2021年长安杯电子数据取证比赛复盘完整版（wp）

2021年长安杯电子数据取证比赛复盘完整版（wp） 小王ya 于2022-08-29 15:59:03发布 1848 收藏 31 分类专栏： 笔记 电子取证 文章标签： 网络安全 安全 笔记 同时被 2 个专栏收录 4 篇文章 1 订阅 订阅专栏 电子取证 1 篇文章 0 订阅 订阅专栏 第一部分 案情简介

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元。经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警。警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包—zhibo.apk（检材一）。请对检材一进行分析，获取证据，并根据线索解锁更多检材，深入挖掘出更多与案件有关的信息。

（题目 中需要通过分析出来的答案对检材二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例： 192.168.100.100-CAB2021）

检查哈希值

本次题目采用VeraCrypt加密容器发放，用VeraCrypt将检材解密，然后挂载，然后我们就得到了一个apk文件和一个检材二的压缩包。

容器密码：

2021第三届CAB-changancup.com

该文件的哈希校验值（MD5）如下：

检材一&二：206f967d6c7ae8477a849e7a7eeedc5e 检材三：99989bdb5720a41f412cd91d2ad76ea1 检材四：d8a7554372f4dc1028c4d2379268f701 检材五：a2ae74451931ea5b010d2df2a4abcb98

注意事项：

解密密码会在比赛前15分钟发放，请使用VC程序加载容器文件,并使用解密密码进行解密；

题目中需要通过分析出来的答案对检材二、三、四、五解密，检材二需要直接使用答案解压，检材三、四、五通过VC发放，解密密码为IP，需要在密码后增加一段盐值，该值会在比赛时题目里面有说明，请大家注意，例：192.168.100.100-salt。

第一题 请计算检材一Apk的SHA256值

使用windows自带的计算工具

certutil -hashfile 检材一-zhibo.apk sha256

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a 第二题 该APK的应用包名为

使用GAD分析，得到

plus.H5B8E45D3

第三题该APK程序在封装服务商的应用唯一标识（APPID）为

唯一标识appid 是对apk的打包工具的记录 可以去调取注册打包工具人的详细信息

H5B8E45D3

可以使用雷电APP智能分析，直接得到，也可以了用jadx工具分析得到assets/data/dcloud_control.xml

第四题 该APK具备下列哪些危险权限(多选题)： A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

第五题 该APK发送回后台服务器的数据包含一下哪些内容(多选题)： A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息

将该apk安装至模拟器，点击发现出现 “内涵一点”，直接用jadx搜索

进入该html发现一段代码，使用sojson.v4加密，解密

https://ctf.bugku.com/tool/sojson4

解密得到

A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息 第六题 该APK程序回传通讯录时,使用的http请求方式为（）

抓包得到POST

第七题该APK程序的回传地址域名为【标准格式：www.abc.com】

见上

www.honglian7001.com 第八题 该APK程序代码中配置的变量apiserver的值为（后面不带/）

见5题sojson.v4解密

www.honglian7001.com/api/uploads var apiserver ='http://www.honglian7001.com/api/uploads/'; 第九题 分析该APK，发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为【标 准格式：www.abc.com/abc】

在代码60行左右能看到发送通讯录的代码

mui.ajax(apiserver +'apisms', www.honglian7001.com/api/uploads/apisms 第十题 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为

使用雷电APP分析的Frida脚本里的SQLite数据库，即可得到数据库名为

test.db 第十一题 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为

同上题，也可得到初始密码为：

c74d97b01eae257e44aa9d5bade97baf

第二部分

用第7题的答案解压缩检材二

www.honglian7001.com

将检材二使用火眼仿真软件仿真出来

第十二题 检材二的原始硬盘的SHA256值为

E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589 第十三题 查询涉案于案发时间段内登陆服务器的IP地址为

进入之后 尝试history,发现命令比较少，使用下面的命令 转到root用户下，发现较多的history 可以使用重定向 将其导出

su root

根据检材背景资料1得知，报案人是在21年4月25日报警的，所以查看4月25日之前登陆的IP，使用last命令看到ip是

192.168.110.203

第十四题 请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（）【格式：文件存储】 负载均衡 第十五题 上一题中，提到的主要功能对应的服务监听的端口为：

