2024第二届“龙信杯”电子数据取证竞赛部分wp[手机、服务器全解]

注：wp仅为个人思路，如有错误欢迎各位大佬指正，实际答案以官方wp为准

1.分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

这里当初以为的是3，policies表存储了与Magisk Hide功能相关的策略信息，保存了对哪些应用隐藏 root 权限的设置，并非连接过的设备

在misc下adb_temp_keys.xml中找到两条adbkey记录

adbkey通常存储的是ADB公钥（public key）或指纹信息，用于标识曾经与设备通过ADB进行过身份验证的主机

2.分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]  

3.分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

4.分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

分析得到压缩包加密软件为filecompress    

火眼特征分析

5.分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

找到密码1!8Da9Re5it2b3a.    

用该密码将上述压缩包解密得到另一个手机号

6.分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。[标准格式：abc123]

同上题

7.分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

用网钜进行层级分析，发现总部下第二层级中有一单列出来的，回溯到表格中查一下

相同手机号在其他地方为“陆俊梅”，所以这里认为原始正确姓名是“陆俊梅”

8.分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

 对陆俊梅单独进行层级分析

9.分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

加上总部12层

10.分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100] 

总部邀请的人有11人，这里应该是看直接下游人数（直接邀请人数）最多的，是贾书英59人

11.分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

这里用龙信的软件分析

12.分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

除去微博是2

13.分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

14.分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录 ？[标准格式：2]

15.分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

微信聊天记录里的apk，用雷电分析试一下    

16.接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

雷电分析出一个邮箱，到源码看看

发现加密方式目录，顺着找下去

key是E10ADC3949BA59ABBE56E057F20F883E，iv是其前16位，即E10ADC3949BA59AB

这里需要的是作者预留的座机号

17.接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：[email protected]]

18.接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：[email protected]]

由上题得发送邮件的目录在b.b.a.g.a下，其中smtp常用来发送邮件

19.接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

20.接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

无论是否发生异常，都返回true    

1.分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]

根据加密脚本写出解密脚本    

2.分析计算机检材，身份证为”371963195112051505″这个人的手机号码是多少？[标准格式：13013524420]

3.分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]

这里觉得是去重之前，计算表中有多少个身份证号码是重复的，脚本跑出是0

4.分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]

5.分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]

6.分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]

7.分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]https://paste.ee/d/4eIzU

8.分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]

密码管理器内发现一个密码， 测试一下是对的

9.分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]    

里用pestudio查看wcry.exe，里面有一个PKZIP压缩包

换到resource hacker中导出该压缩包，将XIA保存为bin文件，将后缀改为zip

certutil计算md5

10.分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？[标准格式：http://xxx.xxx/xxx/xxx.zip]

11.分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式：全小写]

12.分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式：2]

13.分析计算机检材，接上题，请问@[email protected]文件是通过什么函数创建的。[标准格式：Aabcdef]

14.分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式：sub_xxx]

15.分析计算机检材，VeraCrypt加密容器的密码是什么？[标准格式：abc]

发现该文件可以直接解压

txt文档中存有容器密码，解压之后得到苹果的备份包   

16.分析计算机检材，其中存在一个苹果手机备份包，手机备份包的密码是什么？[标准格式：12345]

浏览器历史记录有提示，备份包密码位5位数字

用passware kit爆破，这个时间用的很久    

17.分析计算机检材，接上题，机主实际篡改多少条微信数据？[标准格式：1]

解析后，对比消息碎片和好友消息内容，共发现3条篡改数据

18.分析计算机检材，接上题，机主共存款了多少金额？[标准格式：10万]

执行火眼耗时任务分析-其他应用，发现三个应用，其中ownbook中无数据

在/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1438793628033019010下找到其数据库im5db，导出用DB Browser打开。message表下得到存款金额98万。

19.分析计算机检材，在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]

记录中发现backup.npbk文件    

20.分析计算机检材，接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]   

1.分析服务器检材，服务器会做登录密码验证，该登录验证文件位置在？[标准格式：/xxx/xxx/xxx.xxx]

这里是先用仿真软件仿真发现数据被删了，结合题目所说的登录密码验证，按e进入单用户模式

ctrl+x    

注：/etc/profile.d文件夹下的脚本文件会在用户登陆时被执行，所以怀疑登陆验证文件在其下，进去看看

怀疑是check-system.sh，从火眼里找到该文件查看，印证是

这里直接删掉该脚本

执行rm -rf check-system.sh    

这样就可以重置密码了

passwd root，这里我修改的密码是123456，修改完成后重启用改过的密码登陆

2.分析服务器检材，服务器ssh端口是多少？[标准格式：1234]

