2022长安杯wp

2022第四届长安杯电子数据取证竞赛题解报告
原创作者Xmin

背景

某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗该网站号称使用“USTD币”购买所谓的“HT币”受害人充值后不但“HT币”无法提现、交易而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。

检材1

1. 检材1的SHA256值为
火眼打开之后计算出希哈值9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34
2. 分析检材1搭建该服务器的技术员IP地址是多少用该地址解压检材2
这个该怎么找具体有两种办法但是都是从登录日志来看首先是把检材1仿真出来然后查看最近的登录日志

last | less

![[图片]](https://img-blog.csdnimg.cn/68010c740b3345c58e6586719ca23ca6.png
登录的ip是172.16.80.100
在一个是使用证据分析软件分析然后分析–>linux基本信息–>登录日志
从里面的摘要里面看到登录的ip是172.16.80.100

Linux日志解析里面也有

3. 检材1中操作系统发行版本号为

cat /etc/redhat-release

Cntos Linux release 7.5.1804 (Core)

4. 检材1系统中网卡绑定的静态IP地址为

 ifconfig

172.16.80.133

5. 检材1中网站jar包所存放的目录是(答案为绝对路径如“/home/honglian/”)
分析–>Linux基本信息–>历史命令
分析历史命令可以得知网站的jar包在/web/app里面

6. 检材1中监听7000端口的进程对应文件名为
解这道题可以把app里面的jar包都跑起来看看看看哪个jar包运行之后监听了7000端口
答案是cloud.jar

要分析完五个jar包才得出答案
7. 检材1中网站管理后台页面对应的网络端口为答案填写阿拉伯数字如“100”
到这里我们已经找到网站的jar包了但是我们没有网站的启动脚本(从历史命令里可以得知他被root删除了)这时候网站的启动需要经过很多调试操作很复杂这也是这次长安杯留下的第一个坑。但是进入第二个检材之后就可以在磁盘里找到启动脚本
在检材2仿真的虚拟机中的Google浏览器里面有网站后台的登录页面端口是9090

再一个从取证工具里面也能看到管理员后台的端口是9090

8. 检材1中网站前台页面里给出的APK的下载地址是答案格式如下“https://www.forensix.cn/abc/def”)
7·8两个题都需要把网站启动起来
从文件里面发现了一千多张图片文件我直接搜索了app的文件名有若干个二维码其中就有一个叫app_andraio.png的二维码怀疑这就是apk下载二维码但是没有找出网址
用手机扫码之后可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
另外还可以把二维码down下来然后从cyberchef解密一下

https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9. 检材1中网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
对admin-api.jar进行逆向分析我们在什么都不知道的情况下有几个思路一个是先从数据库里面来看但是要推进到第三个检材之后才能看到这个库推进到这个库看到数据库是32位后搜一下md5看有多少个调用了md5这个值所以在这可以进行一个search的操作
在这里可以看到对md5key的加密处理这种办法是在知道关键词之后。
但是在分析过程中就能直接找到好几个题目的答案包括密码字段的加密方式为md5

10. 分析检材1网站管理后台登录密码加密算法中所使用的盐值是

XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

逆向分析得出

检材2

11. 检材2中windows账户Web King的登录密码是

135790

直接用火眼取证打开就能看到密码
12. 检材2中除检材1以外还远程连接过哪个IP地址并用该地址解压检材3
在Xshell的历史命令记录里面在ssh的历史命令输入里面都能找到

172.16.80.128

13. 检材2中powershell中输入的最后一条命令是
打开windows powershell 然后按一下上键

答案是ipconfig
14. 检材2中下载的涉案网站源代码文件名为
在Google浏览器的下载记录里面

ZTuoExchange_ famework-master.zip

15. 检材2中网站管理后台root账号的密码为
可以在火眼里面解析出来

密码是root
16. 检材2中技术员使用的WSL子系统发行版本是答案格式如下windows 10.1

wsl -l -v

还可以从APPdata/local/packages/canonical

17. 检材2中运行的数据库服务版本号是答案格式如下10.1)

8.0.30

18. 上述数据库debian-sys-maint用户的初始密码是
这个初始密码是什么是会保存在一个配置文件里的在rootfs/etc/mysql里面可以找到一个diban.cnf,把这个文件导出来就能找到初始密码ZdQfi7vaXjHZs75M

