20220416

在apk这个快捷指令中找到一个URL

浏览器访问可以找到apk的下载地址

—

区块链分析

3D案情登录账号11个1，密码6个1

1、通过3D案情，得到另一个钱包地址，请问地址是：[答案格式：0xasl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

0xa2af1c188e828a440d32ec6a206cac5310b74bc1

在U盘中可以提取到

2、钱包地址信息对应哪一条公链：[答案格式：ETC][★★☆☆☆]

BNB

欧科云链查询得到的钱包地址

可以看到该地址共存在于5条链上，主要在BNB链上

3、钱包地址接受用户资金使用的虚拟币币种是：[答案格式：ETC][★★☆☆☆]

USDT

根据第4题可知，用户资金被转入到当前钱包地址后又转入了0xd109046aa3e92d13fad241a695262be4ec3431f6

查看交易的记录，发现在代币转账中，发送过USTD

使用链必追平台，对0xd109046aa3e92d13fad241a695262be4ec3431f6进行地址研判

发现由0xa2af1c188e828a440d32ec6a206cac5310b74bc1转入的19.09万USDT被转出到0x719569e2b5dad91b5833fc3e0c4f34fd538e1c0e

可以判断接受用户资金使用的虚拟币为USDT

4、已知地址0xd109046aa3e92d13fad241a695262be4ec3431f6曾收到上述地址涉案资金并将这笔资金后续跨链转出，跨链资金直接转出到哪条链：[答案格式：EtC链][★★☆☆☆]

TRON链

使用链必追平台对0x719569e2b5dad91b5833fc3e0c4f34fd538e1c0e进行扩展，发现资金确实是跨链转出了，转出到了TRON链

*5、根据上题，确定项目的沉淀地址是：[答案格式：Easl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

—

计算机取证

1、分析计算机检材，计算机共通过localsend应用接收了多少个视频文件：[答案格式:28][★★☆☆☆]

仿真后打开LocalSend

查看历史记录

有点多，不是很好数，可以在设置中查看接收文件的保存目录

来到下载目录

视频都保存在了douyin文件夹中，一共69个项目

可以对比一下接收记录里的时间和文件夹中视频的修改时间

2、分析计算机检材，计算机共保存了多少个服务器的公钥：[答案格式:28][★★★☆☆]

在计算机上安装了WindTerm

找到安装目录

找到\.wind\profiles\default.v10\terminal\ssh目录中的known_hosts

打开查看，发现存储的服务器公钥，一共35个

3、分析计算机检材，计算机的rustdesk的中继服务器IP地址是什么：[答案格式:123.123.123.123][★★☆☆☆]

152.126.118.24

在rustdesk的设置中可以看到

4、分析计算机检材，计算机的TOR浏览器记录第一个有cookie的暗网地址是：[答案格式:http://sjiajjaksd.onion][★★☆☆☆]

http://666666666tjjjeweu5iikuj7hkpke5phvdylcless7g4dn6vma2xxcad.onion

5、分析计算机检材，计算机里共群控过多少个终端：[答案格式:28][★★★★★]

群控软件为来喜投屏

在文档目录下找到laixi.db

使用Navicat打开，在Android表中可以看到有4台终端的记录

6、分析计算机检材，吴某未被起获的另一部手机的真实型号是：[答案格式:oppo-A93][★★★★★]

Samsung-Galaxy Z Fold5

打开计算机中的雷电多开器，可以看到有4个模拟器

分别查看模拟的机型

与laixi.db中记录的型号做对比

SM-G996N为三星手机检材，V1916A和SKW-A0都是模拟器

所以另外一台真实手机型号是SM-F9460，对应型号为三星Galaxy Z Fold5

7、分析计算机检材，计算机群控程序脚本中哪个是吴某自己写的，文件名是：[答案格式:scripts.txt][★★★☆☆]

录屏存相册.bat

在快捷任务中可以看到三个脚本

点击管理可以来到脚本所在目录

查看laxi.db的JsTask表发现只有两个脚本

录屏存相册.bat应该是吴某自己写的

8、分析计算机检材，计算机群控程序中滑屏脚本最大滑屏次数是：[答案格式:28][★★★★☆]

查看自动上滑脚本.js

一共循环9999次

9、分析计算机检材，计算机中adb程序环境变量目录是：[答案格式:C:\Program Files\test.exe][★☆☆☆☆]

D:\PentestTools\reverse\platform-tools_r31.0.2-windows\platform-tools\adb.exe

仿真后用where命令查找adb.exe的位置

查看系统环境变量

10、分析计算机检材，微信聊天中的虚拟钱包地址是：[答案格式:TJ4HGPcdXD3d5397hFEPdpdukTY38DDh8o][★☆☆☆☆]

11Bm4ZDrY6ughusdtXcXn4fxPErNhFG6G

盘古石计算机取证分析系统可以直接用内存解密微信，在与自己的聊天记录中可以看到钱包地址

使用火眼的话要先用内存分析工具得到数据库密钥

再使用密钥进行解密即可

11、分析计算机检材，容器程序main函数地址是：[答案格式：0X4012000E1][★★☆☆☆]

0X1400010E0

容器程序为别点我.exe

使用IDA打开，找到main函数，可以看到函数地址

12、分析计算机检材，容器程序导入函数总数是：[答案格式：123456][★★☆☆☆]

在查看导入函数的Imports窗口中可以看到一共有82个导入函数

13、分析计算机内存检材，给出进程“别点我.exe”的进程ID是：[答案格式：123][★☆☆☆☆]

在进程列表信息中可以看到一个名字乱码的进程

查看详情可知就是别点我.exe

进程号为2872

14、分析计算机内存检材，FTK Imager的程序版本号是：[答案格式：1.2.3.4][★★★☆☆]

4.7.1.2

vol3分析，输出filescan记录到filescan.txt

在结果中搜索FTK

导出对应虚拟地址的FTK Imager.exe

会得到file.0xab866311aec0.0xab8660ce67b0.ImageSectionObject.FTK

Imager.exe.img文件

拖到Windows系统中修改后缀为.exe后右键查看属性，在详细信息里面有版本信息

15、分析计算机内存检材，给出向日葵使用时，计算机内网的IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

192.168.217.172

—

数据分析

这部分不知道xls文件的密码，无从下手

*1、分析计算机检材，户籍是黑龙江省的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*2、分析计算机检材，受害人住址地跟户籍地不在一个省份的总是：[答案格式：123456][数据分析][★★★★☆]

*3、分析计算机检材，受害人年纪在25岁以下和60岁以上总数是（以当天为准）：[答案格式：123456][数据分析][★★★★☆]

*4、分析计算机检材，住址在四川的受害人余额总计：[答案格式：123456][数据分析][★★★★☆]

*5、分析计算机检材，男性受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*6、分析计算机检材，注册时间在2024年1月1号到2024年4月1号的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

—

入侵分析

1、分析VPN服务器，网站http://192.168.11.89在网站根目录存在源码泄露的位置是：[答案格式：/houtai/test.tar][★★☆☆☆]

/manage/www.zip

在/home目录可以看到有dirsearch

扫描的记录在reports目录

进入http_192.168.11.89目录查看记录文件，筛选出响应码为200的记录

可以看出源码泄露的目录是/manage/www.zip

2、分析VPN服务器，在网站根目录存在源码泄露的网站是：[答案格式：10.45.78.46][★★☆☆☆]

192.168.11.5

在http_192.168.11.5目录的扫描记录中发现网站根目录存在源码泄露

3、分析VPN服务器，黑客使用os-shell写入文件上传内容的文件名是：[答案格式：test.php][★★★★☆]

tmpumqvm.php

在/home目录下还有sqlmap

找到sqlmap的记录存放目录

查看/output/192.168.11.6/target.txt可知执行记录会被输出到touzilc3.txt

找到touzilc3.txt

下载下来，查看分析

在第7个请求包中

参数uid存在SQL注入，进行一次url解码可以看到，使用)闭合参数后使用into outfile写入了16进制内容到c:/phpstuty/www/tmpumsoo.php

将16进制数据转为字符串

是一个上传文件的PHP页面，在自己本地的PHP环境可以查看一下

在第8个请求包中

尝试以GET方法去访问写入的恶意上传页面，但是响应结果是404

观察后面的请求包和响应包可以发现一个规律：每次通过into outfile写入恶意上传页面的代码到一个以tmpuxxxx.php命名的php文件中，然后尝试访问该页面

所以接下来需要找得是第一个访问响应码为200的tmpuxxxx.php文件

在第28个请求中找到

访问/ThinkPHP/Library/Think/tmpumqvm.php响应为200，往前看，还尝试过访问/WWW/ThinkPHP/Library/Think/tmpumqvm.php、/phpstudy/WWW/ThinkPHP/Library/Think/tmpumqvm.php，显然是在盲测tmpumqvm.php的访问路径

tmpumqvm.php是在第25个请求中上传的

将恶意上传页面的代码写入到了C:/phpstudy/WWW/ThinkPHP/Library/Think/tmpumqvm.php中

4、分析VPN服务器，正在使用的XSS平台中接受到哪个网站的管理员的cookie：[答案格式：http://www.baidu][★★★☆☆]

http://jinsha.abc

在服务器上搜索xss相关文件

可以看到部署了XSS平台

通过火眼分析是使用宝塔面板部署的

查看宝塔面板默认信息，并且修改面板登录密码

登进宝塔后台

可以看到website运行在7788端口

platform运行在59204端口

上述两个网站的IP都是192.168.11.188，而当前仿真的VPN服务器的IP为192.168.217.188，将这两条域名删除，重新添加，改为当前的IP

修改hosts将域名重定向到虚拟机的ip

访问website，还是重定向到了192.168.11.188

找到网站配置文件/www/wwwroot/website/config.php

修改urlroot和fileprefix的ip

保存后再次访问website即可进入XSS平台主页

接下来需要绕过登录密码

在宝塔面板中可以找到MySQL的root密码为1790e54236111213

使用Navicat连接，发现不允许192.168.217.1也就是本机IP连接

走SSH隧道

找到website数据库的oc_user表，发现管理员用户的userPwd是密文

注册一个用户test 123456

替换admin用户的userPwd

此时就可以使用admin 123456登录了

进入glyhoutai项目可以看到获取到的cookie信息

是http://jinsha.abc网站的管理员cookie

5、分析VPN服务器，获取到权限的目标机器的管理员NTLM是：[答案格式：45ry56gfr5dtt6ytyh6y93875ufha7f5][★★★☆☆]

