第四届“长安杯”电子数据取证竞赛

竞赛简介:举办“长安杯”电子数据取证竞赛的目的在于促进电子数据取证相关专业人才培养工作,提高电子数据取证能力和水平,推动电子数据侦查取证技术的发展。比赛中参赛选手将对模拟的真实案例进行电子数据调查取证,全面验证电子数据取证的综合素质和能力,旨在“以赛促学”,“以赛代练”,对优秀专业人才进行选拔。

案件情况:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈 骗,该网站号称使用“USTD 币”购买所谓的“HT 币”,受害人充 值后不但“HT 币”无法提现、交易,而且手机还被恶意软件锁定 勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服 务器镜像并对案件展开侦查。

考试方向:

  1. 计算机取证分析; 2. 服务器/网站取证分析; 3. 手机取证分析; 4. 程序功能分析。

题目镜像:链接:https://pan.baidu.com/s/1f9xzt0jooZ-RZylwtt3YvQ 提取码:1234

SHA256:37263f0aace3e33e7f303473e85e69ef804eb16a2500b68a 6b90c895784666f5

题目VC挂载密码:

2022.4th.changancup!

检材一

1. 检材1的SHA256值为

VC挂载容器,有四个检材,打开弘联的“火焰证据分析软件”,导入镜像

image-20221030160508896

软件会自动识别镜像并进行分析,点击计算哈希,软件会自动计算MD5 、SHA1、SHA256等hash值

image-20221030160830388

计算完成可以在如下界面看到计算结果

image-20221030161101941

最终答案为:9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2

对检材一导入后识别到的centos镜像进行相关的扫描,然后点击左侧分析,点击左上角刷新,就能看到centos的相关分析结果

image-20221030161019785

在登录日志中就可以找到本题答案

image-20221030161304300

最终答案:172.16.80.100

得到答案可以去看看检材二,有很多意想不到的发现哦

3. 检材1中,操作系统发行版本号为

本题为选择题

image-20221030161414588

镜像仿真进入系统,输入如下命令:cat /etc/redhat-release

image-20221030162135101

答案为A Centos 7.5.1804

4. 检材1系统中,网卡绑定的静态IP地址为

系统中输入指令:ifconfig

image-20221030162309052

此题答案为:172.17.80.133

5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)

jar包,那么部署的网站就是java项目的网站,在往年的比赛题目中没有出现,今年算是一个创新,说明java项目确实越来越普遍化,真得好好的学学java了

分析历史命令,发现了sh start_web.sh 但是进入目录后发现并没有,原来被删除了

image-20221030162736922

根据经验,网站根目录一般在web或者www的文件里,查看是否有相关的文件,发现有web文件

image-20221030162924176

在如下目录中发现了五个jar包

image-20221030162956121

则本题答案为:/web/app/ (注意绝对路径,最前面需要加/)

6. 检材1中,监听7000端口的进程对应文件名为

队友做检材二的时候发现了start_web.sh文件,那我们就应该可以重构网站

文件内容如下,还能发现开发日志

image-20221030192014215

按照start_web.sh中的内容复现

image-20221030200228766

我们队就直接填写了Java,但是题目是问到具体是哪个文件,这道题失分了,哎

后经过每个文件挨次测试java -jar -xxx.jar发现是could.jar 使用的7000端口

本题答案:cloud.jar

7. 检材1中,网站管理后台页面对应的网络端口为(答案填写阿拉伯数字,如“100”)

将网站复现后输入指令 netstat -tunlp查看端口情况

image-20221030213639943

对每个端口进行访问,发现后台地址为9090

本题答案:9090

为什么不是逆向得到的6010,群里有大佬说6010是验证码接口的端口

本题还可以在检材二中的浏览器访问历史记录中得到答案

image-20221030213858309

8. 检材1中,网站前台页面里给出的APK的下载地址是(答案格式如下:“https://www.forensix.cn/abc/def”)

