奇安信攻防社区-第六届“蓝帽杯”半决赛取证题目官方解析

第六届“蓝帽杯”半决赛取证题目官方解析

0x00 手机取证 1. iPhone手机的iBoot固件版本号:[iBoot-1.1.1][手机取证][★☆☆☆☆] iBoot-7429.62.1 2. 该手机制作完备份UTC+8的时间(非提取时间):[答案格式:2000-01-01 00:00:00][手机取证][★★★...

0x00 手机取证
=========

1\. iPhone手机的iBoot固件版本号:\[iBoot-1.1.1\]\[手机取证\]\[★☆☆☆☆\]

**iBoot-7429.62.1**

![1.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-4abc462bac2ff1f4470fbb94a3efdb02e54797f9.png)

2\. 该手机制作完备份UTC+8的时间(非提取时间):\[答案格式:2000-01-01 00:00:00\]\[手机取证\]\[★★★★☆\]

**2022-01-11 18:47:38**

![2.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-838d06e24075f667aba782d5a5039b3bc4c7ea4a.png)

0x01 exe分析
==========

1\. 文件services.exe创建可执行文件的路径是:\[答案格式:C:\\Windows\\a.exe\]\[exe分析\]\[★☆☆☆☆\]

**C:\\Program Files\\Common Files\\Services\\WmiApSvr.exe**

![3.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-8dce2b57c8dc1387f2760e51da5981c36401285c.png)

2\. 文件HackTool.FlyStudio.acz\_unpack.exe是否调用了advapi32.dll动态函式链接库:\[答案格式:是/否\]\[exe分析\]\[★★☆☆☆\]

**是**

![4.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-b650173bc63c8ac8705e66b5c699930bbe257dd1.png)

3\. 文件aspnet\_wp.exe执行后的启动的进程是什么:\[答案格式:qax.exe\]\[exe分析\]\[★★★☆☆\]

**svchost.exe**

![5.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-6471afcaad840a12d71d39db3c170fe99d57854c.png)

4\. 文件\[4085034a23cccebefd374e4a77aea4f1\]是什么类型的木马:\[答案格式:勒索\]\[exe分析\]\[★★☆☆☆\]

**挖矿**

![6.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-1ec99da5096e8fec001726813ca0a4865dfc1d39.png)

5\. 文件\[4085034a23cccebefd374e4a77aea4f1\]网络连接的IP地址的归属地是哪个国家:\[答案格式:美国\]\[exe分析\]\[★★★★☆\]

**韩国**

![7.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-30f4206bca54ebe9fadcb5e4c55279b6df5c315c.png)

0x02 APK分析
==========

1\. 受害人手机中exec的和序列号是:\[答案格式:0xadc\]\[APK分析\]\[★☆☆☆☆\]

**0x936eacbe07f201df**

![8.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-750024cccdb1fa2d29a0c935fa7ce4e45d0d70eb.png)

2\. 受害人手机中exec关联服务器地址是:\[答案格式:asd.as.d\]\[网络流\]\[★★☆☆☆\]

**ansjk.ecxeio.xyz**

![9.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-a530f5678d38551428ec517775bcc9123d53065f.png)

3\. 受害人手机中exec加载服务器的函数是:\[答案格式:asda\]\[APK分析\]\[★★★☆☆\]

**loadUrl**

![10.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-a05a86883924714d884ec792a2dd4a51ad0f1460.png)

4.受害人手机中exec的打包ID是:\[答案格式: adb.adb.cn\]\[APK分析\]\[★★★☆☆\]

**\_\_W2A\_\_nansjy.com.cn**

![11.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-5f2e505c31a002230f5d877df3a6980f2386cb84.png)

5.受害人手机中exec的是否有安全检测行为:\[答案格式:是/否\]\[APK分析\]\[★★★☆☆\]

**是**

![12.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-0dfbc4abaeaff19ccd21d53925bd4e7fe08f9306.png)

6.受害人手机中exec的检测方法的完整路径和方法名是:\[答案格式:a.a.a()\]\[APK分析\]\[★★★☆☆\]