32ed87bdb5fdc5e9cba88547376818d4

这里接19题分析

查看CS在240522的日志

在/home/CobaltStrike/logs/240522/192.168.217.219

可以看到使用hashdump获取到了目标机器上的用户哈希

格式为“用户:RID:LM-HASH值:NTLM-HASH值”，所以只需要取出NTLM-HASH值即可得到答案，在后面的mimiaktz的回显也可以直接找到管理员用户的NTLM

6、分析VPN服务器，从获取到权限的目标机器上下载了哪个文件：[答案格式：D:\system\network\test.txt][★★☆☆☆]

C:\Users\Administrator\Desktop\WWW\WWW\common\config\config.php

下载了

C:\Users\Administrator\Desktop\WWW\WWW\common\config\config.php

7、分析VPN服务器，在获取到权限的目标机器成功创建的用户名是：[答案格式：test][★★★☆☆]

leon$

创建了一个名为wafer的账户，密码为admin1230.，但是因为administrators打错了没有直接加入到管理员组

创建了一个名为leon$的账户，密码为leon@123.，并且加入了管理员组

$代表该账户是一个隐藏的账户，创建影子账户是进行权限维持的常用手段

随后又删除了wafer账户

所以可以判断在获取到权限的目标机器成功创建的用户名是leon$

8、分析计算机检材，共对多少个网站进行过SQL注入的漏洞尝试：[答案格式:28][★★☆☆☆]

在电脑中找到sqlmap的数据目录

9、分析计算机检材，通过sql注入成功获取了一个网站的大部分数据，存在注入漏洞的参数是：[答案格式:id_id][★★★☆☆]

c_usd

在计算机中显示不了文件夹大小，不好直接排序，在火眼中到对应目录按照大小降序排列

最大的是gg.aigua666文件夹，在其中的dump文件夹可以看到下载下来了网站的一些数据

查看log可知存在SQL注入漏洞的参数为Cookie中的c_usd

10、分析计算机检材，通过sql注入成功获取了一个网站的大部分数据，吴某攻击的网站管理员的登录IP是：[答案格式:23.44.13.56][★★★☆☆]

36.142.187.31

查看dump下来的manager.csv

11、分析计算机检材，电脑上共连接过多少个webshell：[答案格式:123][★★★★☆]

打开蚁剑可以看到

12、分析计算机检材，电脑上常用的蚁剑共安装了多少个插件：[答案格式:123][★★★☆☆]

进入插件市场

可以看到本地装了27个插件

13、分析计算机检材，电脑上常用的蚁剑做了改造，改造后的User-agent是：[答案格式:Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us)][★★★★☆]

Mozilla/5.0 (Windows NT 10.0; Win64; x64)

打开蚁剑的工作目录

在/modules中找到requests.js

可以看到定义的UA为随机伪造的

在蚁剑中打开开发者工具

访问缓存的webshell记录查看网络数据包中的UA头

14、分析计算机检材，吴某在后门为con.php的webshell上查询到/www/wwwroot/default/目录下有多少个php：[答案格式:28][★★★★★]

后门为con.php的webshell对应的URL地址为http://49.65.205.115/con.php

在蚁剑的工作目录找到/antData/db.ant

用Sublime Text打开，搜索URL地址，得到对应的id为KU2ILCtSjIr77dcv

再来到/cache，找到对应的以id命名的缓存记录

使用Sublime Text打开

可以看到记录了一些系统目录中的文件信息，将filemanager-files-后面的字符串进行base64解码

可知当前是查看/www/wwwroot/default/flags/目录下的文件

将/www/wwwroot/default/进行base64编码

搜索对应的编码找到相关记录

将这条记录（以{}包裹的全部内容）复制到一个新的txt中，统计“.php”出现的次数

15、分析计算机检材，吴某通过手机kali渗透后拿到一个webshell，使用电脑进行管理，这个webshell主机的计算机名是：[答案格式:U8FJ3SH41S5HD][★★★★★]

IZTYQTRFU20DWUZ

在后面对于安卓手机检测的入侵分析中得知http://112.124.62.187:8080这个网站存在一个冰蝎后门

打开Maye中的冰蝎是没有数据的

查看最近使用behinder的记录可知还有另外一个冰蝎

对应桌面上的图形化渗透测试武器库中的冰蝎

进入这个webshell，在基本信息中可以看到COMPUTERNAME为IZTYQTRFU20DWUZ

16、分析计算机检材，吴某通过手机kali渗透后拿到一个webshell，使用电脑进行管理，这个webshell主机当前登录操作系统的用户名是：[答案格式:admin][★★★★★]

aa

或者whoami看一下

17、分析计算机检材，吴某通过手机kali渗透后拿到一个webshell，使用电脑进行管理，这个webshell主机的数据库密码是：[答案格式:Pssword][★★★★★]

Asd123456!@#

查看网站目录下的web.config配置文件

测试一下数据库连接，密码中的特殊字符要进行URL编码，不然连接不了

18、分析计算机检材，吴某通过手机kali渗透后拿到一个webshell，使用电脑进行管理，吴某成功提权使用到的工具名是：[答案格式:Tiquan.exe][★★★★☆]

ms15-051.exe

找到提权辅助工具Windows-Exploit-Suggester

可以看到2024年5月22日修改了1.txt和2024-05-22-mssb.xlsx

1.txt是在存在webshell的主机上执行systeminfo命令的回显结果

2024-05-22-mssb.xlsx则是系统版本与提权漏洞对应的一个表格文件

查看README.md可以知道Windows-Exploit-Suggester的使用方法

执行以下命令检测可利用的提权漏洞

python windows-exploit-suggester.py --database 2024-05-22-mssb.xls --systeminfo 1.txt

这里可以看到可以利用MS15-051进行提权

而目标服务器上正好也有ms15-051的exp

这里做题的时候测试使用ms15-051.exe提权是失败的

GodPotato和PrintNotifyPotato均不成功

通过分析可以发现Windows-Exploit-Suggester中的1.txt和2024-05-22-mssb.xlsx修改时间与在冰蝎中添加webshell的时间在同一天的同一个小时之内

综上分析吴某成功提权使用到的工具应该是ms15-051.exe

19、分析计算机检材，吴某在电脑上使用CobaltStrike生成了一个木马，该木马的MD5值是：[答案格式:sdfs2342v42cvh342h][★★★☆☆]

f3ca69fa60bea34883da3274fd9603f9

打开桌面上的CS

可以看到teamserver的地址为192.168.217.188

分析服务器检材的网络信息可以得到192.168.217.188是VPN服务器检材的IP地址

仿真VPN服务器，给仿真的计算机检材和VPN服务器虚拟机都分配NAT网卡，设NAT网卡的IP段为192.168.217.x

在VPN服务器中找到CS目录

来到对应目录启动teamserver

在计算机检材虚拟机中连接，密码是123456

查看监听器可以看到有一个监听端口为7700的反向后门监听器csma

查看VPN服务器中CS在240522的日志可以发现通过Wechat.exe上线了一台IP为192.168.217.219的主机

火眼中搜索Wechat.exe

定位到一个不一样的Wechat.exe，在桌面上的resource_hacker文件夹中

使用火绒进行查杀可以确认其为CS后门

计算MD5

20、分析计算机检材，吴某在电脑上进行了内网渗透，socks5协议跳板代理服务器的IP以及端口是：[答案格式:12.34.56.78:7890][★★★☆☆]

157.233.98.29:37761

查看proxifier中的代理服务器

21、分析计算机检材，吴某在对目标进行信息收集时发现了一些Webpack等前端打包工具所构造的网站，使用特定工具对其进行信息收集，该工具共输出多少个网站的报告：[答案格式:28][★★★☆☆]

对Webpack等前端打包工具所构造的网站进行信息收集的工具为PackerFuzzer

来到其安装目录

在reports目录下可以看到所有输出的报告，每个网站有一个docx报告和一个html报告

22、分析计算机检材，吴某使用远程登录工具登录了一台远程windows主机，其IP地址是：[答案格式:12.34.56.78][★★★☆☆]

206.238.220.147

23、分析计算机检材，吴某拖回了某台机器的lsass进程的内存，该机器的开机密码是：[答案格式:7yjfom][★★★☆☆]

uiLbnts7pQsC

从lsass进程转储文件中获取开机密码是通过mimikatz完成的

找到mimikatz所在目录

其中的mm.dmp即为lsass进程的转储文件

在当前目录打开命令行，执行以下命令

mimikatz.exe "sekurlsa::minidump mm.dmp" "sekurlsa::logonpasswords full" exit

可以得到WIN-CQIIKMVQ5FI这台机器的Administrator用户的明文密码为uiLbnts7pQsC

24、分析安卓手机检材，kali开放的ssh端口是：[答案格式:22][★★☆☆☆]

