问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
第六届“蓝帽杯”半决赛取证题目官方解析
0x00 手机取证 1. iPhone手机的iBoot固件版本号:[iBoot-1.1.1][手机取证][★☆☆☆☆] iBoot-7429.62.1 2. 该手机制作完备份UTC+8的时间(非提取时间):[答案格式:2000-01-01 00:00:00][手机取证][★★★...
0x00 手机取证 ========= 1\. iPhone手机的iBoot固件版本号:\[iBoot-1.1.1\]\[手机取证\]\[★☆☆☆☆\] **iBoot-7429.62.1** ![1.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-4abc462bac2ff1f4470fbb94a3efdb02e54797f9.png) 2\. 该手机制作完备份UTC+8的时间(非提取时间):\[答案格式:2000-01-01 00:00:00\]\[手机取证\]\[★★★★☆\] **2022-01-11 18:47:38** ![2.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-838d06e24075f667aba782d5a5039b3bc4c7ea4a.png) 0x01 exe分析 ========== 1\. 文件services.exe创建可执行文件的路径是:\[答案格式:C:\\Windows\\a.exe\]\[exe分析\]\[★☆☆☆☆\] **C:\\Program Files\\Common Files\\Services\\WmiApSvr.exe** ![3.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-8dce2b57c8dc1387f2760e51da5981c36401285c.png) 2\. 文件HackTool.FlyStudio.acz\_unpack.exe是否调用了advapi32.dll动态函式链接库:\[答案格式:是/否\]\[exe分析\]\[★★☆☆☆\] **是** ![4.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-b650173bc63c8ac8705e66b5c699930bbe257dd1.png) 3\. 文件aspnet\_wp.exe执行后的启动的进程是什么:\[答案格式:qax.exe\]\[exe分析\]\[★★★☆☆\] **svchost.exe** ![5.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-6471afcaad840a12d71d39db3c170fe99d57854c.png) 4\. 文件\[4085034a23cccebefd374e4a77aea4f1\]是什么类型的木马:\[答案格式:勒索\]\[exe分析\]\[★★☆☆☆\] **挖矿** ![6.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-1ec99da5096e8fec001726813ca0a4865dfc1d39.png) 5\. 文件\[4085034a23cccebefd374e4a77aea4f1\]网络连接的IP地址的归属地是哪个国家:\[答案格式:美国\]\[exe分析\]\[★★★★☆\] **韩国** ![7.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-30f4206bca54ebe9fadcb5e4c55279b6df5c315c.png) 0x02 APK分析 ========== 1\. 受害人手机中exec的和序列号是:\[答案格式:0xadc\]\[APK分析\]\[★☆☆☆☆\] **0x936eacbe07f201df** ![8.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-750024cccdb1fa2d29a0c935fa7ce4e45d0d70eb.png) 2\. 受害人手机中exec关联服务器地址是:\[答案格式:asd.as.d\]\[网络流\]\[★★☆☆☆\] **ansjk.ecxeio.xyz** ![9.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-a530f5678d38551428ec517775bcc9123d53065f.png) 3\. 受害人手机中exec加载服务器的函数是:\[答案格式:asda\]\[APK分析\]\[★★★☆☆\] **loadUrl** ![10.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-a05a86883924714d884ec792a2dd4a51ad0f1460.png) 4.受害人手机中exec的打包ID是:\[答案格式: adb.adb.cn\]\[APK分析\]\[★★★☆☆\] **\_\_W2A\_\_nansjy.com.cn** ![11.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-5f2e505c31a002230f5d877df3a6980f2386cb84.png) 5.受害人手机中exec的是否有安全检测行为:\[答案格式:是/否\]\[APK分析\]\[★★★☆☆\] **是** ![12.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-0dfbc4abaeaff19ccd21d53925bd4e7fe08f9306.png) 6.受害人手机中exec的检测方法的完整路径和方法名是:\[答案格式:a.a.a()\]\[APK分析\]\[★★★☆☆\] **d.a.a.c.a.a()** ![13.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-4f2db6d3f16dfb844eabe68819351888694b4905.png) 7.受害人手机中exec有几个界面:\[答案格式:2\]\[\]\[★★★☆☆\] **3** ![14.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-a477598799e1b59116c0f61f093c1f69bb3b5312.png) 8.受害人手机中红星IPA的包名是:\[答案格式:a.s.d\]\[IPA分析\]\[★★☆☆☆\] **com.dd666.hongxin** ![15.