**d.a.a.c.a.a()**

![13.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-4f2db6d3f16dfb844eabe68819351888694b4905.png)

7.受害人手机中exec有几个界面:\[答案格式:2\]\[\]\[★★★☆☆\]

**3**

![14.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-a477598799e1b59116c0f61f093c1f69bb3b5312.png)

8.受害人手机中红星IPA的包名是:\[答案格式:a.s.d\]\[IPA分析\]\[★★☆☆☆\]

**com.dd666.hongxin**

![15.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-fdd26c135adffb7b16bbccd3b7d0dad9d1565fae.png)

9.受害人手机中红星IPA的APIKEY是:\[答案格式:asd\]\[IPA分析\]\[★★☆☆☆\]

**d395159c291c627c9d4ff9139bf8f0a700b98732**

![16.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-fdfbb3dfadd174bb8e77f4febce6d4ae6c5940e8.png)

10.受害人手机中红星IPA的权限有:\[答案格式:as d a\]\[IPA分析\]\[★★☆☆☆\]

**相册 定位 摄像头 麦克风**

![17.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-07cff4605b321531ccf6512ad1bbbeee9f298c23.png)

11.嫌疑人手机中红星APK的服务器地址是:\[答案格式:ass.a.d:11\]\[网络流\]\[★☆☆☆☆\]

**www.nansjy.com.cn:8161**

![18.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-1b525a2bc80c5c043b54d62a37b99e16442fa551.png)

12.嫌疑人手机中红星APK的程序入口是:\[答案格式:a.v.b.n\]\[APK分析\]\[★☆☆☆☆\]

**com.example.weisitas526sad.activity.SplashActivity**

![19.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-24f0d391ff58032b93425762d5e29f42037bbee9.png)

13.嫌疑人手机中分析聊天工具，服务器的登录端口是:\[答案格式:12\]\[APK分析\]\[★★☆☆☆\]

**6661**

![20.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-e7921c87919d2fb221f14625bc5bc2b5ac14012a.png)

14.嫌疑人手机中分析聊天工具，用户归属的机构是:\[答案格式:太阳\]\[APK分析\]\[★☆☆☆☆\]

**红星**

![21.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-4b4e9d38b77cd2a9a5988835a1b74d2c2ce4baa0.png)

15.结合手机流量分析聊天工具的登录账号和密码是:\[答案格式:1212311/12312asd\]\[APK分析\]\[网络流\]\[★★★★☆\]

**17317289056/b12345678b**

![22.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-dc58c5a86ab5ca0d934f132e7fc0effa8c36633e.png)

0x03 服务器取证
==========

1、服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容，不算脚本注释部分。\[答案格式:/abcd/tmp www.windows.com\]\[服务器取证\]\[★★★★☆\]

**答案：/usr/sbin/ntpdate time.nist.gov**

执行命令 vi etc/rc.local 找到该脚本

![23.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-e8dfc7fdf723c0b7957661ccc1b43473269c8e8c.png)

查看该脚本，发现有一关键词“$gztmpdir”出现多次

![24.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-d728151e47e34d9f537d5baa0a8a0ad97e8b80d6.png)

确认该脚本是经过压缩的，执行命令 gzexe -d time.sh对脚本进行解密

![25.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-914d5145245461f506bdc3981ab9654e5d947081.png)

2、服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。\[答案格式：2022年第六届蓝帽杯\]\[服务器取证\]\[★★★★☆\]

**答案：#台北下着雪你说那是保丽龙**

执行命令 crontab -l查看计划任务

![26.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-9ab4111eafc460de7bc30593a1cf7f52942f8359.png)

发现脚本后缀为sh.x，这个一般为shc加密，使用unshc.sh脚本进行解密

![27.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-c4c3a9b5158b5ed6abf29e9a63547116e1206528.png)

界面完成后执行命令 vi backup.sh查看脚本内容

![28.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-4cccf3b6288d6d662bad72a23506a1f548860d07.png)