找到termux中kali的ssh配置文件

导出查看，可以看到端口为2222

25、分析安卓手机检材，存在sql注入漏洞的网站网址是：[答案格式:http://23.22.41.19:8888][★★☆☆☆]

http://112.124.62.187:8080

找到root用户的命令执行记录文件

导出查看，可以看到使用sqlmap对1.txt进行了SQL注入漏洞检测

找到sqlmap文件夹下的1.txt，存在sql注入漏洞的网站网址为http://112.124.62.187:8080

26、分析安卓手机检材，存在sql注入漏洞的网站的内网IP地址是：[答案格式:12.34.56.78][★★★☆☆]

172.16.0.137

根据前面的命令执行记录，来到sqlmap输出结果的目录

在log中可以看到执行命令的回显记录

使用sqlmap的--os-shell执行的命令记录在os.hst中

导出查看，可以看到是和log中的命令回显相对应的

使用ipconfig | findstr /i "ipv4"命令查询了当前机器的ipv4地址

27、分析安卓手机检材，存在sql注入漏洞的网站服务器被添加了几个账户：[答案格式:28][★★★☆☆]

分析os.hst和log

可以看到net user命令的回显中一共有5个用户，其中只有Administrator和Guest是系统自带的用户，其他三个都是单独添加的

28、分析安卓手机检材，存在sql注入漏洞的网站服务器上已有webshell的连接密码是：[答案格式:admin][★★★★☆]

rebeyond

分析os.hst可以看到最后查看了webshell文件C:\Server\WebSits\admin\shell.aspx的内容

查看log中的回显可以得到webshell的内容

了解过一点web渗透，不难看出是冰蝎的webshell

和冰蝎4中的webshell一模一样

—

服务器取证

1、分析VPN服务器，代理软件登录的端口是：[答案格式：6376][★★★☆☆]

查看网络连接信息可以看到运行了一个s-ui和sing-box代理

找到软件安装的位置

来到/usr/local/s-ui

查看db目录中的s-ui.db，在settings表中找到webPort，webPort为/misaka/

浏览器访问http://192.168.217.188:58294/misaka/即可来到登录页面

2、分析VPN服务器，代理软件中的代理端口是：[答案格式：7837][★★★☆☆]

在数据库中找到s-ui的登录账号密码为admin admin

在基础信息中可以看到使用的V2Ray API为1080端口

3、分析VPN服务器，正在使用的XSS平台用IP运行的端口是：[答案格式：7843][★★★☆☆]

见入侵分析部分

4、分析VPN服务器，正在使用的XSS平台的管理员密码是：[答案格式：test][★★☆☆☆]

admin123

在入侵分析部分的时候，通过注册用户的方式替换了数据库中的管理员密码密文，原始的密码密文是5f66a846c5b983b16eb09c3c393b5d9e

分析website的网站源码，找到注册页面源码，可以看到注册的用户信息入库的时候使用了OCEncrypt()函数对密码进行处理

OCEncrypt()函数的定义在function.php中

存入数据库中的密码密文是在明文密码前加上字符串“OldCMS|”再进行md5加密的

可以使用cmd5进行解密，需要选对类型和格式，可以在[帮助]中查看

或者使用burpsuite抓包配合字典进行暴力破解

5、分析VPN服务器，这台机器中的cobaltstrike服务端使用的端口是：[答案格式：7846][★★☆☆☆]

在CS的目录查看一下teamserver

或者启动teamserver

或者运行计算机桌面上的CS

6、请分析网盘服务器，吴某购买的racknerd服务器的详情ID是：[答案格式:100001][★★☆☆☆]

网盘服务器上有docker

仿真后docker容器时运行中的状态

访问在80端口上的flare，可以看到一个个人书签类的页面

F12查看VPS中的RackNerd对应的链接可以得到详情ID为331979

7、请分析网盘服务器，共有几个提供web服务的端口：[答案格式:8][★★☆☆☆]

查看网络连接信息

8080上是IT Tools

80是flare

3001是uptime kuma

5244是储物灵戒

8、请分析网盘服务器，admin用户加密密码的盐值是：[答案格式:Password123][★★☆☆☆]

w4XKqQfHI89zdMXb

存储应用为alist，找到其所在目录

在/opt/alist/data目录可以找到配置文件以及数据库

下载data.db，使用Navicat打开查看

在x_users表中找到admin用户的盐值

9、请分析网盘服务器，服务器存活监控应用的admin用户密码是：[答案格式:password123][★★☆☆☆]

admin888

服务器存活监控应用为Uptime Kuma

进入docker容器

在容器中可以找到kuma.db

查看容器元数据可知宿主机/的var/lib/docker/volumes/uptime-kuma/_data目录被挂载到了容器的的/app/data目录

找到宿主机中的数据库文件

将kuma.db下载下来，用Navicat打开

找到user表中的admin用户的password，为Bcrypt加密

使用cmd5可以查到明文密码为admin888

或者用python脚本配合字典进行枚举

10、请分析网盘服务器，服务器存活监控应用中监控的论坛网址是：[答案格式:https://hackerblog.is][★★★☆☆]

https://breachforums.is

使用admin admin888登录Uptime Kuma，查看监控的项目

可以看到监控了https://breachforums.is，一个黑客论坛

目前已经停止更新

11、请分析网盘服务器，服务器存活监控应用中使用的代理端口是：[答案格式:8080][★★★☆☆]

在设置-代理可以看到

12、请分析网盘服务器，服务器存活监控应用中用来推送的SendKey是：[答案格式:CH88JJF8QWNC0WQJSNKQW9jaskd8sjj][★★★☆☆]

SCT36712MKSYUBEO7flBN7F05lwjxlb6f

在设置-通知中

点击编辑，查看SendKey明文

13、请分析网盘服务器，用来加密网盘中压缩文件的加密算法是：[答案格式:RSA][★★★★☆]

RC4

当前是不知道网盘的密码的

在数据库中的密码加密方式也不知道

可以在服务器中重置alist的密码

来到alist的安装目录/opt/alist，查看一下alist应用的使用方法

可以看到admin指令后可以跟命令set来设置admin用户的密码

修改密码为123456

然后就可以使用admin 123456登录到储物灵戒页面也就是alist应用中

压缩包在源码文件夹中

在docker中有一个alist-encrypt，用于加解密

启动起来后运行在5344端口

直接访问http://192.168.217.131:5344是不行的，进入容器

web界面是运行在public目录中的

访问http://192.168.217.131:5344/public/index.html会自动跳转到登录页面

在conf/nedb目录下有个datafile

使用VSCode进行json格式化，更方便查看

搜索admin可以看到用户的密码为123456

成功登录进去

在配置alist中可以看到对源码目录下的文件使用RC4算法进行加密，密码为rNj39Yj_R*MV

14、请分析网盘服务器，用来加密网盘中压缩文件的加密密码是：[答案格式:Password123][★★★★★]

rNj39Yj_R*MV

见上题分析

15、分析网站服务器检材，数据库的root密码是：[答案格式：123abc][★★☆☆☆]

1700fc6617b3c73d

仿真网站服务器，可以发现主机名为yourcode

与前面苹果手机中的快捷指令联系起来了

服务器中有宝塔面板

查看面板地址

访问发现有域名限制

取消域名访问限制

修改面板密码

登进宝塔面板在面板设置中发现数据库在菜单栏中被隐藏了

取消隐藏

刷新一下就可以在菜单栏看到数据库了

查看root密码

16、分析网站服务器检材，嫌疑人预留的QQ号码是：[答案格式：123456][★★☆☆☆]

网站域名为yourcode.xyz

修改hosts

访问发现500服务错误

查看网站目录下的.env，发现还需要redis数据库

当前是没有开放6379端口的

查看状态却又提示已经在运行中，重启一下redis服务即可

现在就可以正常访问到网站首页了

随便找个商品下单，在弹出来的买前必读中可以看到嫌疑人留下的QQ号

17、分析网站服务器检材，吴某预留的tg群组账号是：[答案格式：@abc][★★☆☆☆]

@yourcode

在.env中可以看到后台登录地址为/admin

访问后台

走SSH隧道连接数据库

来到yourcode_xyz数据库中的admin_users表

这个密码解不出

在网站安装数据库的install.sql文件中找到初始的管理员密码密文

这个密码是admin

替换到数据库中

使用admin admin登录进后台

点击加入TG群会跳转到加入TG群的界面，可以看到群组账号为@yourcode

18、分析网站服务器检材，源码交易平台一共提供了多少支付通道：[答案格式：123][★★☆☆☆]

在支付配置里面可以看到一共有23个支付通道，但是其中有两个没有启用

19、分析网站服务器检材，当前服务器交易记录中，已完成的订单数量是：[答案格式：1][★★☆☆☆]

在订单列表中可以看到3个订单已完成，1个订单已过期

20、分析网站服务器检材，5月21日期间，使用优惠码下单购买的产品中，买家填写的邮箱地址是：[答案格式：123@abc][★★★☆☆]

helloworld@gmail

21、分析网站服务器检材，吴某通过即时通讯和买家联系后，买家下单的源码成交金额是：[答案格式：100][★★☆☆☆]

这里要综合计算机检材中的Enigma聊天记录来分析

从聊天记录中可以得知，下单的时间是2024-05-23，源码原价是500，优惠了50

对应到订单记录，成交金额为450

—

手机取证

1、分析安卓手机检材，空闲的磁盘空间是多少：[答案格式：3.12GB][★☆☆☆☆]

146.34 GB

2、分析安卓手机检材，蓝牙MAC地址是多少：[答案格式：11:22:d4:aa:38:1f][★☆☆☆☆]

78:46:D4:8F:38:2E

3、分析安卓手机检材，吴某浏览过最贵的一双鞋子是多少钱：[答案格式：1234][★☆☆☆☆]

