2024FIC第四届全国网络空间取证竞赛线上初赛全解参考wp

检材链接：https://pan.baidu.com/share/init?surl=pJDwwNy14o-kAstHkndWPg&pwd=1234容器密码：2024Fic@杭州Powered~by~HL!

案情简介

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。 

接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。

02

—

手机部分

1、嫌疑人李某的手机型号是？

A. Xiaomi MI 2s

B. Xiaomi MI 4

C. Xiaomi MI 6

D. Xiaomi MI 8

B

火眼直接识别的型号是Xiaomi MI3W

在useragent.txt中可以看到为MI 4LTE

2、嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

A. iPad Pro 11

B. Vivo Pad 2

C. MatePad Pro

D. Xiaomi Pad 6s

D

在最近连接的WiFi记录中

3、嫌疑人李某手机开启热点设置的密码是?【答题格式：abc123】

5aada11bc1b5

4、嫌疑人李某的微信内部ID是？【答题格式：wxid_abc123】

wxid_wnigmud8aj6j12

检材是嫌疑人李某的手机，所以直接查看手机上的微信内部ID即可

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么【答题格式：http://www.baidu.com/adc】

http://www.honglian7001.com/down

和技术人员的聊天记录在李某的微信与赵老五的聊天记录中可以找到

可以看到加密方式是佛曰

使用QR Research扫码得到密文

使用在线工具解密：http://hi.pcmoe.net/buddha.html

6、受害者微信用户ID是？【答题格式：abc123】

limoon890

根据案情，结合微信聊天记录分析，受害人微信名称为limoon

用户ID为limoon890

7、嫌疑人李某第一次连接WIFI的时间是？

A. 03-14 15:55:57

B. 03-14 16:55:57

C. 03-14 17:55:57

D. 03-14 18:55:57

B

找到WifiConfigStore.xml，可以看到CreationTime

8、分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

A. 12:00-14:00

B. 14:00-16:00

C. 16:00-18:00

D. 18:00-20:00

C

分析微信聊天记录

9、请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？【答题格式：wxid_abc123】

wxid_06f01lnpavn722

分析聊天记录，还有一个介绍嫌疑人买球的用户为愚蠢的土拨鼠

其微信内部ID为wxid_06f01lnpavn722

10. 请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？【答题格式：192.168.1.1:1000/abc】