3、使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。\[答案格式：e10adc3949ba59abbe56e057f20f883e\]\[服务器取证\]\[★★★☆☆\]

**答案：25b9447a147ad15aafaef5d6d3bc4138**

宝塔面板的密码加密方式存放在文件“/www/server/panel/class/users.py”下

![29.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-3b8e8ffab712106e1dfded76be4ddde9db3fab8d.png)

使用该加密方式对字符串lanmaobei加密

![30.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-e4e947cc149042c9fe6f599026e52c0eafe5a97b.png)

![31.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-ad3740a5710d65e448e289438a945742829e3f7b.png)

![32.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-82547288831fd4cb3b0f3a33ea02bc4fb064a482.png)

4、写出服务器中第一次登录宝塔面板的时间。\[答案格式：2022-02-02 02:02:02\]\[服务器取证\]\[★★☆☆☆\]

**答案：2021-05-17 16:10:40**

先登录到宝塔面板中 执行命令 bt 11 &amp;&amp; bt 12 &amp;&amp; bt 13 &amp;&amp; bt 23 关闭一些登录限制

![33.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-a246d281926955c9390f558179074a4228a87131.png)

这个文件没有权限删除，执行命令 lsattr /www/server/panel/config/basic\_auth.json

![34.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-1efcace943d2b2a029bb17565271d8b518cf1d37.png)

这个i是代表不可修改权限，执行命令 chattr -i /www/server/panel/config/basic\_auth.json &amp;&amp; rm -rf /www/server/panel/config/basic\_auth.json 和bt 23就可以关闭限制了

![35.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-2ffdf7a0004ba5ef7b47451f26df4cacb4194797.png)

然后修改宝塔面板密码进行登录，查看宝塔面板日志，发现被清空

![36.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-6bed871e31e09c538c7da42b35988207e1b8bc83.png)

于是执行命令 cd /www/server/panel/logs/request/ 该目录里保存了所有访问宝塔面板的get或者post请求记录

执行命令gunzip -d 2021-05-17.json.gz 然后执行 vi 2021-05-17.json

成功登录宝塔面板的post和ger请求是连续的，且后接内容分别为“/login?”和“/?”

![37.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-66c3228aad032912c61be8fe366f6034b8fe486b.png)

5、写出宝塔面板的软件商店中已安装软件的个数\[答案格式：2\]\[服务器取证\]\[★★☆☆☆\]

**答案：6**

![38.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-68e3b9455b3f2e7e453d0ce53750c8340354271b.png)

6、写出涉案网站（维斯塔斯）的运行目录路径。\[答案格式：/root/etc/sssh/html\]\[服务器取证\]\[★★☆☆☆\]

**答案：/www/wwwroot/v9.licai.com/public**

![39.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-b5351e91bd9104177afc91e8e31c711f67c9dd7c.png)

7、写出最早访问涉案网站后台的IP地址。\[答案格式：111.111.111.111\]\[服务器取证\]\[★★☆☆☆\]

**答案：183.160.76.194**

先在配置文档里找到网站日志文件

![40.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-be43737bf548e04e527b16475a2f0660af4cbaaf.png)

在日志文件里找到后台地址及最早访问的IP地址

![41.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-232c2c4bde77c22be987e91e02ed9dba0b006649.png)

8、写出涉案网站（维斯塔斯）的“系统版本”号。\[答案格式：6.6.6666\]\[服务器取证\]\[★★★☆☆\]

**答案：1.0.190311**

查看管理员表，使用admin登录

![42-1.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-4e943a828c373bbfa131f8f1ea465b52a11eb01b.png)

![42.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-d59200d5f2fca90c34a5a907b93a830f3b38a921.png)

执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '密码不正确'

![43.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-bd108efbc64c49f6ce875e8ad566b77ba3786384.png)

vi /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php

![44.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-15e925ad87ee32f641b8133a98a2618c3768a70d.png)

修改该文件，然后登录网站

![45.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-5372d2df644ea1a88c94a8fcdbfa234ea0b2a1e4.png)