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-fdd26c135adffb7b16bbccd3b7d0dad9d1565fae.png) 9.受害人手机中红星IPA的APIKEY是:\[答案格式:asd\]\[IPA分析\]\[★★☆☆☆\] **d395159c291c627c9d4ff9139bf8f0a700b98732** ![16.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-fdfbb3dfadd174bb8e77f4febce6d4ae6c5940e8.png) 10.受害人手机中红星IPA的权限有:\[答案格式:as d a\]\[IPA分析\]\[★★☆☆☆\] **相册 定位 摄像头 麦克风** ![17.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-07cff4605b321531ccf6512ad1bbbeee9f298c23.png) 11.嫌疑人手机中红星APK的服务器地址是:\[答案格式:ass.a.d:11\]\[网络流\]\[★☆☆☆☆\] **www.nansjy.com.cn:8161** ![18.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-1b525a2bc80c5c043b54d62a37b99e16442fa551.png) 12.嫌疑人手机中红星APK的程序入口是:\[答案格式:a.v.b.n\]\[APK分析\]\[★☆☆☆☆\] **com.example.weisitas526sad.activity.SplashActivity** ![19.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-24f0d391ff58032b93425762d5e29f42037bbee9.png) 13.嫌疑人手机中分析聊天工具,服务器的登录端口是:\[答案格式:12\]\[APK分析\]\[★★☆☆☆\] **6661** ![20.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-e7921c87919d2fb221f14625bc5bc2b5ac14012a.png) 14.嫌疑人手机中分析聊天工具,用户归属的机构是:\[答案格式:太阳\]\[APK分析\]\[★☆☆☆☆\] **红星** ![21.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-4b4e9d38b77cd2a9a5988835a1b74d2c2ce4baa0.png) 15.结合手机流量分析聊天工具的登录账号和密码是:\[答案格式:1212311/12312asd\]\[APK分析\]\[网络流\]\[★★★★☆\] **17317289056/b12345678b** ![22.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-dc58c5a86ab5ca0d934f132e7fc0effa8c36633e.png) 0x03 服务器取证 ========== 1、服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容,不算脚本注释部分。\[答案格式:/abcd/tmp www.windows.com\]\[服务器取证\]\[★★★★☆\] **答案:/usr/sbin/ntpdate time.nist.gov** 执行命令 vi etc/rc.local 找到该脚本 ![23.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-e8dfc7fdf723c0b7957661ccc1b43473269c8e8c.png) 查看该脚本,发现有一关键词“$gztmpdir”出现多次 ![24.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-d728151e47e34d9f537d5baa0a8a0ad97e8b80d6.png) 确认该脚本是经过压缩的,执行命令 gzexe -d time.sh对脚本进行解密 ![25.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-914d5145245461f506bdc3981ab9654e5d947081.png) 2、服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。\[答案格式:2022年第六届蓝帽杯\]\[服务器取证\]\[★★★★☆\] **答案:#台北下着雪你说那是保丽龙** 执行命令 crontab -l查看计划任务 ![26.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-9ab4111eafc460de7bc30593a1cf7f52942f8359.png) 发现脚本后缀为sh.x,这个一般为shc加密,使用unshc.sh脚本进行解密 ![27.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-c4c3a9b5158b5ed6abf29e9a63547116e1206528.png) 界面完成后执行命令 vi backup.sh查看脚本内容 ![28.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-4cccf3b6288d6d662bad72a23506a1f548860d07.png) 3、使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。\[答案格式:e10adc3949ba59abbe56e057f20f883e\]\[服务器取证\]\[★★★☆☆\] **答案:25b9447a147ad15aafaef5d6d3bc4138** 宝塔面板的密码加密方式存放在文件“/www/server/panel/class/users.py”下 ![29.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-3b8e8ffab712106e1dfded76be4ddde9db3fab8d.png) 使用该加密方式对字符串lanmaobei加密 ![30.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-e4e947cc149042c9fe6f599026e52c0eafe5a97b.png) ![31.