问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
第六届“蓝帽杯”半决赛取证题目官方解析
0x00 手机取证 1. iPhone手机的iBoot固件版本号:[iBoot-1.1.1][手机取证][★☆☆☆☆] iBoot-7429.62.1 2. 该手机制作完备份UTC+8的时间(非提取时间):[答案格式:2000-01-01 00:00:00][手机取证][★★★...
0x00 手机取证 ========= 1\. iPhone手机的iBoot固件版本号:\[iBoot-1.1.1\]\[手机取证\]\[★☆☆☆☆\] **iBoot-7429.62.1**  2\. 该手机制作完备份UTC+8的时间(非提取时间):\[答案格式:2000-01-01 00:00:00\]\[手机取证\]\[★★★★☆\] **2022-01-11 18:47:38**  0x01 exe分析 ========== 1\. 文件services.exe创建可执行文件的路径是:\[答案格式:C:\\Windows\\a.exe\]\[exe分析\]\[★☆☆☆☆\] **C:\\Program Files\\Common Files\\Services\\WmiApSvr.exe**  2\. 文件HackTool.FlyStudio.acz\_unpack.exe是否调用了advapi32.dll动态函式链接库:\[答案格式:是/否\]\[exe分析\]\[★★☆☆☆\] **是**  3\. 文件aspnet\_wp.exe执行后的启动的进程是什么:\[答案格式:qax.exe\]\[exe分析\]\[★★★☆☆\] **svchost.exe**  4\. 文件\[4085034a23cccebefd374e4a77aea4f1\]是什么类型的木马:\[答案格式:勒索\]\[exe分析\]\[★★☆☆☆\] **挖矿**  5\. 文件\[4085034a23cccebefd374e4a77aea4f1\]网络连接的IP地址的归属地是哪个国家:\[答案格式:美国\]\[exe分析\]\[★★★★☆\] **韩国**  0x02 APK分析 ========== 1\. 受害人手机中exec的和序列号是:\[答案格式:0xadc\]\[APK分析\]\[★☆☆☆☆\] **0x936eacbe07f201df**  2\. 受害人手机中exec关联服务器地址是:\[答案格式:asd.as.d\]\[网络流\]\[★★☆☆☆\] **ansjk.ecxeio.xyz**  3\. 受害人手机中exec加载服务器的函数是:\[答案格式:asda\]\[APK分析\]\[★★★☆☆\] **loadUrl**  4.受害人手机中exec的打包ID是:\[答案格式: adb.adb.cn\]\[APK分析\]\[★★★☆☆\] **\_\_W2A\_\_nansjy.com.cn**  5.受害人手机中exec的是否有安全检测行为:\[答案格式:是/否\]\[APK分析\]\[★★★☆☆\] **是**  6.受害人手机中exec的检测方法的完整路径和方法名是:\[答案格式:a.a.a()\]\[APK分析\]\[★★★☆☆\] **d.a.a.c.a.a()**  7.受害人手机中exec有几个界面:\[答案格式:2\]\[\]\[★★★☆☆\] **3**  8.受害人手机中红星IPA的包名是:\[答案格式:a.s.d\]\[IPA分析\]\[★★☆☆☆\] **com.dd666.hongxin**  9.受害人手机中红星IPA的APIKEY是:\[答案格式:asd\]\[IPA分析\]\[★★☆☆☆\] **d395159c291c627c9d4ff9139bf8f0a700b98732**  10.受害人手机中红星IPA的权限有:\[答案格式:as d a\]\[IPA分析\]\[★★☆☆☆\] **相册 定位 摄像头 麦克风**  11.嫌疑人手机中红星APK的服务器地址是:\[答案格式:ass.a.d:11\]\[网络流\]\[★☆☆☆☆\] **www.nansjy.com.cn:8161**  12.嫌疑人手机中红星APK的程序入口是:\[答案格式:a.v.b.n\]\[APK分析\]\[★☆☆☆☆\] **com.example.weisitas526sad.activity.SplashActivity**  13.嫌疑人手机中分析聊天工具,服务器的登录端口是:\[答案格式:12\]\[APK分析\]\[★★☆☆☆\] **6661**  14.嫌疑人手机中分析聊天工具,用户归属的机构是:\[答案格式:太阳\]\[APK分析\]\[★☆☆☆☆\] **红星**  15.结合手机流量分析聊天工具的登录账号和密码是:\[答案格式:1212311/12312asd\]\[APK分析\]\[网络流\]\[★★★★☆\] **17317289056/b12345678b**  0x03 服务器取证 ========== 1、服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容,不算脚本注释部分。\[答案格式:/abcd/tmp www.windows.com\]\[服务器取证\]\[★★★★☆\] **答案:/usr/sbin/ntpdate time.nist.gov** 执行命令 vi etc/rc.local 找到该脚本  查看该脚本,发现有一关键词“$gztmpdir”出现多次  确认该脚本是经过压缩的,执行命令 gzexe -d time.sh对脚本进行解密  2、服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。\[答案格式:2022年第六届蓝帽杯\]\[服务器取证\]\[★★★★☆\] **答案:#台北下着雪你说那是保丽龙** 执行命令 crontab -l查看计划任务  发现脚本后缀为sh.x,这个一般为shc加密,使用unshc.sh脚本进行解密  界面完成后执行命令 vi backup.sh查看脚本内容  3、使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。\[答案格式:e10adc3949ba59abbe56e057f20f883e\]\[服务器取证\]\[★★★☆☆\] **答案:25b9447a147ad15aafaef5d6d3bc4138** 宝塔面板的密码加密方式存放在文件“/www/server/panel/class/users.py”下  使用该加密方式对字符串lanmaobei加密    4、写出服务器中第一次登录宝塔面板的时间。