写在前面

学生组第19名，断网打取证感觉像坐牢，回来之后复盘感觉成绩没达预期，很多应该出的当时没出

后面牵扯到服务器的没写完，有点麻烦，没空整了，大三好忙

参考大佬的博客2023盘古石决赛 - WXjzc - 博客园 (cnblogs.com)、首届“盘古石杯”全国电子数据取证大赛总决赛参考题解 (qq.com)

容器密码 2ej)!,[JN-U;wm19J=d9sZt_L6#bf+}[

案情简介

公安机关通过对“张娟虚拟币投资被诈骗案”的诈骗团伙电子数据检材进行深入分析后，还摸排到了该诈骗团伙上游的跑分团队，通过办案部门的不懈努力，最后在跑分窝点抓获了跑分平台技术人员John、卡农Bob，扣押窝点NAS服务器1台、John计算机1台，Bob安卓手机1部，扫地机器人1台，无人机1台，智能门锁1把。同时，公安机关摸排到了本案中勒索黑客Hacker，抓取了Hacker计算机网络流量包，扣押了其计算机。以上检材已分别制作了镜像，检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

检材清单

对象	检材类型	检材名称
John	电脑	pc.E01
Bob	手机	三星 SM-N9700.zip
服务器	NAS服务器	disk0.E01 disk1.E01 disk2.E03 disk3.E04
物联网设备	扫地机器人	robot1.bin robot2.bin
	无人机	无人机.rar
	智能门锁	智能门锁.rar
Hacker	电脑	disk0.E01 disk1.E01
	流量包	Flower.rar

流量分析

黑客计算机流量包

1.计算流量包文件的SHA256值是？[答案：字母小写]

2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9

2.流量包长度在“640-1279”之间的的数据包总共有多少？[答案：100]

179

frame.len >= 640 and frame.len <= 1279

3.黑客使用的计算机操作系统是？[答案：windows7 x32]

windows10 x64

使用key.log对TLS流量解密

4.黑客上传文件到哪个网盘？[答案：xx网盘]

百度网盘

5.黑客上传网盘的中间件是？[答案：xxxx]

nginx

见下题

6.黑客首次登陆网盘时间是？[答案：2000-01-01 01:00:33]

2023-05-11 12:03:55

网盘的第一个分组是699，追踪流

“Thu, 11 May 2023 04:03:55 GMT”+8

7.黑客上传到网盘的txt文件的md5值是？[答案：字母小写]

6a5aff7bec78dd1e4fc23e571b664b50

http contains ".txt"，上传post

8.黑客上传到网盘的txt文件第8行的内容是？[答案：XXX]

$$

两个部分中间是空一行的

9.被入侵主机的计算机名是？[答案：XXXXXXXXXXX]

WIN-BFA1TO8PTNP

第10题中黑客ip判断出来了，192.168.100.141，接下来判断被入侵主机的ip，好几个ip与他相互交互，只有192.168.100.139登录了ftp，入侵主机的ip应该是他

10.被入侵电脑的数据回传端口是？[答案：11]

8000

根据下题，判断出来木马是setup.exe，使用沙箱分析，扫出来4个ip，只有第三个在流量包中，黑客ip就是192.168.100.141:8000

11.流量包中ftp服务器的用户密码是？[答案：abcd]

ftp

官方答案给的pass，不懂

anoymous使用密码User@，密码错误

www使用密码ftp，成功登录

12.流量包中ftp服务器中的木马文件的md5值是？[答案：字母小写]

2a49a00a1f0b898074be95a5bbc436e3

继续往下滑，发现出现setup.exe，木马应该就是他

右键-追踪数据流，使用原始数据存储为setup.exe，刚保存出来，火绒就弹出来给隔离了，确认就是他

13.木马文件伪造的软件版本是？[答案：0.0.0.0]

7.5.0.1039

14.黑客上传到网盘的压缩包解压密码是？[答案：XXXXXXXXXXX]

今天天气不错

查看上传网盘的内容

dic.txt

flag.rar

pass.jpg

导出http对象，导出这3个文件，rar是加密的，jpg导出来不显示图像，用foremost分离一下

dic.txt是个字典

stegseek用dic.txt爆破pass.jpg得到一串摩斯密码，在这里感恩d3f4u1t师傅给的虚拟机

 解压密码：-..---.--..-.-. -.--..-..-.-..- -.--..-..-.-..- --.--.....-.-.. -..---.....--.- -..-.-.-...--..-