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-ad3740a5710d65e448e289438a945742829e3f7b.png) ![32.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-82547288831fd4cb3b0f3a33ea02bc4fb064a482.png) 4、写出服务器中第一次登录宝塔面板的时间。\[答案格式:2022-02-02 02:02:02\]\[服务器取证\]\[★★☆☆☆\] **答案:2021-05-17 16:10:40** 先登录到宝塔面板中 执行命令 bt 11 && bt 12 && bt 13 && bt 23 关闭一些登录限制 ![33.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-a246d281926955c9390f558179074a4228a87131.png) 这个文件没有权限删除,执行命令 lsattr /www/server/panel/config/basic\_auth.json ![34.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-1efcace943d2b2a029bb17565271d8b518cf1d37.png) 这个i是代表不可修改权限,执行命令 chattr -i /www/server/panel/config/basic\_auth.json && rm -rf /www/server/panel/config/basic\_auth.json 和bt 23就可以关闭限制了 ![35.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-2ffdf7a0004ba5ef7b47451f26df4cacb4194797.png) 然后修改宝塔面板密码进行登录,查看宝塔面板日志,发现被清空 ![36.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-6bed871e31e09c538c7da42b35988207e1b8bc83.png) 于是执行命令 cd /www/server/panel/logs/request/ 该目录里保存了所有访问宝塔面板的get或者post请求记录 执行命令gunzip -d 2021-05-17.json.gz 然后执行 vi 2021-05-17.json 成功登录宝塔面板的post和ger请求是连续的,且后接内容分别为“/login?”和“/?” ![37.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-66c3228aad032912c61be8fe366f6034b8fe486b.png) 5、写出宝塔面板的软件商店中已安装软件的个数\[答案格式:2\]\[服务器取证\]\[★★☆☆☆\] **答案:6** ![38.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-68e3b9455b3f2e7e453d0ce53750c8340354271b.png) 6、写出涉案网站(维斯塔斯)的运行目录路径。\[答案格式:/root/etc/sssh/html\]\[服务器取证\]\[★★☆☆☆\] **答案:/www/wwwroot/v9.licai.com/public** ![39.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-b5351e91bd9104177afc91e8e31c711f67c9dd7c.png) 7、写出最早访问涉案网站后台的IP地址。\[答案格式:111.111.111.111\]\[服务器取证\]\[★★☆☆☆\] **答案:183.160.76.194** 先在配置文档里找到网站日志文件 ![40.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-be43737bf548e04e527b16475a2f0660af4cbaaf.png) 在日志文件里找到后台地址及最早访问的IP地址 ![41.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-232c2c4bde77c22be987e91e02ed9dba0b006649.png) 8、写出涉案网站(维斯塔斯)的“系统版本”号。\[答案格式:6.6.6666\]\[服务器取证\]\[★★★☆☆\] **答案:1.0.190311** 查看管理员表,使用admin登录 ![42-1.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-4e943a828c373bbfa131f8f1ea465b52a11eb01b.png) ![42.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-d59200d5f2fca90c34a5a907b93a830f3b38a921.png) 执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '密码不正确' ![43.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-bd108efbc64c49f6ce875e8ad566b77ba3786384.png) vi /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php ![44.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-15e925ad87ee32f641b8133a98a2618c3768a70d.png) 修改该文件,然后登录网站 ![45.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-5372d2df644ea1a88c94a8fcdbfa234ea0b2a1e4.png) 9、分析涉案网站的会员层级深度,写出最底层会员是多少层。\[答案格式:66\]\[服务器取证\]\[★★★★☆\] **答案:10** 在数据库中member表中,先找出上下级关联字段inviter,invicode,然后通过脚本实现递归,算出层级表 ![46.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-c21b56e157f18746146a75eed116903a1292b0c7.png) ![47.