192.168.110.110:8000/login

嫌疑人老板就是上题找到的愚蠢的土拨鼠，在微信聊天记录中可以找到赌博网站的国内访问入口

服务器集群题

通过案情和检材分析可以知道赵某为搭建服务器的技术人员，所以可以先分析检材3赵某的计算机再来分析服务器部分

1、esxi服务器的esxi版本为？【关键字得分，答题格式：1.2】

6.7

火眼仿真可以识别出是VMware ESXi 6.7.0

2、请分析ESXi服务器，该系统的安装日期为：

A. 2024年3月12日 星期二 02:04:15 UTC

B. 2024年3月12日 星期二 02:05:15 UTC

C. 2024年3月12日 星期二 02:06:15 UTC

D. 2024年3月12日 星期二 02:07:15 UTC

A

配置好ESXI虚拟机的网卡后开机访问其IP，使用root+空密码登录进去，即可看到安装日期

3、请分析ESXi服务器数据存储“datastore”的UUID是？【答题格式：a1a1-b1b1-c1c1-d1d1】

65efb8a8-ddd817f6-04ff-000c297bd0e6

在ESXI管理面板查看存储里面发现没有数据存储

但是有一块200G的磁盘

该主机是默认开启了SSH的

使用root+空密码登录上去

参考https://www.cnblogs.com/dwj192/p/17021112.html

查看硬盘对应UUID

esxcfg-volume -l

esxcfg-volume -l 查看硬盘对应UUID

esxcfg-volume -m <UUID> 挂载

此时再到管理面板中就可以看到挂载成功的datastore1

4、ESXI服务器的原IP地址？【答题格式：255.255.255.0】

192.168.8.112

仿真ESXI服务器开机界面可以看到静态IP为192.168.8.112

5、EXSI服务器中共创建了几个虚拟机？【答题格式：1】

4

6、网站服务器绑定的IP地址为？【答题格式：255.255.255.0】

192.168.8.89

打开所有虚拟机，访问ip发现网站服务器为www，访问到了ruoyi的管理后台登录页面

7、网站服务器的登录密码为？【答题格式：abc123】

qqqqqq

使用hydra对www虚拟机的ssh密码进行爆破，得到密码为qqqqqq

8、网站服务器所使用的管理面板登陆入口地址对应的端口号为：【答案格式：1111】

14131

ssh登录到www虚拟机，输入bt可以看到有宝塔面板，查看面板默认信息可以看到面板登录入口的端口号

9、网站服务器的web目录是？【答题格式：/etc】

/webapp

修改一下宝塔面板的密码

登录宝塔面板

面板设置中找到默认建站目录

网站为ruoyiCMS，Java项目，但是宝塔面板并没有找到网站

在/webapp目录下找到了网站源码

查看nginx配置文件

web目录应该是/webapp

10、网站配置中Redis的连接超时时间为多少秒【答题格式：20】

0

11、网站普通用户密码中使用的盐值为【答题格式：123abc!@#】

!@#qaaxcfvghhjllj788+)_)((

下载ruoyi-admin.jar，用jadx打开，来到com.ruoyi.app.controller.UserInfoController

可以看到添加用户的时候在setPassword()方法中调用了EncryptionUtils.encryPassWord()，跳转到声明处

可以看到传入的参数是psw和salt，所以!@#qaaxcfvghhjllj788+)_)((就是要找的盐值

12、网站管理员用户密码的加密算法名称是什么

A. des

B. rsa

C. md5

D. bcrypt

D

ruoyi的管理员密码生成类在com.ruoyi.common.utils.SecurityUtils

可以看到在encryptPassword()中调用了BCryptPasswordEncoder类来加密密码

13、网站超级管理员用户账号创建的时间是？

A. 2022-05-09 12:44:41

B. 2022-05-09 13:44:41

C. 2022-05-09 14:44:41

D. 2022-05-09 15:44:41

C

运行start.sh即可启动网站，网站默认是已经启动了的，但是访问会出现系统接口502异常

导出ruoyi-admin.jar，使用jadx打开，查看配置文件可以看到使用的数据库为本地的ji-mei

但是用配置文件中的密码登录会报错

在宝塔面板中可以看到数据库的位置在192.168.8.142

在data虚拟机上

使用hydra爆破data虚拟机的密码，为hl@7001

ssh远程登录上去，可以看到本地的3306端口未开放

本地没有MySQL

可以看到本地有docker服务，启动起来

启动mysql容器

可以看到是运行在本地的3306端口的，ji-mei用户密码为宝塔面板中看到的密码

Navicat测试一下可以连上

网站超级管理员用户账号创建的时间在ji-mei数据库中的sys_user表中

14、重构进入网站之后，用户管理下的用户列表页面默认有多少页数据【答题格式：20】

877

在www虚拟机中提取出ruoyi-admin.jar的配置文件

jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

使用vim命令修改

vim BOOT-INF/classes/application-druid.yml

将数据库地址修改为data虚拟机的ip，密码修改成宝塔面板中的密码

更新配置文件到jar包内

jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

修改时间变了就说明修改成功

运行restart.sh重新启动网站发现还是系统接口502异常

根据计算机中的VC容器中的运维笔记修改一下项目

redis的修改和修改application-druid.yml的方法一样，修改application.yml即可

定时任务插件执行时间问题在sys_job表中

将下面的在2023年和2024 年的每个1月1日执行任务替换成上面的在每小时的每隔两分钟触发一次，直到任务被停止或调度器关闭为止

java -jar ruoyi-admin.jar

尝试启动后端

或者执行

sh start.sh start

现在就能正常访问后台了

使用https://www.bejson.com/encrypt/bcrpyt_encode/生成一个密码

替换到数据库中的sys_user表中

使用admin/123456就可以登录到后台了，来到用户管理-用户列表，可以看到总共有877页

15、该网站的系统接口文档版本号为【答题格式：1.1.1】

3.8.2

16、该网站获取订单列表的接口【答题格式：/abc/abc】

/api/shopOrder

17、受害人卢某的用户ID【答题格式：11223344】

10044888

根据李某的手机微信聊天记录可知受害人卢某在网站中的账号为lu123456

在用户管理中搜索lu123456

18、受害人卢某一共充值了多少钱【答题格式：123456】

465222

在支付管理-充值订单中搜索卢某的用户id，一共465222元

19、网站设置的单次抽奖价格为多少元【答题格式：20】

10

20、网站显示的总余额数是【答题格式：20.12】

7354468.56

在用户管理-用户列表-资金统计可以看到