方法一：在/etc/ssh下查看sshd_config，找到ssh端口

方法二：netstat -anpt，sshd对应的端口号

ifconfig，用finalshell连接    

3.分析服务器检材，服务器docker内有多少个镜像。[标准格式：100]

docker images，这里要注意是镜像数量

或者从火眼直接得到

4.分析服务器检材，服务器内sqlserver默认账号的密码是？[标准格式：xxx]

docker exec -it 392 env发现该容器未启动 执行docker start 392

5.分析服务器检材，服务器内sqlserver存放了阿里云存储下载地址，该下载地址是？[标准格式：https://xxx]

docker inspect 392，其ipaddress为172.17.0.2

用navicat连接

6.分析服务器检材，服务器内sqlserver内“cmf_user_action_log”表，表内存在的用户操作日志，一共操作次数是多少？[标准格式：100]

7.分析服务器检材，该服务器正在使用的数据库的持久化目录是什么？[标准格式：/xxx/xxx]

端口80

找到nginx配置文件conf.d查看到服务器名称为bl.dsnbbaj686.fit

按照路径，在/opt/bl.dsnbbaj686.fit/www/app下找到database.php查看到该数据库的用户名、密码和端口，对应的数据库类型为mongo，持久文件在/data/mongo

8.分析服务器检材，该网站后台正在使用的数据库有多少个集合？[标准格式：100]

使用上题得到的用户名、密码连接数据库，直接看到有13个集合    

这里直接使用主机ip连接mongo，或者ssh隧道通过主机ip、mongo ipaddress都可以连通

重构网站

在/opt/bl.dsnbbaj686.fit/www/runtime/log/202406下找到日志，发现原来的数据库为mysql，这里将数据库还原到mysql里

从这里也发现了网站管理后台的网址/admin/common/login.shtml

mysql密码为root123456，用户名为root，navicat连接

使用navicat导出向导和导入向导，将mongo表导入mysql中

将/opt/bl.dsnbbaj686.fit/www/app下database.php中的配置更改为mysql的

尝试了一下访问bl.dsnbbaj686.fit/appmanager/index/index.shtml进不去，再修改一下config.php，应用调试模式改为true

到数据库里更改一下管理员密码，mradmin进入

9.分析服务器检材，该网站的后台登录地址是？[标准格式：/xxx/xxx.xxx 全小写，不加域名]

在app_urlconfig表中找到

10.分析服务器检材，该网站后台使用的管理员加密算法是？[标准格式：全大写]

在/opt/bl.dsnbbaj686.fit/www/app/appmanager下common.php中找到加密算法为bcrypt

也可以直接从加密后的形式推测

11.分析服务器检材，该网站最早使用超级管理员进行删除管理员操作的IP地址是？[标准格式：x.x.x.x]

在app_admin_menu中，找到删除管理员操作对应的id为26

在app_admin_log中以id=26为条件进行筛选

12.分析服务器检材，该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件，该文件内的账单交易订单号是多少？[标准格式：123456]

locate .zip查找.zip结尾的文件，在后台的有三个，下载下来计算sha256

对应的压缩包文件为UeOupJ14.zip

尝试解压发现需要密码，用7zip打开发现注释，用passware kit爆破，得到密码MTj02

解压后，得到账单.txt，这里是一个base64编码和图片的转换

得到订单号20240321000000005443369778283185

13.分析服务器检材，该网站存在网站数据库备份功能，该功能的接口地址是？[标准格式：/xxx/xxx 全小写，不加域名]

在/opt/bl.dsnbbaj686.fit/www/app/appmanager/controller下发现databackup.php文件，查看得到/appmanger/databackup

14.分析服务器检材，该网站存放银行卡信息数据表中，其中信息数量前十的公司对应旗下visa银行卡一共有多少金额？[标准格式：100.00]

一先找出信息数量前十的公司    

二再筛选出这十家公司旗下visa银行卡，计算金额为21701599.63

或者用查询语句，这里不太确定题目的意思

15.分析服务器检材，该网站在2023年二月一共获取了多少条通信记录？[标准标准格式：100]

分析应该是admin_mobile表，navicat导出，用数据库取证工具分析

16.分析服务器检材，该网站的一条管理员信息存在数据篡改，请分析是哪个管理员信息遭到篡改，该管理员用户名是？[标准格式：ABCDE]

这里是看到的creat_time在login_time之后，所以是xYpMLuROhNl