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-9bc35167ac461a0dbd528bde117bbdcda0391481.png) ![48.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-953537f127f1785b9928333b7ceadafbfe1123e3.png) ![49.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-15d3d0e956ea9a959eac3feaa033cf7a1de2e1a4.png) 10、请写出存放网站会员等级变化制度的网站代码文件的SHA256值。\[答案格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92\]\[服务器取证\]\[★★★☆☆\] **答案:18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78** 执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '会员等级' ![50.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-6612236f29429c203d83c7afb6ef1003991d16a7.png) 使用SA加载然后计算该文件哈希 11、计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。\[答案格式:666.66\] \[服务器取证\]\[★★★★☆\] **答案:25178.59** 开启general\_log,去充值界面捕获sql语句,得知其充值表为memberrecharge,且当status=1时,为已处理。 执行sq语句 SELECT userid,sum(amount) FROM `memberrecharge` where type = '用户充值' and `status` = 1 group by userid order by sum(amount) desc limit 5 ![51.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-69f32030b72c1da85b4e1c6e715a219b90697eff.png) 得到充值前五用户id 执行sql语句 select sum(moneylog\_money) from moneylog where moneylog\_type like '%下线%' and moneylog\_userid in (7,2,12,11,168) ![52.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-d335632efe62f48e1cedc88c9ca5a50575069a71.png) 12、统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。\[答案格式:6\]\[服务器取证\]\[★★★☆☆\] **答案:2** ![53.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-2f1c1c9d55780f825793c7bfd5b32bd6f855625f.png) 13、统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。\[答案格式:6666.66\]\[服务器取证\]\[★★★★☆\] **答案:9805957.00** 用户成功总充值金额(不包括平台赠送)-用户成功总提现金额 执行sql语句 select b.a-d.c from (SELECT sum(amount) a FROM `memberrecharge` where type = '用户充值' and `status` = 1 and updated\_at < '2021-07-01 23:59:59' ) b,(SELECT sum(amount) c FROM memberwithdrawal where `status` = 1 and updated\_at < '2021-07-01 23:59:59') d ![54.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-f7fcd752799b88b5369139b2a272eead9472c5db.png) 14、统计涉案网站哪一天登录的会员人数最多。\[答案格式:1999-09-09\]\[服务器取证\]\[★★★★★\] **答案:2021-07-14** 执行sql语句 SELECT COUNT(DISTINCT(userid)),date\_format(updated\_at,'%Y-%m-%d') FROM `memberlogs` GROUP BY date\_format(updated\_at,'%Y-%m-%d') ORDER BY COUNT(DISTINCT(userid)) DESC ![55.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-3b331b8c031ebfdcde3099daa393ad0e2aaf8728.png) 15:写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。\[答案格式:lanmaobei666\]\[服务器取证\]\[★★★★★\] **答案:hm688** 思路一:将备份的数据库恢复,查看layims表 执行cd /root/db-bak/v9\_licai\_com && unzip db-v9\_licai\_com-20210714030001.sql.zip 执行 mysql -uroot -p138663b195816d72 < - ![56.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-5f695655a5c62ae4822d49fd03fb48cbb4ebe1f7.png) 思路二,将备份的数据库导出,直接进行关键词搜索 本文转载自公众号**盘古石取证**
发表于 2022-08-11 14:41:58
阅读 ( 6003 )
分类:
其他
0 推荐
收藏
0 条评论
请先
登录
后评论
奇安信攻防社区
奇安信攻防社区官方账号
20 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!