转中文是“今天天气不错”中文摩尔斯密码 - 一个工具箱 - 好用的在线工具都在这里！ (atoolbox.net)

15.黑客上传到网盘的压缩包内文件的内容是？[答案：xxxxxxx]

flag{dfaefdgegr$$%463}

接上题直接解压即可

技术人员John手机流量包

仿真后看最近使用的文件，test.saz，就是他，用fiddler分析

16.分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份账号是？[答案格式:13039456655]

13012341234

问虚拟身份账号，找登录页面

17.分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份密码是？[答案格式:b3039456655]

a12345678

见上题图

18.分析技术人员电脑内的手机流量包，分析技术人员的看过几段短视频？[答案格式:3]

6

6个抖音

19.分析技术人员电脑内的手机流量包，分析技术人员最后打开的软件的程序名称是？[答案格式:微信]

狂神无双

下面的都是网址，只有这条是com.zhjhsy.ksws04.ucbiao

在技术人员的雷电手机模拟器中找到了这个包名

叫狂神无双

20.分析技术人员电脑内的手机流量包，分析安全防护的服务器地址是？[答案格式:127.0.0.1]

8.218.119.134

在摸瓜中查安全防护的apk，两次查出8.218.119.134

在jadx中

流量中也有

GetCmd.aspx的调用

移动智能终端取证

卡农就是bob，三星 SM-N9700.zip解压得到Image.zip，再次解压，最后用弘连或者盘古石跑image文件夹

1.分析卡农手机，给出手机的SDK版本？[答案格式:28]

30

2.分析卡农手机，给出手机最近开机的时间？[答案格式:2023-05-18-19:09:59]

2023-05-15-10:09:29

3.分析卡农手机，给出高德地图关联的手机号是？[答案格式:13011221234]

18317041122

4.分析卡农手机，给出卡农内部聊天工具的昵称是？[答案格式:李多余]

钱彩燕

在jpg图片中找到了pgs的WiFi

PGScup应用

应该就是他

找到apk，可以先过滤apk后缀，在过滤文件路径，比较快

找完apk后，找对应的应用数据，在/data/data中找

然后把cn.wildfirechat.chat的数据复制进雷电模拟器的/data/data里面，雷电模拟器自带的文件传输还是比较方便的，我用的是雷电9，打开PGS，即可看到对应的信息

5.分析卡农手机，给出卡农的真实名字可能是？[答案格式:李多余]

徐鹏坤

计算机取证

黑客计算机

1.黑客计算机系统安装时间是？[答案格式:2000/01/01 01:00:01][★☆☆☆☆☆]

2023-05-10 13:31:47

2.黑客计算机磁盘0的总磁道数？[答案格式:数字中无标点][★★☆☆☆☆]

3328770

查看系统信息

3.黑客计算机的产品密钥是？[答案格式:字母大写]

VK7JG-NPHTM-C97JM-9MPGT-3V66T

4.黑客计算机共有几次卷影拷贝服务关闭事件？[答案格式:1]

1

卷影复制服务 (VSS)

5.黑客计算机的vc容器解密密码是？[答案格式:字母小写]

byebyedisco

轩禹CTF RSA工具3.6

导入公钥文件pub.key

右键分解模数，把N的值复制进输入，本地DB查询分解p、q，把分解的值复制进第一个框中，逗号是英文

右键计算私钥

导入密文m

右键计算明文，明文转字符

6.黑客计算机加密容器中共有几个docx文件？[答案格式:x]

3

E盘是加密容器，veracrypt选择设备输入密码即可

7.黑客计算机加密容器中记录的bt币地址有几个？[答案格式:x]4

4

在文件中没有找到bt币地址，用取证大师解密后查看发现有tmp文件

导出用winhex查看发现是压缩包

直接改后缀zip

8.黑客计算机加密容器中记录的受害人共有多少人？[答案格式:xx]

29

9.黑客计算机中win7虚拟机中www用户的登陆密码是？[答案格式:xxxxxxx]

12345678

在disk1中找到了win7.7z，导出，解压需要密码

用passwarekit字典攻击爆破密码，字典还是之前在流量包中提取出的那个，密码是zymogenesis

不知道密码，试了下常见的几个，12345678登进去了

10.黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是？[答案格式:xx]

admin123!@#

技术人员计算机

11.分析技术人员电脑，请给出电脑系统安装时间（UTC-0）?[答案格式:20000-01-01 00:00:00]