9、分析涉案网站的会员层级深度，写出最底层会员是多少层。\[答案格式：66\]\[服务器取证\]\[★★★★☆\]

**答案：10**

在数据库中member表中，先找出上下级关联字段inviter,invicode,然后通过脚本实现递归，算出层级表

![46.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-c21b56e157f18746146a75eed116903a1292b0c7.png)  
![47.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-9bc35167ac461a0dbd528bde117bbdcda0391481.png)  
![48.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-953537f127f1785b9928333b7ceadafbfe1123e3.png)  
![49.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-15d3d0e956ea9a959eac3feaa033cf7a1de2e1a4.png)

10、请写出存放网站会员等级变化制度的网站代码文件的SHA256值。\[答案格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92\]\[服务器取证\]\[★★★☆☆\]

**答案：18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78**

执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '会员等级'

![50.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-6612236f29429c203d83c7afb6ef1003991d16a7.png)

使用SA加载然后计算该文件哈希

11、计算向网站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。\[答案格式：666.66\] \[服务器取证\]\[★★★★☆\]

**答案：25178.59**

开启general\_log，去充值界面捕获sql语句，得知其充值表为memberrecharge，且当status=1时，为已处理。

执行sq语句 SELECT userid,sum(amount) FROM `memberrecharge` where type = '用户充值' and `status` = 1 group by userid order by sum(amount) desc limit 5

![51.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-69f32030b72c1da85b4e1c6e715a219b90697eff.png)

得到充值前五用户id

执行sql语句 select sum(moneylog\_money) from moneylog where moneylog\_type like '%下线%' and moneylog\_userid in (7,2,12,11,168)

![52.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-d335632efe62f48e1cedc88c9ca5a50575069a71.png)

12、统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。\[答案格式：6\]\[服务器取证\]\[★★★☆☆\]

**答案：2**

![53.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-2f1c1c9d55780f825793c7bfd5b32bd6f855625f.png)

13、统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。\[答案格式：6666.66\]\[服务器取证\]\[★★★★☆\]

**答案：9805957.00**

用户成功总充值金额（不包括平台赠送）-用户成功总提现金额

执行sql语句 select b.a-d.c from (SELECT sum(amount) a FROM `memberrecharge` where type = '用户充值' and `status` = 1 and updated\_at &lt; '2021-07-01 23:59:59' ) b,(SELECT sum(amount) c FROM memberwithdrawal where `status` = 1 and updated\_at &lt; '2021-07-01 23:59:59') d

![54.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-f7fcd752799b88b5369139b2a272eead9472c5db.png)

14、统计涉案网站哪一天登录的会员人数最多。\[答案格式：1999-09-09\]\[服务器取证\]\[★★★★★\]

**答案：2021-07-14**

执行sql语句 SELECT COUNT(DISTINCT(userid)),date\_format(updated\_at,'%Y-%m-%d') FROM `memberlogs` GROUP BY date\_format(updated\_at,'%Y-%m-%d') ORDER BY COUNT(DISTINCT(userid)) DESC

![55.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-3b331b8c031ebfdcde3099daa393ad0e2aaf8728.png)

15：写出涉案网站中给客服发送“你好，怎么充值”的用户的fusername值。\[答案格式：lanmaobei666\]\[服务器取证\]\[★★★★★\]

**答案：hm688**

思路一：将备份的数据库恢复，查看layims表

执行cd /root/db-bak/v9\_licai\_com &amp;&amp; unzip db-v9\_licai\_com-20210714030001.sql.zip

执行 mysql -uroot -p138663b195816d72 &lt; -

![56.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/08/attach-5f695655a5c62ae4822d49fd03fb48cbb4ebe1f7.png)

思路二，将备份的数据库导出，直接进行关键词搜索

本文转载自公众号**盘古石取证**

发表于 2022-08-11 14:41:58
阅读 ( 7214 )
分类：其他

第六届“蓝帽杯”半决赛取证题目官方解析

0 条评论