前端端口是3000,访问界面,在右上角可以看到APP下载

image-20221030214000016

题目问的APK就下载安卓,比赛过程中不允许使用手机,就使用在线工具识别

草料二维码解码器 (cli.im)上传二维码图片识别

image-20221030214132283

本题答案:https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

逆向admin-api.jar包

image-20221030214912463

本题答案:MD5

10. 分析检材1,网站管理后台登录密码加密算法中所使用的盐值是

如上题图所示

本题答案:XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

检材二

11. 检材2中,windows账户Web King的登录密码是

镜像仿真的时候就可以发现密码

image-20221030191039010

答案为:135790

12. 检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3

分析工具查看XShell会话记录

image-20221030215129869

本题答案:172.16.80.128

13. 检材2中,powershell中输入的最后一条命令是

比赛过程可以上网,参考博客powershell的命令历史记录存储位置_akatale的博客-CSDN博客

找到相关目录

image-20221030215409253

本题答案:ipconfig

14. 检材2中,下载的涉案网站源代码文件名为

由检材一网站名字Ztuo2.0确认本题答案

image-20221030224020177

本题答案:ZTuoExchange_framework-master.zip

本题所有人都没给分,出题方说答案检测有问题

15. 检材2中,网站管理后台root账号的密码为

谷歌浏览器密码记录

image-20221030220245037

本题答案:root

16. 检材2中,技术员使用的WSL子系统发行版本是(答案格式如下:windows 10.1)

WSL就是在Windows环境下运行linux子系统,很好用的一个技术

直接在命令行中输入指令wsl -l

image-20221030222122908

本题答案:Ubuntu 20.04

17. 检材2中,运行的数据库服务版本号是(答案格式如下:10.1)

分析软件中找到mysql解析

image-20221030223514542

得到答案

为什么不是B1数据库中显示的5.7.32

image-20221030223551798

好哥们给出了解释

image-20221030223622571

本题答案:8.0.30

18. 上述数据库debian-sys-maint用户的初始密码是

搜索引擎搜索数据库debian-sys-maint用户密码

参考博客mysql用户debian-sys-maint_sxzshushu的博客-CSDN博客_debian-sys-maint

image-20221030222948376

不知道linux账号的密码,那就百度,参考博客windows系统下的ubuntu子系统(WSL)忘记密码的解决方案_wxy12221的博客-CSDN博客_ubuntu子系统 忘记密码

Windows10 WSL Ubuntu 忘记 root 密码如何重置 - 何大卫 - 博客园 (cnblogs.com)

我直接 wsl -u root

image-20221030223249954

本题答案:ZdQfi7vaXjHZs75M

19. 检材3服务器root账号的密码是

分析软件中,系统ssh-历史输入命令

image-20221030223353870

本题答案:h123456

检材三

本检材有可能在一直使用的案件中不能够正常的分析出细节,在取证软件中新创建一个案件就能分析细节了(我们队直接被建材三卡到最后半小时,哎)

20. 检材3中,监听33050端口的程序名(program name)为

我们队仿真进去后,查看history,发现有docker相关的使用,执行命令启动docker服务

image-20221030225327651

然后执行docker ps -a 查看运行的docker容器

image-20221030225417554

发现端口号为33050的容器,再执行netstat -tunlp

image-20221030225509944

本题答案:docker-proxy

21. 除MySQL外,该网站还依赖以下哪种数据库

多选题,我们队做题的时候没有注意到

本题答案:分别是redis 和mongdb

22. 检材3中,MySQL数据库root账号的密码是

查看docker的部署文件,docker-compose.yml

按照图示执行相关命令

image-20221030225815586

本题答案:sshl7001

23. 检材3中,MySQL数据库在容器内部的数据目录为

如上图docker-compose.yml文件内容

本题答案:/data/mysql/db

24. 涉案网站调用的MySQL数据库名为

逆向检材一的admin-api.jar包可得

image-20221030230426239

本题答案:b1

25. 勒索者在数据库中修改了多少个用户的手机号?(答案填写阿拉伯数字,如“15”)