19. 检材3服务器root账号的密码是
嫌疑人曾经通过远程连接过服务器root账号h123456

检材3

20. 检材3中监听33050端口的程序名program name为
首先把docker打开

systemctl start docker

然后

netstat -napt

答案是docker-proxy
21. 除MySQL外该网站还依赖以下哪种数据库
21.22.24题都可以通过对检材1的逆向得出答案

22. 检材3中MySQL数据库root账号的密码是
第一种方法是对检材1的逆向

第二种方法是查看镜像的元数据

23. 检材3中MySQL数据库在容器内部的数据目录为
这是这次考试一个重要的考点docker-compose的yml文件。从历史记录分析可以得出嫌疑人曾经多次查看这个文件

得知此文件在目录/data/mysql里面进入查看得知

数据目录为/var/lib/mysql/
24. 涉案网站调用的MySQL数据库名为
对检材1逆向分析得知

SQL数据库名为b1
25. 勒索者在数据库中修改了多少个用户的手机号(答案填写阿拉伯数字如“15”)
这个时候找到检材2的D盘在D盘中可以找到数据库b1还能看到start.sh 和 start_web.sh两个启动脚本此时把这两个文件发给负责建服务器的队友。

老师还贴心的放了一个建站笔记

在检材3的后端文件的删改记录里面可以看到一个开头为8eda的log文件这里面就是数据库的数据修改记录搜索关键词delet和update找出修改了手机号的用户和删除的用户。搜索update之后就能找到修改手机号的记录update b1 member set phone_number··计数之后出现了五次匹配的结果一个一个的查看了一下有两次是更新的登陆时间所以修改手机号的次数应该是3次
26. 勒索者在数据库中删除的用户数量为(答案填写阿拉伯数字如“15”
在log文件中可以搜索到有批量删除的记录delete from b1 member··记数一下有28个
另外利用数据库分析工具
在检材2中分析出了数据库b1但是有两个选中其中一个然后点数据库分析可以使用工具对数据库进行分析。

so

用工具打开数据库文件之后发现了三个表与题目关联度比较大一个是交易记录第二一个是用户钱包第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个初步怀疑是被删除了。

进一步分析发现id为973-1000的用户被删掉了当时脑子不管事算成了1000-973=27提交之后不能改了555应该是1000-972=28。白白浪费了十分
27. 还原被破坏的数据库分析除技术员以外还有哪个IP地址登录过管理后台网站用该地址解压检材4

在数据库分析工具打开的表格中能找到一个登录日志除了技术员的ip通过检材1已知还有172.16.80.197登录了管理后台的网址。
28. 还原全部被删改数据用户id为500的注册会员的HT币钱包地址为
用工具打开之后直接找到用户钱包的数据然后找到了id=500的钱包地址

cee631121c2ec9232f3a2f028ad5c89b

29. 还原全部被删改数据共有多少名用户的会员等级为’LV3’(答案填写阿拉伯数字如“15”)

通过member_grade这个表了解到等级是三的用户的grade_code=3

但是到用户表之后是mamber_grade_id这里很难办于是赌了一把mamber_grade_id=3等级就是3然后导出之后筛选出有158人当时到这里就结束了完全没有考虑剩下的28个人于是正确地的出来了这个错误答案。。
正确答案164
30. 还原全部被删改数据哪些用户ID没有充值记录(答案填写阿拉伯数字多个ID以逗号分隔如“15,16,17”)
此题超简单反而比前面几个简单一些钱包的表格里直接筛选出了balance等于0的两个人。318989

31. 还原全部被删改数据2022年10月17日总计产生多少笔交易记录(答案填写阿拉伯数字如“15”)
在交易表格member_transection里面有五千多条交易记录筛选出10月17日的交易记录一共1000条

在这里有一点导出数据的时候要选正常数据

否则导出后再筛选会多了选所有数据要注意这几个选项的区别幸好当时是选了仅正常数据所以得出了是1000万幸哈哈哈
32. 还原全部被删改数据该网站中充值的USDT总额为(答案填写阿拉伯数字如“15”)
直接计算一个总和就可以啦