2023-04-19 06:10:50

UTC-0

12.分析技术人员电脑，请给出电脑内用户John的SID？[答案格式:x-x-x-x-x-x-x-x]

S-1-5-21-2950582214-2327523445-121360615-1001

13.据技术人员交代，其电脑连接过nas服务器，请给出该nas服务器的iqn名称？[答案格式:iqn.xxx]

iqn.2005-10.org.freenas.ctl:windows

14.分析技术人员电脑，请给出该技术人员使用的隐写工具名称？[答案格式:xx]

oursecret

最近访问的项目中找到了oursecret的痕迹

可以看到是在别的盘里，考虑NAS

15.接上题，请给出使用该隐写工具隐写文件所使用的密码？[答案格式:xx]

caiwu

猜的，就找到这一个密码

16.据技术人员交代，其电脑内存过一个名为“财务流水.rar”的文件，请给出该文件的SHA-1?[答案格式:字母小写][★★★★☆]

APK

在技术人员John的电脑仿真中可以看到一个雷电的备份，导出后还原备份

1.分析技术人员的模拟手机，给出安全防护的验证码是？[答案格式:11226655]

110110110

在模拟器中直接导出安全防护，用jadx分析，主函数是com.icbcbfife.hdadgefff.SecretWelcomeActivity

在里面找到判断函数

解释函数

getStartpass函数返回startpass，startpass应该就是用于传递的验证码的

hook没成功，直接暴搜startpass:110110110

2.分析技术人员的模拟手机，给出安全防护的推送服务的调证值是？[答案格式:11226655]

5cfdec7f570df35073000f03

3.分析技术人员的模拟手机，给出老板的联系方式是？[答案格式:11226655]

13812341234

应该是有一个聊天工具，在/data/data看到了熟悉的PGScup，同移动智能终端取证第4题，但是模拟器里未安装apk，安装一下，直接恢复原来的聊天内容，技术人员John就是和钱彩燕聊天的人

4.分析技术人员的模拟手机，给出办公场所是？[答案格式:北京市朝阳区中山路25555号]

上海市闵行区合川川路18888号

见上题图

5.分析技术人员的模拟手机，给出技术人员聊天工具的用户ID是？[答案格式:QN11AATT]

QN63ANIT

二进制文件分析

控制端程序在黑客D盘

1.分析黑客电脑，控制端程序传输协议是什么协议？[答案格式:http]

tcp

PyInstaller打包

使用pyinstxtractor.py脱壳

对server.pyc进行反编译

少部分文本提取不出来，connect类下使用了tcpServer函数，是TCP协议

# uncompyle6 version 3.8.0
# Python bytecode 3.8.0 (3413)
# Decompiled from: Python 3.7.4 (tags/v3.7.4:e09359112e, Jul  8 2019, 20:34:20) [MSC v.1916 64 bit (AMD64)]
# Embedded file name: server.py
import socket, json

def decrypt_config():
    data_str = ''
    with open('config.txt', 'rb') as (f):
        byte = f.read(1)
        byte_to_int = int.from_bytes(byte, byteorder='big')
        data = byte_to_int ^ 41
        dataB = data.to_bytes(1, byteorder='big')
        data_str += dataB.decode()
        while byte:
            byte = f.read(1)
            if byte:
                byte_to_int = int.from_bytes(byte, byteorder='big')
                data = byte_to_int ^ 41
                dataB = data.to_bytes(1, byteorder='big')
                data_str += dataB.decode()

    data_dict = json.loads(data_str)
    return (data_dict['address'], data_dict['port'])


def input_data() -> bytes:
    data = input('请输入指令')
    data = Crypt_data(data)
    return data.encode()


def Crypt_data(data) -> str:
    if isinstance(data, str):
        data = data.encode('utf-8')
    temp = b''
    for i in data:
        data_int = i ^ int.from_bytes(b'p', byteorder='big')
        data_bytes = data_int.to_bytes(1, byteorder='big')
        temp += data_bytes
    else:
        try:
            temp = temp.decode()
        except:
            temp = temp
        else:
            return temp


def deal(data: bytes):
    with open('��������.txt', 'wb+') as (f):
        f.write(data)


class connect:

    def __init__(self):
        self.address = decrypt_config()

