写在前言
1、资金初探
下载询问笔录并根据其内容,分析收取受害人资金的一级卡转账记录,统计其下级卡中接收受害人资金最多的账户。
通过下载【案情报告】,在报告中锁定关键词【南河商业银行】,结合【知更-模拟调证平台】下载流水信息。
去掉20万银行卡号的信息,然后排序【对方账号卡号】,计算金额最多的账号即本题答案。
2、运气爆棚
银行卡 6226816246156978927 中找到了线索。用重明查一下看看,也许有意想不到的收获,请以搜索结果中的涉案群组 ID 作为答案
通过访问【无糖浏览器-重明情报平台】,查询银行卡号【6226816246156978927】,挖掘相关信息的电报群 ID 值。
3、黑词大闯关
请启动下方的网站,帮助林风通过入群验证,以入群后的 FLAG 作为答案
这题主要考验的是网络犯罪的常识性答题。
4、转移阵地
分析这个二维码,以二维码包含的链接末尾路径作为答案
继续使用第三题中的靶场界面,利用二维码扫描工具,扫描靶场界面中的二维码信息,即可获取 FLAG 值。
5、躲猫猫
分析这个APP,锁定其API接口地址的获取地址,以获取地址的TOKEN作为答案
该题运用了 APK 逆向分析的知识。解题可以有两种方法,一是使用逆向工具(jadx)打开目标 APK,然后找到 API 接口地址。二是直接修改APK扩展名.zip,然后解压,找到 API 接口地点。APK中重要的信息一般会保存在AndroidManifest.xml中,在查找线索时,可以先看看该APK配置文件,当然,这个题目设置也不例外。
6、新的猫
继续分析 Telefram APP,帮助林风找到新的 API 请求地址,以地址的末尾路径作为答案
该题与第五题有直接联系,重点利用第五题答案进行遍历检索。
https://scene-nj1fhz2ri3gg7r77-oss- 3000.zhigeng08.toolmao.com/20240710.txt?token=KQSLMXLFDOPS
咱们活动比赛开始时间7月15日,直接将 20240710.txt 改成 20240715.txt。访问网站,获得BASE64 加密字符串,对该字符串进行 base64 解密,
BASE64 加密字符串:
NWZhaHR0cHM6Ly9zY2VuZS1yNTM0MnNtejAwM3lsOTRyLXRlbGVmcmFtYWRtaW4tMzAwMC56aGlnZW5nMDkudG9vbG1hby5jb20vP2ZsYWc9M0FKT0RGNzlORFZH=vbS876A
7、藏起来的钥匙
解包 Telefram APP,找找看有没有新的线索,比如 SDK。以 SDK 的 KEY 值作为答案)。
继续分析 APP,通过AndroidManifest.xml文件找到 SDK 值的答案【APPKEY】
8、拔萝卜
结合模拟调证,向星光推送的运营公司进行调证,以Telefram的开发者联系邮箱作为答案
通过题目给的【星光推送】为关键词,继续访问【模拟调证平台】,找到调证公司,输入第六题的SDK 信息【XGHVARBP10T257DW】,获得调证文件下载后获得答案
9、开门开门
分析新的 API 请求地址,找到 Telefram 的后台访问地址并获取登录权限,以登录成功后的 FLAG 作为答案
访问第10题解密得到的地址即为管理地址,使用调证信息的用户名和密码(手机号)登陆平台即可获得FLAG值。
10、人真不少
登录到 Telefram 管理后台后,分析聊天用户中最后登录 IP 为 67.98.23.12 的聊天用户数量
该题目有两种解题思路,一是简单粗暴方法,登陆进入后台【聊天用户管理】,一页一页查询统计最后结果 615 条。二是结合【聊天用户管理】中【导出】功能,查看后台有哪些功能可以【导出】数据,重点分析【导出】功能的实现过程,利用该【导出】功能,将聊天内容全部导出,(通过导出A的功能来导出B)根据【开发配置】中备份功能,结合【聊天用户管理】中【导出】功能,使用 burp 抓包拦截的方法替换路径下载 sql文件, 通过文件内容导入到 excel 后筛选统计即可。
11、数据拖拉机
帮林风找到办法获取聊天消息内容,以聊天消息中的FLAG作为答案
解码数据。将sql文件导入,其中有message表,查看message表,其中message字段是聊天内容。
将apk文件反编译,得到源码,搜索源码中encrypt函数,发现AesUtils.java文件中存在encrypt函数和decrypt函数,确定decrypt是解密函数
定位decrypt函数调用的地方,发现参数content就是数据表中的message字段内容,继续分析decrypt 函数,第三行getKey(context) 有个获取 key 的方法,发现此key函数就在此文件内,函数中写了获取字符串 com.nosugar.chatapp.key,猜测是key ,全局搜索 com.nosugar.chatapp.key ,找到了AndroidManifest.xml 文件中定义了,值为N5ELX992I2INT2QWWZ7LX6X70DPTTVJU
继续分析decrypt函数,发现此key被截成了两段,第一段是key的前16位,第二段是key的后16位 ,根据源代码 Cipher.getInstance(“AES/CBC/PKCS5PADDING”); 确定,是用了aes的解密方式,在线使用aes解码,将第一段 key作为密码,第二段key作为偏移量,message字段的第二条聊天内容作为密文,cbc模式,PKCS5PADDING填充 ,编码base64,解密成功 https://tool.lmeee.com/jiami/aes。
12、动物乐园
分析该群聊中的各个角色身份,锁定承担财务和洗钱职责的人员的用户名。
该题目解题思路,对聊天内容逐一解密,查看聊天内容,分析【承担财务和洗钱职责的名称】,聊天记录中【浣熊】对应的用户为 81OVIYMI。
13、黑蛇白了
通过下方的 Telefram 后台管理地址,再次获取内部群的聊天记录,根据最新的群内消息,判断黑蛇死亡地所在市和区的名称
该题目解题思路,查看聊天内容,找到【image://uploads/7azgKgaQfto55VWnaR.png】图片路径,然后通过【导出】数据功能,使用 burp 拦截抓包下载图片,下载后的图片显示会有点问题,burp 抓包选 HEX 响应包,然后从 89 50 一直拉到结尾保存为 png 就可以了。
然后通过搜索引擎中的图片功能,进行以图搜图,找到地址为【武汉市江夏区】。
14、秘上加谜
通过下方的文件下载地址,分析查找镜像内容中的可能线索。
该题目解题思路,先下载镜像文件,第一个线索是解压镜像文件,然后找到 D 盘下的 KEY 文件里面的值就是 FLAG值。
二个线索是找到C盘目录下的 log 文件,里面的 password 值即为 FLAG 值。
三题是在 Desktop 目录下找到图片,该图片中考察的是隐写,需要使用 linux 下的 binwalk 工具进行隐写分离神器,binwalk – e 2024-07-19,解出来的文件即为 flag 值。
点击下载
原文始发于微信公众号(无糖反网络犯罪研究中心):复盘第二期 | 解题思路详细分享,命题建议暗藏下期考点 – 赵剑