80

cd /opt/honglianjingsai/chronusNode/ cat const.js

第十六题 上一题中，提到的服务所使用的启动命今为：

在history中，也可以查看readme

node app.js

第十七题 经分析，该服务对于请求来源IP的处理依据是（）位进行判断【标准格式：9】

3

cd /opt/honglianjingsai/chronusNode/controller cat ADProxy.js

第十八题 经分析，当判断条件小于50时，服务器会将请求转发到IP为（）的服务器上【标准格式：111.111.111.111】

cat ADProxy.js

192.168.110.111

第十九题 分析，该服务器转发的目标服务器共有台【标准格式：9】 3台 同上 vi /etc/sysconfig/network-scripts/ifcfg-ens33

第二十题 请分析，受害者通讯录被获取时，其设备IP地址为 192.168.110.252 cd /opt/honglianjingsai/chronusNode/logs ll 发现4.24日志只有一个 cat 2021-4-24-6-26.log 第二十一题 请分析，受害者通讯录被获取后，经由该服务器转发到了IP为（）的服务器上 192.168.110.113

第三部分

下面挂载检材三：

用21题的答案加上盐值-CAB2021，也就是

192.168.110.113-CAB2021

有三个web服务器，但只有其中一个有额外信息，也就是web3，因为他是IP地址大于100的，也就是本次诈骗所用的IP，在里面我们能找到更多的信息。火眼仿真和火眼取证一起上。

输入bt 发现有宝塔面板

内网面板地址登录 http://192.168.110.113:8888/12345678 账号为hl123 选项5，修改新密码为123456 第二十二题 检材三的原始硬盘的SHA256值为： 请分析第21题中，所指的服务器的开机密码为： 205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF 第二十三题 请分析第21题中，所指的服务器的开机密码为：

在第四部分使用火眼分析

honglian7001 第二十四题 嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为： hl123

链接宝塔时需要将本地虚拟机 虚拟网络编辑器 调整至110网段，并关掉DHCP，也可以链接finalshells

连接finalshell,修改密码

登陆成功

第二十五题 请分析用于重置宝塔面板密码的函数名为 set_panel_pwd()

宝塔面板重置网站密码功能调用的是tools.py （由老版本宝塔充值密码命令可知：cd /www/server/panel && python tools.py panel testpasswd）

分析tools.py

cat /www/server/panel/tools.py

第二十六题 请分析宝塔面板登陆密码的加密方式所使用的哈希算法为 md5

在tools.py中使用vi搜索功能 /set 按n键进行跳转，找到函数

第二十七题 请分析宝塔面板对于其获认用户的密码一共执行了儿次上题中的哈希算法

3次,（初始一次MD5，后来又有两次MD5拼接）

cat /www/server/panel/class/public.py 可以使用vi /www/server/panel/class/public.py或者下载该文件 搜索salt

第二十八题 请分析当前宝塔面板在加密过程中使用的salt值为【区分大小写】 v87ilhAVumZL

cd /www/server/panel/data

发现default.db文件，将其下载，使用navicat打开，发现salt值

第二十九题 请分析该服务器，网站源代码所在的绝对路径为 /www/wwwroot/www.honglian7001

第三十题 请分析，网站所使用的数据库位于IP为（）的服务器上，请使用该IP解压检材5，并重构网站 192.168.110.115 /www/wwwroot/www.honglian7001/app/databae.php

第三十一题 请分析数据库的登陆密码为 wxrM5GtNXk5k5EPX 第三十二题 请尝试重构该网站，并指出，该网站的后台管理界面的入口为【标准格式：/web】

参考网站

https://blog.csdn.net/qq_51233573/article/details/122668215 /admin

用第30题答案去vc加载检材5，加载密码：

192.168.110.115-CAB2021

加载完成之后将其使用FTK挂载，可读可写

然后进行RAID重组

创建块虚拟RAID和自动检测——将刚挂载的盘符拖动至父，然后自动检测

点击创建镜像，逐字节镜像，生成虚拟块 RAID 2.dsk

使用火眼睛仿真对其进行仿真

这时候访问，之前访问本地访问这个界面 因为没有连接数据库所以这里看不到界面

http://192.168.110.113/admin/common/login.shtml

第三十三题 .已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】

将其源码拖出来审计一下 找到其定义密码的函数找到其salt值

lshi4AsSUrUOwWV /www/wwwroot/www.honglian7001/app/admin

第三十四题 请分析该网站的管理员用户的密码为

在下面日志文件中可以找到

security \www.honglian7001\runtime\log\202104\24.log

第三十五题 在对后台账号的密码加密处理过程中，后台一共计算几次哈希值

三次

如果找不到密码 可以连接数据库，重置密码，将12345加密成MD5替换

连接时，发现空用户导致连接数据库无法连接

第一种方法：

vi /etc/my.cnf 在[mysqld]后面任意一行添加“skip-grant-tables”用来跳过密码验证的过程

点击ESC 使用 :wq！保存并退出 使用 service mysqld restart 重启MySQL服务 免密码登陆（注：敲入 mysql -u www_honglian7001 -p 命令然后回车，当需要输入密码时，直接按enter键，便可以不用密码登录到数据库当中）