    def tcpServer(self):
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as (s):
            s.bind(self.address)
            s.listen(10)
            while True:
                conn, addr = s.accept()
                conn.setblocking(0)
                while True:
                    try:
                        data = conn.recv(1000000)
                        data = Crypt_data(data)
                    except BlockingIOError as e:
                        try:
                            data = b''
                        finally:
                            e = None
                            del e

                    else:
                        print(data)
                        if not data == '2a':
                            if data == 'ok':
                                send_data = input_data()
                                conn.send(send_data)
                        else:
                            if data == 'er':
                                print('!!!!操作失败请重新操作!!!!')
                                send_data = input_data()
                                conn.send(send_data)
                        if data == 'end':
                            continue
                        elif data == b'':
                            continue
                        else:
                            deal(data)


if __name__ == '__main__':
    con = connect()
    con.tcpServer()
# okay decompiling server.pyc

2.分析黑客电脑，控制端程序接收数据缓冲区大小是多少？[答案格式:100]

1000000

conn.recv函数

3.分析黑客电脑，控制端程序接收并判断几种指令？[答案格式:1]

5

4.分析黑客电脑，控制端程序连接结束指令是什么？[答案格式:xxx]

end

猜的，end指令很像，代码分析逻辑没弄懂

5.分析黑客电脑，控制端程序配置文件解密函数是什么?[答案格式:x_x]

decrypt_config

6.分析黑客的木马程序，该程序控制端ip是？[答案格式:127.0.0.1]

7.分析黑客的木马程序，程序在地址0x00410CA4处调用了Sleep函数，请问该函数会暂停几秒？[答案格式:3]

5

木马程序还是那个setup.exe，按G跳转到0x00410CA4处

Sleep按F5反编译

Sleep(0x1388u);sleep函数里面封装的是毫秒，0x代表封装的是十六进制，1388转换成十进制是5000，就是5秒

8.分析黑客的木马程序，该程序“png”型资源下有两张图片，程序图标对应图片的MD5值是？[答案格式:字母小写]

ae755aad5abaa7926a691a5d94e84ea2

用resource hacker查看，保存图片

9.分析黑客的木马程序，哪个函数直接调用了HOST型资源？[答案格式:sub_1234]

sub_405570

搜索HOST，发现两个HOST，sub_405570和sub_4068F0

sub_405570加载资源LoadResource

sub_4068F0更新资源

是sub_405570

10.分析黑客的木马程序，该程序会绕过哪个杀毒软件？[答案格式:腾讯]

金山

杀毒软件，搜索kill试试，"taskkill /f /im KSafeTray.exe"，KSafeTray.exe是金山卫士

物联取证

扫地机器人

1.分析扫地机器人数据，robot1.bin采用的压缩算法是？[答案格式:xxxx][★★☆☆☆☆]

LZMA

当时是真没想到用binwalk

2.扫地机器人使用的软件版本是？[答案格式:0.0.0][★★☆☆☆☆]

3.1.0

3.扫地机器人id是？[答案格式:21243245838790]

3144460861838790

4.扫地机器人云证书的前6位是？[答案格式:sdfead]

miidnj

5.扫地机器人连接过的wifi的ssid是(channl1)？[答案格式:xx_xx_xx]

ELPASO_TPLINK_C04A00BD0769

6.扫地机器人连接过的wifi的密码是(channl1)？[答案格式:xxxx]

admin123

7.扫地机器人的时区是？[答案格式:xx/xx]

America/Denver

美国时区

8.扫地机器人的名称是？[答案格式:xxxxx]

VTORoomba

无人机

9.无人机飞行纬度前两位是？[答案格式:xx]

31

10.无人机的快门速度是？[答案格式:x/xxx]

1/400

智能门锁

11.分析智能门锁数据包，请给出用户“wonderful”首次开门时间？[答案格式:2000-01-01 00:00-00:00]

2023-02-17 18:56:38

连接数据库，A:\物联网设备\智能门锁\智能门锁\20230510102047\Data

12.分析智能门锁数据包，请给出智能门锁MAC地址？[答案格式：字母大写]

E8:BD:63:D0:6F:AD

A:\物联网设备\智能门锁\智能门锁\20230510102047\ExtractData\小米_Lock_通用_Cloud_@IoT\LockInfo.json

服务器取证

1.请分析服务器，给出NAS服务器系统账号密码？[答案格式:xx@xx]