4、分析安卓手机检材，手机中最高版本的安卓虚拟机的wifi_mac是：[答案格式：11:22:d4:aa:38:1f][★★★☆☆]

12:34:56:12:e8:24

在应用列表中找到VMOS Pro

找到该应用的数据目录\data\data\com.vmos.pro

找到数据库vmos.db

使用Navicat打开，找到vm表

可以看到有两个虚拟机，查看rom_info可以看到系统版本

一个是安卓9

另一个是安卓7

查看安卓9这部虚拟机的env_info，可以找到wifi_mac

但是在default_env_info中又找到了不同的wifi_mac

这里还不确定正确的wifi_mac是哪一个，推测default_env_info应该是虚拟机使用的原始镜像的环境变量信息，而env_info为虚拟机实际的环境变量信息

将\data\data\com.vmos.pro中的文件夹按照大小降序排列，可以看到osimg目录最大

推测应该是虚拟机的磁盘目录

在\data\data\com.vmos.pro\osimg\r\ot01目录可以看到类似安卓系统目录结构

\data\data\com.vmos.pro\osimg\r\ot02也是

ot01和0t02应该就是对应两台安卓虚拟机，使用火眼分别添加为文件集合类型的检材，使用Android的解析策略进行解析

这里的Android ID刚好与vmos.db中的env_info中的android_id对上了

5、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最早保存的书签地址是：[答案格式：https://baidu.baidu/n/5555579038?ent_id=1][★★★☆☆]

https://zhuanlan.zhihu/p/370879038?utm_id=0

在ot2中有夸克浏览器

查看书签记录

以前被取证软件的浏览器解析坑过，所以还是查看一下数据库比较保险

找到bookmark.db

使用Navicat查看，找到bookmark表，按照create_time升序排列可以确定答案

6、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最后一次的访问地址是：[答案格式：https://baidu.baidu/naa-1-1231.html][★★★☆☆]

https://www.wsym8/show-5-3199.html

找到history这个数据库

修改后缀为.db，使用Navicat查看，找到history表，将visited_time按照降序排列

https://m.quark/s?q=开头的url应该是属于搜索历史的范畴，GET方法传入的q参数的值为搜索的关键词的URL编码

排除掉搜索历史，最后一次访问的网站地址为https://www.wsym8/show-5-3199.html

7、分析安卓手机检材，手机中远程控制软件的密码是：[答案格式：aNdy][★☆☆☆☆]

lp604n

8、分析苹果手机检材，手机中安装的第三方APP（排除系统应用）的数量合计是：[答案格式：1][★☆☆☆☆]

导出应用列表为xls表格

筛选一下程序类型，程序类型为User的应用数量为20个

9、分析苹果手机检材，吴某尝试登录telegram应用所使用的手机号码是：[答案格式：13800138000][★☆☆☆☆]

13800135700

在telegram的应用快照中可以找到

10、分析苹果手机检材，吴某是从什么iOS版本升级到当前版本的：[答案格式：14.4.1][★★★☆☆]

16.0.3

找到更新的日志\private\var\MobileSoftwareUpdate\restore.log

搜索当前版本16.1，定位到相关更新信息，可以看到更新到16.1需要从16.0.3更新

11、分析苹果手机检材，手机相册中的照片中，有多少张时通过iPhone8手机拍摄的：[答案格式：1][★★☆☆☆]

查看相册中的照片的详细信息

2430B0F4-06FB-4053-BD82-296888BEEC91.HEIC

9C5C98EE-D3AF-4506-B409-9C9FA63031C6.HEIC

A7F45C5E-403A-453F-A170-77706A947927.HEIC

934ACD78-1F08-4974-9D57-CD5DFEA80C4E.HEIC

A46DB8B9-DD6E-410D-8977-CEC1B63A5BD7.HEIC

B717815B-C023-472E-A5C9-368229F525B5.HEIC

E1E0365B-1405-4F8E-86C3-C20B45719A20.HEIC

这7张照片是使用iPhone 8拍摄的

12、分析苹果手机检材，手机曾开启热点，供其他人连接，分析手机开启的热点连接密码是：[答案格式：123adb][★★★☆☆]

hello123girl

在/private/var/run目录下的hostapd.conf

密码为hello123girl

*13、接上题，分析成功连接到手机热点的手机型号是：[答案格式：HUAWEI-P40i][★★★☆☆]

14、分析苹果手机检材，吴某曾连接过阿里云服务器，并将服务器的宝塔面板信息保存在手机上，请问该阿里云服务器的内网IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

172.28.39.11

分析backup这个快捷指令

通过SSH连接到了一台服务器，执行了bt 14命令，查看宝塔面板信息，将结果保存了下来

在手机中有个panel info.txt，其中保存了bt 14命令的执行结果

—

APK取证

1、分析安卓手机检材，手机中创建了几个安卓虚拟机：[答案格式：3][★☆☆☆☆]

见手机取证部分第4题分析

2、分析安卓手机检材，手机中安卓虚拟机下载了几个ROM：[答案格式：3][★★★☆☆]

3、分析安卓手机检材，发现在有几张图片是通过AI生成的，这些图是哪个应用生成的，写出该应用安装包的完整路径：[答案格式：/data/app/baidu.app-LLwjwKjpV8sNuMMYnuet3Q==/base.apk][★★★☆☆]

/data/app/~~oxqzMcH9ctmaXX1sqw8MNg==/com.zhipuai.qingyan-Q-8cXhNQuLxGaw7jSF6xTQ==/base.apk

找到AI生成的图片，可以看到右下角有“智谱AI生成”字样的水印

对应到应用列表中的智谱清言

4、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片来自哪个应用，请写出应用的包名：[答案格式：com.tencent.mm][★★★★★]

org.localsend.localsend_app

找到这张图片

在应用列表中找到文件管理相关APP

定位到我的文件APP的数据库目录

在FileInfo.db的recent_files表中可以看到该图片是来自于包名为org.localsend.localsend_app的APP

对应的应用为LocalSend

5、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片的发送者名称是：[答案格式：Andy Oge ][★★★★☆]

Handsome Orange

来到LocalSend的数据目录

在/shared_prefs/FlutterSharedPreferences.xml中可以看到flutter.ls_receive_history标签

尝试base64解码

可以看到senderAlias为Handsome Orange

—

IPA取证

1、警方在勘验苹果手机时，发现手机中有一个叫“私密空间”的应用。该应用打开需要密码，请分析苹果手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

找到该应用

在档案路径中找到SBUserInfo.db

使用Navicat打开，在SBUserInfo表中可以看到一个password，base64解码得到明文

2、接上题，分析该应用中一共加密了多少张图片：[答案格式：1][★★★☆☆]

查看SBMedia.db

在SBMediaInfo表中可以看到只有一条记录

*3、接上题，解密被加密图片，图片中记录的密码是：[答案格式：123adC][★★★★☆]

4、警方在勘验苹果手机时，发现手机中还有一个基于屏幕使用时间功能扩展的应用，该应用打开也需要密码，分析手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

应用列表中按照应用标识排序一下，可以很快排除一些apple官方应用，找到一个叫Cape的应用

在其共享数据目录找到\Library\Preferences\group.air-matters.cloak.plist

使用plistEditor Pro可以看到passcode为147258

5、接上题，该应用隐藏了多少个APP：[答案格式：1][★★★☆☆]

还是在group.air-matters.cloak.plist中，可以看到包含了两个APP的token

6、接上题，该应用限制了位置信息，通过分析，设定的位置所属的城市是：[答案格式：北京][★★★☆☆]

成都

解压检材后使用FileLocater Pro在应用的共享数据目录搜索关键词“市”

可以找到placemarks为成都市

7、审讯时，吴某交代其有通过手机中的某个应用对服务器数据库进行维护的习惯，分析苹果手机检材，给出该应用的应用名称：[答案格式：微信][★★☆☆☆]

快捷指令

在应用数据分析中有一个快捷指令工具

其中有7个指令

前四个应该是默认的快捷指令，重点关注后三个，即apk、yourcode、backup，应该是用户自定义的快捷指令

找到快捷指令应用的数据库

/private/var/mobile/Library/Shortcuts/Shortcuts.sqlite

导出使用Navicat查看，在ZSHORTCUTACTIONS表中找到对应的7个指令

指令数据在ZDATA字段，是以plist类型数据存储的，将后三个分别保存为plist文件

这部分需要联动服务器

在yourcode这个指令中可以找到一个服务器的IP

正好可以对应上源码商城服务器检材

每一个WFWorkflowActionIdentifier对应一步操作

可以看到有几个base64编码的操作

找到plist中的base64编码，解码发现执行了/root目录下的bak.py

来到服务器中查看该脚本，功能是备份数据库

8、接上题，该应用对服务器数据库的操作，一共需要多少步操作：[答案格式：1][★★★☆☆]

每一个WFWorkflowActionIdentifier对应一步操作，一共14步

盘古石也可以直接解析出

9、接上题，上述操作过程中，一共涉及几个变量：[答案格式：123456][★★★☆☆]

一共有4次setvariable的操作

变量分别为host、pwd、cmd2、cmd1

10、接上题，该服务器的IP地址是：[答案格式：127.0.0.1][★★★☆☆]

192.168.137.22

在设置host变量前的gettext操作中得到IP的Base64编码

*11、接上题，上述操作过程中，生成备份文件的压缩密码是：[答案格式：123adb][★★★★★]

根据python脚本，生成的备份文件的压缩密码应该是紧接在python /root/bak.py后的一个参数

对应到快捷指令中应该是cmd2

根据plist文件中的动作可以猜测与bullshit和照片的SHA1有关

12、继续分析该应用，该应用在相册中一共生成了多少张图片：[答案格式：1][★★☆☆☆]