得出来了40822800当时以为这个就是答案了可是又比对了一下每个后面都带俩零又看一眼题目问的是USDT总额又是问的充值的又去另一个表做了求和

原来真错了是408228

检材4

33. 嫌疑人使用的安卓模拟器软件名称是
解压出来是一个后缀是npbk的文件百度一下是要用夜神模拟器打开所以嫌疑人使用的是夜神模拟器。
34. 检材4中“老板”的阿里云账号是
把npbk文件解压之后出来一个vmdk文件可以直接用火眼取证工具进行分析从老板的微信聊天记录里面可以看到老板的阿里云账号是forensixtech1

35. 检材4中安装的VPN工具的软件名称是
在数据分析里面能找到vpn工具v2ryNG还有节点信息

36. 上述VPN工具中记录的节点IP是

38.68.135.18

37. 检材4中录屏软件安装时间为
从下载文件夹中找到了录屏软件下载时间

2022-10-19 10:50:05

知道了下载时间从而推理一下安装时间一定是比下载时间晚晚几十秒的答案很可能是正确的
38. 上述录屏软件中名为“s_20221019105129”的录像在模拟器存储中对应的原始文件名为

在软件的数据库文件夹里面找到了相关的录屏软件

0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

39. 上述录屏软件登录的手机号是
在数据库文件夹里找到了record.db和record.db-wal用db browser打开查看在moblie里面可以找到软件登录的手机号是18645091802

在夜神模拟器种直接恢复手机然后打开录屏软件点注销账号能直接看到手机号

40. 检材4中发送勒索邮件的邮箱地址为
收件箱里有相关的勒索邮件

skterran@163.com

exe分析

41. 分析加密程序编译该加密程序使用的语言是
用ida反编译加密程序在检材2的D盘中找到查看字符串发现了很多py后缀确定使用的语言就是python

42. 分析加密程序它会加密哪些扩展名的文件
对机密程序进行逆向分析然后在py文件中能看到加密的扩展名文件类型
逆向脚本下载https://sourceforge.net/projects/pyinstallerextractor/files/dist/pyinstxtractor.py/download?use_mirror=nchc
在线反编译https://www.toolnb.com/tools/pyc.html
还有一个方法就是分别找这四种文件来试一下看看能不能被加密。

43. 分析加密程序是通过什么算法对文件进行加密的
逆向分析使用的是异或加密

44. 分析加密程序其使用的非对称加密方式公钥后5位为

u+w==

45. 被加密文档中FLAG1的值是(FLAG为8位字符串如“FLAG9:QWERT123”)
同样的方法逆向解密程序后发现密码没有被加密所以直接运行输入密码就可以解密文件了

FLAG1的值FLAG1:TREFWGFS

apk分析

46. 恶意APK程序的包名为
首先下载这个软件在前面的网址下载用雷电APP智能分析查看包名

cn.forensix.changancup

47. APK调用的权限包括
静态权限里面分析得到

48. 解锁第一关所使用的FLAG2值为FLAG为8位字符串如需在apk中输入FLAG请输入完整内容如输入"FLAG9:QWERT123"
使用雷电APP智能分析脱壳然后进行jadx反编译

直接搜索flag

可以找到flag2

FLAG2:MATSFRKG

49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串如需在apk中输入FLAG请输入完整内容如输入"FLAG9:QWERT123")
刚才已经找到了程序的入口函数找到了mainactivity然后看看flag2周围的函数

然后有一堆代码好多个O然后最终确定OooO0oo是要比对的值看一下那个地方对这个值进行了定义

找到了flag3的加密后的值加密有两层

第一层

第二层native函数调用一个so文件对加密值进行解密然后与输入的值进行比较
所以说如果能把这些函数直接调用出来然后执行一下直接输出就能得到flag3
要直接调用一个安卓的工程把代码执行下来使用工具为Android studio
下载网址;https://developer.android.google.cn/studio/

编写一个程序来输出FLAG3

FLAG3:TDQ2UWP9

50. 解锁第三关所需的KEY值由ASCII可显示字符组成请请分析获取该KEY值

限制输入24个字符串然后分成四位一组分成六组数

无法对intevalue和inter转换所以到这直接跳到下面的catch

经过catch后最终得到的这个值就是解密后的密文
在这里的思路是写脚本暴力破解字典是键盘上能打出来的所有字符一个一个比对最终解密出密码
还是使用Android studio来破解

最终爆破出key=a_asd./1imc2)dd1234]_+=+