\[答案格式:2022-02-02 02:02:02\]\[服务器取证\]\[★★☆☆☆\] **答案:2021-05-17 16:10:40** 先登录到宝塔面板中 执行命令 bt 11 && bt 12 && bt 13 && bt 23 关闭一些登录限制  这个文件没有权限删除,执行命令 lsattr /www/server/panel/config/basic\_auth.json  这个i是代表不可修改权限,执行命令 chattr -i /www/server/panel/config/basic\_auth.json && rm -rf /www/server/panel/config/basic\_auth.json 和bt 23就可以关闭限制了  然后修改宝塔面板密码进行登录,查看宝塔面板日志,发现被清空  于是执行命令 cd /www/server/panel/logs/request/ 该目录里保存了所有访问宝塔面板的get或者post请求记录 执行命令gunzip -d 2021-05-17.json.gz 然后执行 vi 2021-05-17.json 成功登录宝塔面板的post和ger请求是连续的,且后接内容分别为“/login?”和“/?”  5、写出宝塔面板的软件商店中已安装软件的个数\[答案格式:2\]\[服务器取证\]\[★★☆☆☆\] **答案:6**  6、写出涉案网站(维斯塔斯)的运行目录路径。\[答案格式:/root/etc/sssh/html\]\[服务器取证\]\[★★☆☆☆\] **答案:/www/wwwroot/v9.licai.com/public**  7、写出最早访问涉案网站后台的IP地址。\[答案格式:111.111.111.111\]\[服务器取证\]\[★★☆☆☆\] **答案:183.160.76.194** 先在配置文档里找到网站日志文件  在日志文件里找到后台地址及最早访问的IP地址  8、写出涉案网站(维斯塔斯)的“系统版本”号。\[答案格式:6.6.6666\]\[服务器取证\]\[★★★☆☆\] **答案:1.0.190311** 查看管理员表,使用admin登录   执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '密码不正确'  vi /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php  修改该文件,然后登录网站  9、分析涉案网站的会员层级深度,写出最底层会员是多少层。\[答案格式:66\]\[服务器取证\]\[★★★★☆\] **答案:10** 在数据库中member表中,先找出上下级关联字段inviter,invicode,然后通过脚本实现递归,算出层级表     10、请写出存放网站会员等级变化制度的网站代码文件的SHA256值。\[答案格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92\]\[服务器取证\]\[★★★☆☆\] **答案:18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78** 执行命令 find /www/wwwroot/v9.licai.com/ -name \*.php\* |xargs grep '会员等级'  使用SA加载然后计算该文件哈希 11、计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。\[答案格式:666.66\] \[服务器取证\]\[★★★★☆\] **答案:25178.59** 开启general\_log,去充值界面捕获sql语句,得知其充值表为memberrecharge,且当status=1时,为已处理。 执行sq语句 SELECT userid,sum(amount) FROM `memberrecharge` where type = '用户充值' and `status` = 1 group by userid order by sum(amount) desc limit 5  得到充值前五用户id 执行sql语句 select sum(moneylog\_money) from moneylog where moneylog\_type like '%下线%' and moneylog\_userid in (7,2,12,11,168)  12、统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。\[答案格式:6\]\[服务器取证\]\[★★★☆☆\] **答案:2**  13、统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。\[答案格式:6666.66\]\[服务器取证\]\[★★★★☆\] **答案:9805957.00** 用户成功总充值金额(不包括平台赠送)-用户成功总提现金额 执行sql语句 select b.a-d.c from (SELECT sum(amount) a FROM `memberrecharge` where type = '用户充值' and `status` = 1 and updated\_at < '2021-07-01 23:59:59' ) b,(SELECT sum(amount) c FROM memberwithdrawal where `status` = 1 and updated\_at < '2021-07-01 23:59:59') d  14、统计涉案网站哪一天登录的会员人数最多。\[答案格式:1999-09-09\]\[服务器取证\]\[★★★★★\] **答案:2021-07-14** 执行sql语句 SELECT COUNT(DISTINCT(userid)),date\_format(updated\_at,'%Y-%m-%d') FROM `memberlogs` GROUP BY date\_format(updated\_at,'%Y-%m-%d') ORDER BY COUNT(DISTINCT(userid)) DESC  15:写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。\[答案格式:lanmaobei666\]\[服务器取证\]\[★★★★★\] **答案:hm688** 思路一:将备份的数据库恢复,查看layims表 执行cd /root/db-bak/v9\_licai\_com && unzip db-v9\_licai\_com-20210714030001.sql.zip 执行 mysql -uroot -p138663b195816d72 < -  思路二,将备份的数据库导出,直接进行关键词搜索 本文转载自公众号**盘古石取证**
发表于 2022-08-11 14:41:58
阅读 ( 7001 )
分类:
其他
0 推荐
收藏
0 条评论
请先
登录
后评论
奇安信攻防社区
奇安信攻防社区官方账号
30 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!