相册中有一些二维码图片

扫码可以得到apk的下载地址，与后面一题的apk下载地址对应上了

分析apk这个快捷指令

应该是先访问带config.json的URL，然后根据key取值，取apk的下载地址，然后生成二维码，保存到相册中

对相册中的5个二维码图片分别解码，只有紫色的那一张解码失败，是被加进来混淆的二维码

13、继续分析该应用，吴某通过该应用还获取了一个APK的下载链接地址，请问该APK的下载链接地址中包含的时间戳是：[答案格式：20240605][★★★★☆]

20220416

在apk这个快捷指令中找到一个URL

浏览器访问可以找到apk的下载地址

—

区块链分析

3D案情登录账号11个1，密码6个1

1、通过3D案情，得到另一个钱包地址，请问地址是：[答案格式：0xasl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

0xa2af1c188e828a440d32ec6a206cac5310b74bc1

在U盘中可以提取到

2、钱包地址信息对应哪一条公链：[答案格式：ETC][★★☆☆☆]

BNB

欧科云链查询得到的钱包地址

可以看到该地址共存在于5条链上，主要在BNB链上

3、钱包地址接受用户资金使用的虚拟币币种是：[答案格式：ETC][★★☆☆☆]

USDT

根据第4题可知，用户资金被转入到当前钱包地址后又转入了0xd109046aa3e92d13fad241a695262be4ec3431f6

查看交易的记录，发现在代币转账中，发送过USTD

使用链必追平台，对0xd109046aa3e92d13fad241a695262be4ec3431f6进行地址研判

发现由0xa2af1c188e828a440d32ec6a206cac5310b74bc1转入的19.09万USDT被转出到0x719569e2b5dad91b5833fc3e0c4f34fd538e1c0e

可以判断接受用户资金使用的虚拟币为USDT

4、已知地址0xd109046aa3e92d13fad241a695262be4ec3431f6曾收到上述地址涉案资金并将这笔资金后续跨链转出，跨链资金直接转出到哪条链：[答案格式：EtC链][★★☆☆☆]

TRON链

使用链必追平台对0x719569e2b5dad91b5833fc3e0c4f34fd538e1c0e进行扩展，发现资金确实是跨链转出了，转出到了TRON链

*5、根据上题，确定项目的沉淀地址是：[答案格式：Easl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

—

计算机取证

1、分析计算机检材，计算机共通过localsend应用接收了多少个视频文件：[答案格式:28][★★☆☆☆]

仿真后打开LocalSend

查看历史记录

有点多，不是很好数，可以在设置中查看接收文件的保存目录

来到下载目录

视频都保存在了douyin文件夹中，一共69个项目

可以对比一下接收记录里的时间和文件夹中视频的修改时间

2、分析计算机检材，计算机共保存了多少个服务器的公钥：[答案格式:28][★★★☆☆]

在计算机上安装了WindTerm

找到安装目录

找到\.wind\profiles\default.v10\terminal\ssh目录中的known_hosts

打开查看，发现存储的服务器公钥，一共35个

3、分析计算机检材，计算机的rustdesk的中继服务器IP地址是什么：[答案格式:123.123.123.123][★★☆☆☆]

152.126.118.24

在rustdesk的设置中可以看到

4、分析计算机检材，计算机的TOR浏览器记录第一个有cookie的暗网地址是：[答案格式:http://sjiajjaksd.onion][★★☆☆☆]

http://666666666tjjjeweu5iikuj7hkpke5phvdylcless7g4dn6vma2xxcad.onion

5、分析计算机检材，计算机里共群控过多少个终端：[答案格式:28][★★★★★]

群控软件为来喜投屏

在文档目录下找到laixi.db

使用Navicat打开，在Android表中可以看到有4台终端的记录

6、分析计算机检材，吴某未被起获的另一部手机的真实型号是：[答案格式:oppo-A93][★★★★★]

Samsung-Galaxy Z Fold5

打开计算机中的雷电多开器，可以看到有4个模拟器

分别查看模拟的机型

与laixi.db中记录的型号做对比

SM-G996N为三星手机检材，V1916A和SKW-A0都是模拟器

所以另外一台真实手机型号是SM-F9460，对应型号为三星Galaxy Z Fold5

7、分析计算机检材，计算机群控程序脚本中哪个是吴某自己写的，文件名是：[答案格式:scripts.txt][★★★☆☆]

录屏存相册.bat

在快捷任务中可以看到三个脚本

点击管理可以来到脚本所在目录

查看laxi.db的JsTask表发现只有两个脚本

录屏存相册.bat应该是吴某自己写的

8、分析计算机检材，计算机群控程序中滑屏脚本最大滑屏次数是：[答案格式:28][★★★★☆]

查看自动上滑脚本.js

一共循环9999次

9、分析计算机检材，计算机中adb程序环境变量目录是：[答案格式:C:\Program Files\test.exe][★☆☆☆☆]

D:\PentestTools\reverse\platform-tools_r31.0.2-windows\platform-tools\adb.exe

仿真后用where命令查找adb.exe的位置

查看系统环境变量

10、分析计算机检材，微信聊天中的虚拟钱包地址是：[答案格式:TJ4HGPcdXD3d5397hFEPdpdukTY38DDh8o][★☆☆☆☆]

11Bm4ZDrY6ughusdtXcXn4fxPErNhFG6G

盘古石计算机取证分析系统可以直接用内存解密微信，在与自己的聊天记录中可以看到钱包地址

使用火眼的话要先用内存分析工具得到数据库密钥

再使用密钥进行解密即可

11、分析计算机检材，容器程序main函数地址是：[答案格式：0X4012000E1][★★☆☆☆]

0X1400010E0

容器程序为别点我.exe

使用IDA打开，找到main函数，可以看到函数地址

12、分析计算机检材，容器程序导入函数总数是：[答案格式：123456][★★☆☆☆]

在查看导入函数的Imports窗口中可以看到一共有82个导入函数

13、分析计算机内存检材，给出进程“别点我.exe”的进程ID是：[答案格式：123][★☆☆☆☆]

在进程列表信息中可以看到一个名字乱码的进程

查看详情可知就是别点我.exe

进程号为2872

14、分析计算机内存检材，FTK Imager的程序版本号是：[答案格式：1.2.3.4][★★★☆☆]

4.7.1.2

vol3分析，输出filescan记录到filescan.txt

在结果中搜索FTK

导出对应虚拟地址的FTK Imager.exe

会得到file.0xab866311aec0.0xab8660ce67b0.ImageSectionObject.FTK

Imager.exe.img文件

拖到Windows系统中修改后缀为.exe后右键查看属性，在详细信息里面有版本信息

15、分析计算机内存检材，给出向日葵使用时，计算机内网的IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

192.168.217.172

—

数据分析

这部分不知道xls文件的密码，无从下手

*1、分析计算机检材，户籍是黑龙江省的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*2、分析计算机检材，受害人住址地跟户籍地不在一个省份的总是：[答案格式：123456][数据分析][★★★★☆]

*3、分析计算机检材，受害人年纪在25岁以下和60岁以上总数是（以当天为准）：[答案格式：123456][数据分析][★★★★☆]

*4、分析计算机检材，住址在四川的受害人余额总计：[答案格式：123456][数据分析][★★★★☆]

*5、分析计算机检材，男性受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*6、分析计算机检材，注册时间在2024年1月1号到2024年4月1号的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

—

入侵分析

1、分析VPN服务器，网站http://192.168.11.89在网站根目录存在源码泄露的位置是：[答案格式：/houtai/test.tar][★★☆☆☆]

/manage/www.zip

在/home目录可以看到有dirsearch

扫描的记录在reports目录

进入http_192.168.11.89目录查看记录文件，筛选出响应码为200的记录

可以看出源码泄露的目录是/manage/www.zip

2、分析VPN服务器，在网站根目录存在源码泄露的网站是：[答案格式：10.45.78.46][★★☆☆☆]

192.168.11.5

在http_192.168.11.5目录的扫描记录中发现网站根目录存在源码泄露

3、分析VPN服务器，黑客使用os-shell写入文件上传内容的文件名是：[答案格式：test.php][★★★★☆]

tmpumqvm.php

在/home目录下还有sqlmap

找到sqlmap的记录存放目录

查看/output/192.168.11.6/target.txt可知执行记录会被输出到touzilc3.txt

找到touzilc3.txt

下载下来，查看分析

在第7个请求包中

参数uid存在SQL注入，进行一次url解码可以看到，使用)闭合参数后使用into outfile写入了16进制内容到c:/phpstuty/www/tmpumsoo.php

将16进制数据转为字符串

是一个上传文件的PHP页面，在自己本地的PHP环境可以查看一下

在第8个请求包中

尝试以GET方法去访问写入的恶意上传页面，但是响应结果是404

观察后面的请求包和响应包可以发现一个规律：每次通过into outfile写入恶意上传页面的代码到一个以tmpuxxxx.php命名的php文件中，然后尝试访问该页面