21、网站数据库的root密码【答题格式：abc123】

my-secret-pw

docker inspect 9b | grep MYSQL_ROOT_PASSWORD

查看容器的元数据

使用Navicat测试连接成功

22、数据库服务器的操作系统版本是【答题格式：1.2.1234】

7.9.2009

23、数据库服务器的Docker Server版本是【答题格式：1.10.0】

1.13.1

24、数据库服务器中数据库容器的完整ID是【答题格式：123abcd】

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

25、数据库服务器中数据库容器使用的镜像ID【答题格式：123abcd】

66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a

26、数据库服务器中数据库容器创建的北京时间

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:23

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

B

根据自己启动docker容器的时间对比一下发现默认的时间是UTC，需要+8才是正确答案

27、数据库服务器中数据库容器的ip是【答题格式：255.255.255.0】

172.17.0.2

28、分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是【答题格式：255.255.255.0】

182.33.2.250

邀请进群相关数据在app_group_member表

筛选一下邀请人数最多的inviter_id

再到app_user_info表找到对应用户的登录IP

29、分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是【答题格式：255.255.255.0】

43.139.0.193

抢红包记录在app_user_record表中

筛选一下抢得最多红包金额的用户ID

再到app_user_info表找到对应用户的登录IP

30、数据库中记录的提现成功的金额总记是多少（不考虑手续费）【答题格式：20.12】

35821148.48

提现记录在app_user_withdraw表中

在status列的注释可以看到，3代表成功，统计提现成功的总金额

31、rocketchat服务器中，有几个真实用户？【答题格式：1】

3

ESXi面板中打开rocketchat虚拟机，可以看到IP为192.168.8.16

根据赵某的计算机Chrome浏览器记录，聊天系统应该是在3000端口上

访问192.168.8.16:3000

使用之前在BitLocker加密分区中找到的账号密码登录

来到管理-Workspace

查看用户，一个bot，三个真实用户

32、rocketchat服务器中，聊天服务的端口号是？【答题格式：80】

3000

如上题分析

33、rocketchat服务器中，聊天服务的管理员的邮箱是？【答题格式：[email protected]】

[email protected]

34、rocketchat服务器中，聊天服务使用的数据库的版本号是？【答题格式：1.2.34】

5.0.24

35、rocketchat服务器中，最大的文件上传大小是？（以字节为单位）【答题格式：1024】

104857600

在设置里面找到文件上传

打开查看

36、rocketchat服务器中，管理员账号的创建时间为？

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

B

rocketchat服务器密码爆破不出来

参考https://cn.linux-console.net/?p=1538重置root密码

ssh登录会出现All configured authentication methods failed

vim /etc/ssh/sshd_config

去掉PermitRootLogin前的注释并修改后面的值为yes

保存后重启ssh服务即可

查看网络连接信息发现3000端口是docker占用的

查看docker容器列表发现mongodb也是运行在一个docker容器中

查看容器元数据发现可以空密码登录，端口在27017

但是Navicat连接不上，本地并没有开放这个端口

查看容器元数据可以得到容器的ip为172.18.0.2

Navicat走ssh通道登录mongodb

测试连接成功

查看rocketchat数据库中的users集合中的内容即可得到管理员账号的创建时间

37、rocketchat服务器中，技术员提供的涉诈网站地址是？【答题格式：http://192.168.1.1】

http://172.16.80.47

有关杀猪盘的聊天记录可以在李某与老苏的微信聊天记录中找到

查看rocketchat_message集合可以看到聊天记录

38、综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少【答题格式：10%】

35%

39、综合分析服务器，该团队“杀猪盘”收网的可能时间段为

A. 2024/3/15 15:00:00-16:00:00

B. 2024/3/15 16:00:00-17:00:00

C. 2024/3/15 17:00:00-18:00:00

D. 2024/3/15 18:00:00-19:00:00

B

这里的时间应该是UTC，需要+8才能得到正确答案

时区可以通过登录聊天网站的时间判断

40. 请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？【答题格式：[email protected]】

lao@su.com

未抓获的嫌疑人为老苏

41. 分析openwrt镜像，该系统的主机名为【答题格式：MyPC】

iStoreOS

打开openwrt虚拟机

查看/etc/os-release

42. 分析openwrt镜像，该系统的内核版本为【答题格式：12.34.56】

5.10.201

43. 分析openwrt镜像，该静态ip地址为【答题格式：192.168.1.1】

192.168.8.5

结合赵某计算机的Chrome浏览器历史记录确定

44. 分析openwrt镜像，所用网卡的名称为【答题格式：abc123】

br-lan

如上题

45. 分析openwrt镜像，该系统中装的docker的版本号为【答题格式：12.34.56】

20.10.22

在赵某计算机Chrome中保存了openwrt的账号密码

登录web端

查看docker-概览

46. 分析openwrt镜像，nastools的配置文件路径为【答题格式：/abc/abc/abc】

/root/Configs/NasTools

47. 分析openwrt镜像，使用的vpn代理软件为【答题格式（忽略大小写）：abc123】

PassWall2

48. 分析openwrt镜像，vpn实际有多少个可用节点【答题格式：6】

54

49、分析openwrt镜像，节点socks的监听端口是多少【答题格式：1234】

1070

50、分析openwrt镜像，vpn的订阅链接是【答题格式：http://www.baidu.com/aaa/bbb/ccc/ddd?privatekey=abc123456789】