第二种方法，直接可以使用mysql的SSH连接，使用ssh的账号和密码连接

登陆成功

第三十六题 请统计，后台中，一共有多少条设备记录

6002

第三十七题 请通过后台确认，本案中受害者的手机号码为

这里要注意时区 检材二也就是负载均衡服务器是utc时区，检材二中的日志记录情况 在2021.4.24 6:37（utc时间）左右上传了通讯录 其对应的utc+8时间应为 当日14:37左右手机型号也能对上 由此可以得到受害者手机号码

186644099137

第三十八题 请分析，本案中受害者的通讯录一共有多少条记录 34

第四部分

通过对检材二和三进行分析，警方通过IP落地，警方掌成功抓获犯罪嫌疑人，现将嫌疑人的PC机和手机进行了取证，分别制 作了镜像，请使用第13题的答案对检材四进行解密，并回答下列问题

192.168.110.203-CAB2021 第三十九 请计算检材四-PC的原始硬盘的SHA256值 E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B

第四十题 请分析，检材四-PC的Bitlocker加密分区的解密密钥为

使用取证大师分析

511126-518936-161612-135234-698357-082929-144705-622578

使用密钥串进行解密

然后点击上方自动取证，重新使用取证大师进行取证

第四十一题 请分析，检材四-PC的开机密码为 12306

MD5解密

38a236fbdf9d8e7f074fede16cafe250

或者将恢复密钥填进火眼仿真中，即可自动获取PC的开机密码

第四十二题 经分析发现，检材四-PC是嫌疑人用于管理服务器的设备，其主要通过哪个浏览器控制网站后台 Google Chrome

第四十三题 请计算PC检材中用户目录下的zip文件的sha256值 0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3

找到该文件，点击上面工具 哈希计算

第四十四题 请分析检材四-phone，该手机的IMEI号为

使用火眼证据分析软件分析手机镜像

868668043754436 868668044204431

第四十五题 请分析检材四-phone，嫌疑人和本案受害者是通过什么软件开始接触的 伊对

第四十六题 请分析检材四-phone，受害者下载恶意APK安装包的地址为 https://cowtransfer.com/s/a6b28b4818904c

第四十七题 请分析检材四-phone，受害者的微信内部ID号为 wxid_op8i06j0aano22

第四十八题 请分析检材四-phone，嫌疑人用于敲诈本案受害者的QQ账号为 1649840939

第四十九题 请综合分析，嫌疑人用于管理敲诈对象的容器文件的SHA256值为

导出前面提到的“我的赚钱工具”，尝试使用12306进行解密压缩包，得到一个虚拟机镜像，用虚拟机打开，发现有开机密码，使用仿真软件加载（选择那个不带后缀0002的镜像），得到密码money

寻找一番无果，发现有快照，还原快照

点开我的电脑，点击快速访问，发现有一个叫 小白鼠 的文件，密钥文件为key.zip，之后用VeraCrypt进行解密

计算小白鼠的SHA256得，也可以在取证大师中加载虚拟机文件

9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608

容器加载完成

第五十题 请综合分析嫌疑人检材，另外一受害者“郭先生”的手机号码为

打开郭先生的文件夹

15266668888

第五十一题 通过嫌疑人检材，其中记录了几位受害者的信息 5

第五十二题 请使用第11题的密码解压“金先生转账.zip”文件，并对压缩包中的文件计算SHA256值 解压密码 c74d97b01eae257e44aa9d5bade97baf SHA256 cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510 命令 certutil -hashfile 金先生转账.jpg sha256

第五十三题 请综合分析，受害者一共被嫌疑人敲诈了多少钱（转账截图被隐藏在多个地方） 6600

支付宝提醒助手里面

伊对 金先生聊天记录里面

微信聊天记录里面

虚拟机压缩包里面

数据库里面，找到我的账单 右键保存数据为1.jpg

600+1000+2000+2000+1000=6600

也可以移步至公众号查看