所以接下来需要找得是第一个访问响应码为200的tmpuxxxx.php文件

在第28个请求中找到

tmpumqvm.php是在第25个请求中上传的

将恶意上传页面的代码写入到了C:/phpstudy/WWW/ThinkPHP/Library/Think/tmpumqvm.php中

4、分析VPN服务器，正在使用的XSS平台中接受到哪个网站的管理员的cookie：[答案格式：http://www.baidu][★★★☆☆]

http://jinsha.abc

在服务器上搜索xss相关文件

可以看到部署了XSS平台

通过火眼分析是使用宝塔面板部署的

查看宝塔面板默认信息，并且修改面板登录密码

登进宝塔后台

可以看到website运行在7788端口

platform运行在59204端口

上述两个网站的IP都是192.168.11.188，而当前仿真的VPN服务器的IP为192.168.217.188，将这两条域名删除，重新添加，改为当前的IP

修改hosts将域名重定向到虚拟机的ip

访问website，还是重定向到了192.168.11.188

找到网站配置文件/www/wwwroot/website/config.php

修改urlroot和fileprefix的ip

保存后再次访问website即可进入XSS平台主页

接下来需要绕过登录密码

在宝塔面板中可以找到MySQL的root密码为1790e54236111213

使用Navicat连接，发现不允许192.168.217.1也就是本机IP连接

走SSH隧道

找到website数据库的oc_user表，发现管理员用户的userPwd是密文

注册一个用户test 123456

替换admin用户的userPwd

此时就可以使用admin 123456登录了

进入glyhoutai项目可以看到获取到的cookie信息

是http://jinsha.abc网站的管理员cookie

5、分析VPN服务器，获取到权限的目标机器的管理员NTLM是：[答案格式：45ry56gfr5dtt6ytyh6y93875ufha7f5][★★★☆☆]

32ed87bdb5fdc5e9cba88547376818d4

这里接19题分析

查看CS在240522的日志

在/home/CobaltStrike/logs/240522/192.168.217.219

可以看到使用hashdump获取到了目标机器上的用户哈希

格式为“用户:RID:LM-HASH值:NTLM-HASH值”，所以只需要取出NTLM-HASH值即可得到答案，在后面的mimiaktz的回显也可以直接找到管理员用户的NTLM

6、分析VPN服务器，从获取到权限的目标机器上下载了哪个文件：[答案格式：D:\system\network\test.txt][★★☆☆☆]

C:\Users\Administrator\Desktop\WWW\WWW\common\config\config.php

下载了

C:\Users\Administrator\Desktop\WWW\WWW\common\config\config.php

7、分析VPN服务器，在获取到权限的目标机器成功创建的用户名是：[答案格式：test][★★★☆☆]

leon$

创建了一个名为wafer的账户，密码为admin1230.，但是因为administrators打错了没有直接加入到管理员组

创建了一个名为leon$的账户，密码为leon@123.，并且加入了管理员组

$代表该账户是一个隐藏的账户，创建影子账户是进行权限维持的常用手段

随后又删除了wafer账户

所以可以判断在获取到权限的目标机器成功创建的用户名是leon$

8、分析计算机检材，共对多少个网站进行过SQL注入的漏洞尝试：[答案格式:28][★★☆☆☆]

在电脑中找到sqlmap的数据目录

9、分析计算机检材，通过sql注入成功获取了一个网站的大部分数据，存在注入漏洞的参数是：[答案格式:id_id][★★★☆☆]

c_usd

在计算机中显示不了文件夹大小，不好直接排序，在火眼中到对应目录按照大小降序排列

最大的是gg.aigua666文件夹，在其中的dump文件夹可以看到下载下来了网站的一些数据

查看log可知存在SQL注入漏洞的参数为Cookie中的c_usd

10、分析计算机检材，通过sql注入成功获取了一个网站的大部分数据，吴某攻击的网站管理员的登录IP是：[答案格式:23.44.13.56][★★★☆☆]

36.142.187.31

查看dump下来的manager.csv

11、分析计算机检材，电脑上共连接过多少个webshell：[答案格式:123][★★★★☆]

打开蚁剑可以看到

12、分析计算机检材，电脑上常用的蚁剑共安装了多少个插件：[答案格式:123][★★★☆☆]

进入插件市场

可以看到本地装了27个插件

13、分析计算机检材，电脑上常用的蚁剑做了改造，改造后的User-agent是：[答案格式:Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us)][★★★★☆]

Mozilla/5.0 (Windows NT 10.0; Win64; x64)

打开蚁剑的工作目录

在/modules中找到requests.js

可以看到定义的UA为随机伪造的

在蚁剑中打开开发者工具

访问缓存的webshell记录查看网络数据包中的UA头

14、分析计算机检材，吴某在后门为con.php的webshell上查询到/www/wwwroot/default/目录下有多少个php：[答案格式:28][★★★★★]

后门为con.php的webshell对应的URL地址为http://49.65.205.115/con.php

在蚁剑的工作目录找到/antData/db.ant

用Sublime Text打开，搜索URL地址，得到对应的id为KU2ILCtSjIr77dcv

再来到/cache，找到对应的以id命名的缓存记录

使用Sublime Text打开

可以看到记录了一些系统目录中的文件信息，将filemanager-files-后面的字符串进行base64解码

可知当前是查看/www/wwwroot/default/flags/目录下的文件

将/www/wwwroot/default/进行base64编码

搜索对应的编码找到相关记录

将这条记录（以{}包裹的全部内容）复制到一个新的txt中，统计“.php”出现的次数

IZTYQTRFU20DWUZ

在后面对于安卓手机检测的入侵分析中得知http://112.124.62.187:8080这个网站存在一个冰蝎后门

打开Maye中的冰蝎是没有数据的

查看最近使用behinder的记录可知还有另外一个冰蝎

对应桌面上的图形化渗透测试武器库中的冰蝎

进入这个webshell，在基本信息中可以看到COMPUTERNAME为IZTYQTRFU20DWUZ

aa

或者whoami看一下

17、分析计算机检材，吴某通过手机kali渗透后拿到一个webshell，使用电脑进行管理，这个webshell主机的数据库密码是：[答案格式:Pssword][★★★★★]

Asd123456!@#

查看网站目录下的web.config配置文件

测试一下数据库连接，密码中的特殊字符要进行URL编码，不然连接不了

ms15-051.exe

找到提权辅助工具Windows-Exploit-Suggester

可以看到2024年5月22日修改了1.txt和2024-05-22-mssb.xlsx

1.txt是在存在webshell的主机上执行systeminfo命令的回显结果

2024-05-22-mssb.xlsx则是系统版本与提权漏洞对应的一个表格文件

查看README.md可以知道Windows-Exploit-Suggester的使用方法

执行以下命令检测可利用的提权漏洞

python windows-exploit-suggester.py --database 2024-05-22-mssb.xls --systeminfo 1.txt

这里可以看到可以利用MS15-051进行提权

而目标服务器上正好也有ms15-051的exp

这里做题的时候测试使用ms15-051.exe提权是失败的

GodPotato和PrintNotifyPotato均不成功

通过分析可以发现Windows-Exploit-Suggester中的1.txt和2024-05-22-mssb.xlsx修改时间与在冰蝎中添加webshell的时间在同一天的同一个小时之内

综上分析吴某成功提权使用到的工具应该是ms15-051.exe

19、分析计算机检材，吴某在电脑上使用CobaltStrike生成了一个木马，该木马的MD5值是：[答案格式:sdfs2342v42cvh342h][★★★☆☆]

f3ca69fa60bea34883da3274fd9603f9

打开桌面上的CS

可以看到teamserver的地址为192.168.217.188

分析服务器检材的网络信息可以得到192.168.217.188是VPN服务器检材的IP地址

仿真VPN服务器，给仿真的计算机检材和VPN服务器虚拟机都分配NAT网卡，设NAT网卡的IP段为192.168.217.x

在VPN服务器中找到CS目录

来到对应目录启动teamserver

在计算机检材虚拟机中连接，密码是123456

查看监听器可以看到有一个监听端口为7700的反向后门监听器csma

查看VPN服务器中CS在240522的日志可以发现通过Wechat.exe上线了一台IP为192.168.217.219的主机

火眼中搜索Wechat.exe

定位到一个不一样的Wechat.exe，在桌面上的resource_hacker文件夹中

使用火绒进行查杀可以确认其为CS后门

计算MD5

20、分析计算机检材，吴某在电脑上进行了内网渗透，socks5协议跳板代理服务器的IP以及端口是：[答案格式:12.34.56.78:7890][★★★☆☆]

157.233.98.29:37761

查看proxifier中的代理服务器

对Webpack等前端打包工具所构造的网站进行信息收集的工具为PackerFuzzer

来到其安装目录

在reports目录下可以看到所有输出的报告，每个网站有一个docx报告和一个html报告

22、分析计算机检材，吴某使用远程登录工具登录了一台远程windows主机，其IP地址是：[答案格式:12.34.56.78][★★★☆☆]

206.238.220.147

23、分析计算机检材，吴某拖回了某台机器的lsass进程的内存，该机器的开机密码是：[答案格式:7yjfom][★★★☆☆]

uiLbnts7pQsC

从lsass进程转储文件中获取开机密码是通过mimikatz完成的

找到mimikatz所在目录

其中的mm.dmp即为lsass进程的转储文件

在当前目录打开命令行，执行以下命令

mimikatz.exe "sekurlsa::minidump mm.dmp" "sekurlsa::logonpasswords full" exit

可以得到WIN-CQIIKMVQ5FI这台机器的Administrator用户的明文密码为uiLbnts7pQsC

24、分析安卓手机检材，kali开放的ssh端口是：[答案格式:22][★★☆☆☆]

找到termux中kali的ssh配置文件

导出查看，可以看到端口为2222

25、分析安卓手机检材，存在sql注入漏洞的网站网址是：[答案格式:http://23.22.41.19:8888][★★☆☆☆]

http://112.124.62.187:8080

找到root用户的命令执行记录文件

导出查看，可以看到使用sqlmap对1.txt进行了SQL注入漏洞检测

找到sqlmap文件夹下的1.txt，存在sql注入漏洞的网站网址为http://112.124.62.187:8080

26、分析安卓手机检材，存在sql注入漏洞的网站的内网IP地址是：[答案格式:12.34.56.78][★★★☆☆]