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

Windows镜像

1、分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？忽略大小写

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

可以使用火眼计算

也可以用X-ways直接看

2、分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？忽略大小写

B25E2804B586394778C800D410ED7BCDC05A19C8

火眼的耗时任务中的特征分析可以识别VC加密容器

可以看到加密容器为Documents目录下的2024.fic

计算其SHA1哈希值

3、据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值？忽略大小写

E6EB3D28C53E903A71880961ABB553EF09089007

同样是在Documents目录下，有个commonPwd.txt

计算其哈希值

4、据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是？

qwerasdfzxcv

还是在这个Documents目录下，有一张图片pswd.jpg

图片中的密码不正确，查看16进制数据，在尾部找到正确的密码

5、分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么【答题格式：111111-222222-333333-444444-555555-666666-777777-888888】

404052-011088-453090-291500-377751-349536-330429-257235

仿真检材3，挂载容器，BitLocker恢复密钥在容器中

其中的运维笔记.docx中也印证了第4题的答案

6、分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是【答题格式：1024】

146794496

加密的分区是分区11

在分区详情里面可以看到起始扇区

7、分析技术员赵某的windows镜像，默认的浏览器是

A. Chrome

B. Edge

C. IE

D. firefox

A

8、分析技术员赵某的windows镜像，私有聊天服务器的密码为【答题格式：abc123】

Zhao

解开E盘的BitLocker之后，可以看到一个私有聊天密码.txt

9、分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？【答题格式：www.baidu.com】

www.585975.com

10、分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

A. stable diffusion

B. ROOP

C. Midjourney

D. DiffusionDraw

B

在PowerShell历史记录中可以看到运行过一个run.py脚本

索引搜索这个run.py脚本

对应到计算机D盘中的D:roop1.3.2d

11、分析技术员赵某的windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为【答题格式：1.txt】

db.jpg

查看readme.md

–source为指定源文件，就是需要的脸的图片；–target为指定目标文件，就是需要换脸的文件；–output为指定结果，就是换脸后的图片

根据PowerShell的记录可知生成的图片为db.jpg

12、分析技术员赵某的windows镜像，ai换脸生成图片的参数中–similar-face-distance值为【答题格式：20.12】

0.85

13、分析技术员赵某的windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式：abc.txt】

dst01.jpeg

见11题分析

14、分析技术员赵某的windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？【答题格式：http://www.baidu.com/1.html】

http://hi.pcmoe.net/buddha.html

在Chrome浏览器历史记录里面可以找到新约佛论禅/佛曰加密 – PcMoe!

15、分析技术员赵某的windows镜像，赵某架设聊天服务器的原始IP地址为？【答题格式：192.168.1.1】

192.168.8.17

分析Chrome浏览器历史记录，可以看到在192.168.8.17有用户登录的操作

在仿真的虚拟机中查看历史记录可以看到这个网站的ico很像一些聊天室网站

在李某的手机检材中与赵某的微信聊天记录中也可以找到

16、分析技术员赵某的windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

A. 2024-03-14 20:30:08

B. 2024-03-14 20:31:08

C. 2024-03-14 20:32:08

D. 2024-03-14 20:33:08

C

为访问http://192.168.8.17:3000/的时间

按道理来说应该是先访问登录页面登录后再访问聊天室，没有对的上的答案

17、分析技术员赵某的windows镜像，openwrt的后台管理密码是

hl@7001

openwrt的地址为http://192.168.8.5/

在浏览器保存了账号密码

18、分析技术员赵某的windows镜像，嫌疑人可能使用什么云来进行文件存储？【答题格式：阿里云】

易有云

19、分析技术员赵某的windows镜像，工资表密码是多少【答题格式：abc123】

aa123456

工资表为BitLocker加密分区中的名单.xlsx

拿出来用前面的commonPwd.txt暴力破解

20、分析技术员赵某的windows镜像，张伟的工资是多少【答题格式：20】

28300

使用密码aa123456打开名单.xlsx

写在最后

已经好久没有复盘比赛到深夜了，上一次还是去年的盘古石杯初赛，460支队伍能打进前20也已知足，马上就要退役咯

点点关注不迷路

原文始发于微信公众号（XiAnG学安全）：2024FIC第四届全国网络空间取证竞赛线上初赛全解参考wp