找到docker的运行日志,在文件夹/data/mysql/db中找到8eda4cb0b452.log文件中记录了所有的数据库操作

执行命令 cat 8eda4cb0b452.log | grep phone | less

image-20221030231016344

可以得到如上图所示的结果,发现只有三句update语句,且是对手机号进行了修改

本题答案: 3

26. 勒索者在数据库中删除的用户数量为(答案填写阿拉伯数字,如“15”)

image-20221030231450223

本题答案:28

27. 还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4

执行 cat 8eda4cb0b452.log | grep access| less

image-20221030231825850

查看除了172.16.80.100外,还有172.16.80.197

本题答案:172.16.80.192

(本题答案还可以通过爆破检材四的解压密码得到,我们最后半小时通过翻log才找到,导致后面做题时间太短了)

28. 还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为

还原数据库b1

image-20221030231928506

用软件查看表内容

image-20221030232450433

本题答案:cee631121c2ec9232f3a2f028ad5c89b

29. 还原全部被删改数据,共有多少名用户的会员等级为'LV3'(答案填写阿拉伯数字,如“15”)

image-20221030232542567

执行如下mysql语句SELECT COUNT(*) FROM member WHERE member_grade_id=3

image-20221030234058558

除了现在数据库中有的,还有被破坏删除的,在log中可以找到,972-1000的记录,看看有几个是lv3的用户,搜索关键字0, 3, 0,

image-20221030234609298

本题答案:164

30. 还原全部被删改数据,哪些用户ID没有充值记录(答案填写阿拉伯数字,多个ID以逗号分隔,如“15,16,17”)

执行如下mysql指令SELECT * FROM member_wallet WHERE balance = 0

image-20221030234700537

本题答案:318,989

31. 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录?(答案填写阿拉伯数字,如“15”)

执行指令SELECT COUNT(*) FROM member_transaction WHERE create_time BETWEEN "2022-10-17 00:00:00" AND "2022-10-17 23:59:59"

image-20221030234918947

本题答案:1000

32. 还原全部被删改数据,该网站中充值的USDT总额为(答案填写阿拉伯数字,如“15”)

执行mysql查询语句 SELECT SUM(amount) FROM member_transaction

image-20221030234951373

本题答案:408228

检材四

解压检材四,得到后缀名是npbk的文件,不知道是什么文件后缀,百度一下吧

image-20221030233648719

夜神模拟器!

(而且此文件可以通过解压软件打开,得到vmdk文件,就可以使用取证软件进行分析了)

33. 嫌疑人使用的安卓模拟器软件名称是

如上述分析

本题答案:夜神模拟器

34. 检材4中,“老板”的阿里云账号是

将检材4导入分析软件,查看微信聊天记录

image-20221030235231143

本题答案:forensixtech1

35. 检材4中安装的VPN工具的软件名称是

分析软件得到image-20221030235300683

本题答案:v2rayNG

36. 上述VPN工具中记录的节点IP是

分析软件得到

image-20221030235338854

本题答案:38.68.135.18

37. 检材4中,录屏软件安装时间为

image-20221031000023671

本题答案:2022-10-19 10:50:27

38. 上述录屏软件中名为“s_20221019105129”的录像,在模拟器存储中对应的原始文件名为

/storage/emulated/0/Android/data/com.jiadi.luping/files/Movies/0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

文件地址

本题答案:c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

39. 上述录屏软件登录的手机号是

40. 检材4中,发送勒索邮件的邮箱地址为

image-20221031000503963

本题答案:skterran@163.com

exe分析

41. 分析加密程序,编译该加密程序使用的语言是

42. 分析加密程序,它会加密哪些扩展名的文件?

43. 分析加密程序,是通过什么算法对文件进行加密的?

44. 分析加密程序,其使用的非对称加密方式公钥后5位为?

45. 被加密文档中,FLAG1的值是(FLAG为8位字符串,如“FLAG9:QWERT123”)

apk分析

46. 恶意APK程序的包名为

47. APK调用的权限包括

48. 解锁第一关所使用的FLAG2值为(FLAG为8位字符串,如需在apk中输入FLAG,请输入完整内容,如输入"FLAG9:QWERT123")

49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串,如需在apk中输入FLAG,请输入完整内容,如输入"FLAG9:QWERT123")

50. 解锁第三关所需的KEY值由ASCII可显示字符组成,请请分析获取该KEY值