172.16.0.137

根据前面的命令执行记录，来到sqlmap输出结果的目录

在log中可以看到执行命令的回显记录

使用sqlmap的--os-shell执行的命令记录在os.hst中

导出查看，可以看到是和log中的命令回显相对应的

使用ipconfig | findstr /i "ipv4"命令查询了当前机器的ipv4地址

27、分析安卓手机检材，存在sql注入漏洞的网站服务器被添加了几个账户：[答案格式:28][★★★☆☆]

分析os.hst和log

可以看到net user命令的回显中一共有5个用户，其中只有Administrator和Guest是系统自带的用户，其他三个都是单独添加的

28、分析安卓手机检材，存在sql注入漏洞的网站服务器上已有webshell的连接密码是：[答案格式:admin][★★★★☆]

rebeyond

分析os.hst可以看到最后查看了webshell文件C:\Server\WebSits\admin\shell.aspx的内容

查看log中的回显可以得到webshell的内容

了解过一点web渗透，不难看出是冰蝎的webshell

和冰蝎4中的webshell一模一样

—

服务器取证

1、分析VPN服务器，代理软件登录的端口是：[答案格式：6376][★★★☆☆]

查看网络连接信息可以看到运行了一个s-ui和sing-box代理

找到软件安装的位置

来到/usr/local/s-ui

查看db目录中的s-ui.db，在settings表中找到webPort，webPort为/misaka/

浏览器访问http://192.168.217.188:58294/misaka/即可来到登录页面

2、分析VPN服务器，代理软件中的代理端口是：[答案格式：7837][★★★☆☆]

在数据库中找到s-ui的登录账号密码为admin admin

在基础信息中可以看到使用的V2Ray API为1080端口

3、分析VPN服务器，正在使用的XSS平台用IP运行的端口是：[答案格式：7843][★★★☆☆]

见入侵分析部分

4、分析VPN服务器，正在使用的XSS平台的管理员密码是：[答案格式：test][★★☆☆☆]

admin123

在入侵分析部分的时候，通过注册用户的方式替换了数据库中的管理员密码密文，原始的密码密文是5f66a846c5b983b16eb09c3c393b5d9e

分析website的网站源码，找到注册页面源码，可以看到注册的用户信息入库的时候使用了OCEncrypt()函数对密码进行处理

OCEncrypt()函数的定义在function.php中

存入数据库中的密码密文是在明文密码前加上字符串“OldCMS|”再进行md5加密的

可以使用cmd5进行解密，需要选对类型和格式，可以在[帮助]中查看

或者使用burpsuite抓包配合字典进行暴力破解

5、分析VPN服务器，这台机器中的cobaltstrike服务端使用的端口是：[答案格式：7846][★★☆☆☆]

在CS的目录查看一下teamserver

或者启动teamserver

或者运行计算机桌面上的CS

6、请分析网盘服务器，吴某购买的racknerd服务器的详情ID是：[答案格式:100001][★★☆☆☆]

网盘服务器上有docker

仿真后docker容器时运行中的状态

访问在80端口上的flare，可以看到一个个人书签类的页面

F12查看VPS中的RackNerd对应的链接可以得到详情ID为331979

7、请分析网盘服务器，共有几个提供web服务的端口：[答案格式:8][★★☆☆☆]

查看网络连接信息

8080上是IT Tools

80是flare

3001是uptime kuma

5244是储物灵戒

8、请分析网盘服务器，admin用户加密密码的盐值是：[答案格式:Password123][★★☆☆☆]

w4XKqQfHI89zdMXb

存储应用为alist，找到其所在目录

在/opt/alist/data目录可以找到配置文件以及数据库

下载data.db，使用Navicat打开查看

在x_users表中找到admin用户的盐值

9、请分析网盘服务器，服务器存活监控应用的admin用户密码是：[答案格式:password123][★★☆☆☆]

admin888

服务器存活监控应用为Uptime Kuma

进入docker容器

在容器中可以找到kuma.db

查看容器元数据可知宿主机/的var/lib/docker/volumes/uptime-kuma/_data目录被挂载到了容器的的/app/data目录

找到宿主机中的数据库文件

将kuma.db下载下来，用Navicat打开

找到user表中的admin用户的password，为Bcrypt加密

使用cmd5可以查到明文密码为admin888

或者用python脚本配合字典进行枚举

10、请分析网盘服务器，服务器存活监控应用中监控的论坛网址是：[答案格式:https://hackerblog.is][★★★☆☆]

https://breachforums.is

使用admin admin888登录Uptime Kuma，查看监控的项目

可以看到监控了https://breachforums.is，一个黑客论坛

目前已经停止更新

11、请分析网盘服务器，服务器存活监控应用中使用的代理端口是：[答案格式:8080][★★★☆☆]

在设置-代理可以看到

12、请分析网盘服务器，服务器存活监控应用中用来推送的SendKey是：[答案格式:CH88JJF8QWNC0WQJSNKQW9jaskd8sjj][★★★☆☆]

SCT36712MKSYUBEO7flBN7F05lwjxlb6f

在设置-通知中

点击编辑，查看SendKey明文

13、请分析网盘服务器，用来加密网盘中压缩文件的加密算法是：[答案格式:RSA][★★★★☆]

RC4

当前是不知道网盘的密码的

在数据库中的密码加密方式也不知道

可以在服务器中重置alist的密码

来到alist的安装目录/opt/alist，查看一下alist应用的使用方法

可以看到admin指令后可以跟命令set来设置admin用户的密码

修改密码为123456

然后就可以使用admin 123456登录到储物灵戒页面也就是alist应用中

压缩包在源码文件夹中

在docker中有一个alist-encrypt，用于加解密

启动起来后运行在5344端口

直接访问http://192.168.217.131:5344是不行的，进入容器

web界面是运行在public目录中的

访问http://192.168.217.131:5344/public/index.html会自动跳转到登录页面

在conf/nedb目录下有个datafile

使用VSCode进行json格式化，更方便查看

搜索admin可以看到用户的密码为123456

成功登录进去

在配置alist中可以看到对源码目录下的文件使用RC4算法进行加密，密码为rNj39Yj_R*MV

14、请分析网盘服务器，用来加密网盘中压缩文件的加密密码是：[答案格式:Password123][★★★★★]

rNj39Yj_R*MV

见上题分析

15、分析网站服务器检材，数据库的root密码是：[答案格式：123abc][★★☆☆☆]

1700fc6617b3c73d

仿真网站服务器，可以发现主机名为yourcode

与前面苹果手机中的快捷指令联系起来了

服务器中有宝塔面板

查看面板地址

访问发现有域名限制

取消域名访问限制

修改面板密码

登进宝塔面板在面板设置中发现数据库在菜单栏中被隐藏了

取消隐藏

刷新一下就可以在菜单栏看到数据库了

查看root密码

16、分析网站服务器检材，嫌疑人预留的QQ号码是：[答案格式：123456][★★☆☆☆]

网站域名为yourcode.xyz

修改hosts

访问发现500服务错误

查看网站目录下的.env，发现还需要redis数据库

当前是没有开放6379端口的

查看状态却又提示已经在运行中，重启一下redis服务即可

现在就可以正常访问到网站首页了

随便找个商品下单，在弹出来的买前必读中可以看到嫌疑人留下的QQ号

17、分析网站服务器检材，吴某预留的tg群组账号是：[答案格式：@abc][★★☆☆☆]

@yourcode

在.env中可以看到后台登录地址为/admin

访问后台

走SSH隧道连接数据库

来到yourcode_xyz数据库中的admin_users表

这个密码解不出

在网站安装数据库的install.sql文件中找到初始的管理员密码密文

这个密码是admin

替换到数据库中

使用admin admin登录进后台

点击加入TG群会跳转到加入TG群的界面，可以看到群组账号为@yourcode

18、分析网站服务器检材，源码交易平台一共提供了多少支付通道：[答案格式：123][★★☆☆☆]

在支付配置里面可以看到一共有23个支付通道，但是其中有两个没有启用

19、分析网站服务器检材，当前服务器交易记录中，已完成的订单数量是：[答案格式：1][★★☆☆☆]

在订单列表中可以看到3个订单已完成，1个订单已过期

20、分析网站服务器检材，5月21日期间，使用优惠码下单购买的产品中，买家填写的邮箱地址是：[答案格式：123@abc][★★★☆☆]

helloworld@gmail

21、分析网站服务器检材，吴某通过即时通讯和买家联系后，买家下单的源码成交金额是：[答案格式：100][★★☆☆☆]

这里要综合计算机检材中的Enigma聊天记录来分析

从聊天记录中可以得知，下单的时间是2024-05-23，源码原价是500，优惠了50

对应到订单记录，成交金额为450

USB迷 | 专注于互联网分享

1、分析安卓手机检材，空闲的磁盘空间是多少：[答案格式：3.12GB][★☆☆☆☆]

2、分析安卓手机检材，蓝牙MAC地址是多少：[答案格式：11:22:d4:aa:38:1f][★☆☆☆☆]

3、分析安卓手机检材，吴某浏览过最贵的一双鞋子是多少钱：[答案格式：1234][★☆☆☆☆]

4、分析安卓手机检材，手机中最高版本的安卓虚拟机的wifi_mac是：[答案格式：11:22:d4:aa:38:1f][★★★☆☆]

6、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最后一次的访问地址是：[答案格式：https://baidu.baidu/naa-1-1231.html][★★★☆☆]

7、分析安卓手机检材，手机中远程控制软件的密码是：[答案格式：aNdy][★☆☆☆☆]

8、分析苹果手机检材，手机中安装的第三方APP（排除系统应用）的数量合计是：[答案格式：1][★☆☆☆☆]

9、分析苹果手机检材，吴某尝试登录telegram应用所使用的手机号码是：[答案格式：13800138000][★☆☆☆☆]

10、分析苹果手机检材，吴某是从什么iOS版本升级到当前版本的：[答案格式：14.4.1][★★★☆☆]

11、分析苹果手机检材，手机相册中的照片中，有多少张时通过iPhone8手机拍摄的：[答案格式：1][★★☆☆☆]

12、分析苹果手机检材，手机曾开启热点，供其他人连接，分析手机开启的热点连接密码是：[答案格式：123adb][★★★☆☆]

*13、接上题，分析成功连接到手机热点的手机型号是：[答案格式：HUAWEI-P40i][★★★☆☆]

14、分析苹果手机检材，吴某曾连接过阿里云服务器，并将服务器的宝塔面板信息保存在手机上，请问该阿里云服务器的内网IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

1、分析安卓手机检材，手机中创建了几个安卓虚拟机：[答案格式：3][★☆☆☆☆]

2、分析安卓手机检材，手机中安卓虚拟机下载了几个ROM：[答案格式：3][★★★☆☆]

3、分析安卓手机检材，发现在有几张图片是通过AI生成的，这些图是哪个应用生成的，写出该应用安装包的完整路径：[答案格式：/data/app/baidu.app-LLwjwKjpV8sNuMMYnuet3Q==/base.apk][★★★☆☆]

4、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片来自哪个应用，请写出应用的包名：[答案格式：com.tencent.mm][★★★★★]

5、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片的发送者名称是：[答案格式：Andy Oge ][★★★★☆]

1、警方在勘验苹果手机时，发现手机中有一个叫“私密空间”的应用。该应用打开需要密码，请分析苹果手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

2、接上题，分析该应用中一共加密了多少张图片：[答案格式：1][★★★☆☆]

*3、接上题，解密被加密图片，图片中记录的密码是：[答案格式：123adC][★★★★☆]

4、警方在勘验苹果手机时，发现手机中还有一个基于屏幕使用时间功能扩展的应用，该应用打开也需要密码，分析手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

5、接上题，该应用隐藏了多少个APP：[答案格式：1][★★★☆☆]

7、审讯时，吴某交代其有通过手机中的某个应用对服务器数据库进行维护的习惯，分析苹果手机检材，给出该应用的应用名称：[答案格式：微信][★★☆☆☆]

8、接上题，该应用对服务器数据库的操作，一共需要多少步操作：[答案格式：1][★★★☆☆]

9、接上题，上述操作过程中，一共涉及几个变量：[答案格式：123456][★★★☆☆]

*11、接上题，上述操作过程中，生成备份文件的压缩密码是：[答案格式：123adb][★★★★★]

12、继续分析该应用，该应用在相册中一共生成了多少张图片：[答案格式：1][★★☆☆☆]

13、继续分析该应用，吴某通过该应用还获取了一个APK的下载链接地址，请问该APK的下载链接地址中包含的时间戳是：[答案格式：20240605][★★★★☆]

1、通过3D案情，得到另一个钱包地址，请问地址是：[答案格式：0xasl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

2、钱包地址信息对应哪一条公链：[答案格式：ETC][★★☆☆☆]

3、钱包地址接受用户资金使用的虚拟币币种是：[答案格式：ETC][★★☆☆☆]

4、已知地址0xd109046aa3e92d13fad241a695262be4ec3431f6曾收到上述地址涉案资金并将这笔资金后续跨链转出，跨链资金直接转出到哪条链：[答案格式：EtC链][★★☆☆☆]

*5、根据上题，确定项目的沉淀地址是：[答案格式：Easl23dfh232uhi4u23iuhi2u323kj2][★★☆☆☆]

1、分析计算机检材，计算机共通过localsend应用接收了多少个视频文件：[答案格式:28][★★☆☆☆]

2、分析计算机检材，计算机共保存了多少个服务器的公钥：[答案格式:28][★★★☆☆]

3、分析计算机检材，计算机的rustdesk的中继服务器IP地址是什么：[答案格式:123.123.123.123][★★☆☆☆]

4、分析计算机检材，计算机的TOR浏览器记录第一个有cookie的暗网地址是：[答案格式:http://sjiajjaksd.onion][★★☆☆☆]

5、分析计算机检材，计算机里共群控过多少个终端：[答案格式:28][★★★★★]

6、分析计算机检材，吴某未被起获的另一部手机的真实型号是：[答案格式:oppo-A93][★★★★★]

7、分析计算机检材，计算机群控程序脚本中哪个是吴某自己写的，文件名是：[答案格式:scripts.txt][★★★☆☆]

8、分析计算机检材，计算机群控程序中滑屏脚本最大滑屏次数是：[答案格式:28][★★★★☆]

9、分析计算机检材，计算机中adb程序环境变量目录是：[答案格式:C:\Program Files\test.exe][★☆☆☆☆]

10、分析计算机检材，微信聊天中的虚拟钱包地址是：[答案格式:TJ4HGPcdXD3d5397hFEPdpdukTY38DDh8o][★☆☆☆☆]

11、分析计算机检材，容器程序main函数地址是：[答案格式：0X4012000E1][★★☆☆☆]

12、分析计算机检材，容器程序导入函数总数是：[答案格式：123456][★★☆☆☆]

13、分析计算机内存检材，给出进程“别点我.exe”的进程ID是：[答案格式：123][★☆☆☆☆]

14、分析计算机内存检材，FTK Imager的程序版本号是：[答案格式：1.2.3.4][★★★☆☆]

15、分析计算机内存检材，给出向日葵使用时，计算机内网的IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

*1、分析计算机检材，户籍是黑龙江省的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*2、分析计算机检材，受害人住址地跟户籍地不在一个省份的总是：[答案格式：123456][数据分析][★★★★☆]

*3、分析计算机检材，受害人年纪在25岁以下和60岁以上总数是（以当天为准）：[答案格式：123456][数据分析][★★★★☆]

*4、分析计算机检材，住址在四川的受害人余额总计：[答案格式：123456][数据分析][★★★★☆]

*5、分析计算机检材，男性受害人总数是：[答案格式：123456][数据分析][★★★★☆]

*6、分析计算机检材，注册时间在2024年1月1号到2024年4月1号的受害人总数是：[答案格式：123456][数据分析][★★★★☆]

1、分析VPN服务器，网站http://192.168.11.89在网站根目录存在源码泄露的位置是：[答案格式：/houtai/test.tar][★★☆☆☆]

2、分析VPN服务器，在网站根目录存在源码泄露的网站是：[答案格式：10.45.78.46][★★☆☆☆]

3、分析VPN服务器，黑客使用os-shell写入文件上传内容的文件名是：[答案格式：test.php][★★★★☆]

1、分析安卓手机检材，空闲的磁盘空间是多少：[答案格式：3.12GB][★☆☆☆☆]

2、分析安卓手机检材，蓝牙MAC地址是多少：[答案格式：11:22:d4:aa:38:1f][★☆☆☆☆]

3、分析安卓手机检材，吴某浏览过最贵的一双鞋子是多少钱：[答案格式：1234][★☆☆☆☆]

4、分析安卓手机检材，手机中最高版本的安卓虚拟机的wifi_mac是：[答案格式：11:22:d4:aa:38:1f][★★★☆☆]

6、分析安卓手机检材，发现在安卓虚拟机中使用浏览器最后一次的访问地址是：[答案格式：https://baidu.baidu/naa-1-1231.html][★★★☆☆]

7、分析安卓手机检材，手机中远程控制软件的密码是：[答案格式：aNdy][★☆☆☆☆]

8、分析苹果手机检材，手机中安装的第三方APP（排除系统应用）的数量合计是：[答案格式：1][★☆☆☆☆]

9、分析苹果手机检材，吴某尝试登录telegram应用所使用的手机号码是：[答案格式：13800138000][★☆☆☆☆]

10、分析苹果手机检材，吴某是从什么iOS版本升级到当前版本的：[答案格式：14.4.1][★★★☆☆]

11、分析苹果手机检材，手机相册中的照片中，有多少张时通过iPhone8手机拍摄的：[答案格式：1][★★☆☆☆]

12、分析苹果手机检材，手机曾开启热点，供其他人连接，分析手机开启的热点连接密码是：[答案格式：123adb][★★★☆☆]

*13、接上题，分析成功连接到手机热点的手机型号是：[答案格式：HUAWEI-P40i][★★★☆☆]

14、分析苹果手机检材，吴某曾连接过阿里云服务器，并将服务器的宝塔面板信息保存在手机上，请问该阿里云服务器的内网IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

1、分析安卓手机检材，手机中创建了几个安卓虚拟机：[答案格式：3][★☆☆☆☆]

2、分析安卓手机检材，手机中安卓虚拟机下载了几个ROM：[答案格式：3][★★★☆☆]

3、分析安卓手机检材，发现在有几张图片是通过AI生成的，这些图是哪个应用生成的，写出该应用安装包的完整路径：[答案格式：/data/app/baidu.app-LLwjwKjpV8sNuMMYnuet3Q==/base.apk][★★★☆☆]

4、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片来自哪个应用，请写出应用的包名：[答案格式：com.tencent.mm][★★★★★]

5、分析安卓手机检材，屏幕截图 2023-06-01 141051.png这个图片的发送者名称是：[答案格式：Andy Oge ][★★★★☆]

1、警方在勘验苹果手机时，发现手机中有一个叫“私密空间”的应用。该应用打开需要密码，请分析苹果手机检材，该应用的打开密码是：[答案格式：123456][★★☆☆☆]

2、接上题，分析该应用中一共加密了多少张图片：[答案格式：1][★★★☆☆]

*3、接上题，解密被加密图片，图片中记录的密码是：[答案格式：123adC][★★★★☆]