P@88w0rd

联网弘连分析和仿真都能跑出来密码

不联网的条件下，参考首届“盘古石杯”全国电子数据取证大赛总决赛参考题解 (qq.com)，使用passware kit的系统从外部注册表文件提取密码

找到Windows/System32/config并在本地打开

将路径填充到config folder中

跑出来了John电脑对应的密码是paofen，NAS的密码是P@88w0rd

2.请分析服务器，给出NAS服务器的版本信息？[答案格式:xx-xx-xx][★★☆☆☆☆]

TrueNAS-13.0-U4

仿真，操作系统设置为Linux

创建成功，登录成功

查看ip

在浏览器中输入ip，进入

3.请分析服务器，给出NAS服务器内用户SMB的邮箱？[答案格式:xx@xx][★★☆☆☆☆]

smb@paofen.com

4.请分析服务器，给出NAS服务器系统告警服务使用的邮箱？[答案格式:xx@xx][★★☆☆☆☆]

11729369@qq.com

5.请分析服务器，给出NAS服务器内存储池名？[答案格式:xxx]

vol

6.请分析服务器，给出NAS服务器内有几个数据集和几个Zvol?[答案格式:0,0]

2,3

参考TrueNAS之ZFS详解，让你搞懂ZFS文件系统！ - Sagit，类型为VOLUME的是Zvol，类型为FILESYSTEM的是数据集，数据集是iocage 、vms ，Zvol是db 、iSCSI-Win 、web

展开箭头就是

7.请分析服务器，给出该NAS服务器存储监听IP和端口？[答案格式:192.168.1.1:8080]

0.0.0.0:3260

8.请分析服务器，给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID？[答案格式:xx]

2

9.请分析服务器，给出web服务器连接NAS服务器所使用的iqn？[答案格式:iqn.xxx]

iqn.2005-10.org.freenas.ctl:web

基本名称iqn.2005-10.org.freenas.ctl

目标连接web

10.请分析服务器，给出web服务器连接NAS服务器所使用的账号和密码？[答案格式:root/123]

user/202305140921

web服务器连接NAS服务器门户组ID是1

查看门户组ID为1的用户名和密码

11.请分析服务器，给出redis所使用的配置文件？[答案格式:/home/1.conf]

开启虚拟化

我还报错[EFAULT] VM will not start as VNC Device: 192.168.91.129:5900 device(s) are not available.

12.请分析服务器，给出跑分网站后台根目录？[答案格式:/xx/xx]

13.请分析服务器，嫌疑人所使用的跑分系统可能来自哪，请给出网站？[答案格式:www.baidu.com]

14.请分析服务器，给出数据库root账号密码？[答案格式:password]

15.请分析服务器，给出数据库备份文件存放路径？[答案格式:/xx/xxx]

16.请分析服务器，给出数据库备份文件解压密码？[答案格式:password]

17.请分析服务器，给出数据库备份文件间隔多少天会删除？[答案格式:1]

18.请分析服务器，给出数据库每天几点会执行备份操作？[答案格式:00:00]

19.请分析服务器，给出跑分网站后台用户余额总计？[答案格式:1000]

20.请分析服务器，给出跑分平台后天未处理的用户申请有多少个？[答案格式:1000]

21.请分析服务器，给出会员聂鸿熙推荐人的姓名？[答案格式:张三]

22.请分析服务器，给出给出跑分平台内用户银行卡所属银行共有几家？[答案格式:10]

23.接上题，请给出这些银行中用户数最多的银行名称？[答案格式:xx银行]

24.请分析服务器，给出用户“祝虹雨”通过审核的充值总额？[答案格式:10]

25.请分析服务器，给出该跑分团队可能的办公大楼有几个？[答案格式:1]

26.请分析服务器，给出用户John共提了几次会议预约申请，通过了几个？[答案格式:1，1]

27.接上题，用户John哪个时间段的会议预约申请次数最多[答案格式:2000-01-01 00:00-00:00]

28.请分析服务器，给出用户Harvey预约了什么时间的会议？[答案格式:2000-01-01 00:00-00:00]

29.会议管理系统的后台登陆地址是[答案格式:www.baidu.com:8080/login.php]

数据分析

1.分析技术人员电脑内银行卡交易流水，给出转入的对手交易卡号有多少？[答案格式:10]

2.分析技术人员电脑内银行卡交易流水，给出转出的对手交易卡号有多少个？[答案格式:1]

3.分析技术人员电脑内银行卡交易流水，给出卡号"6233542760791453"金额转出比(保留两位有效小

数)？[答案格式:10.21%[提示：注意文件编码]

4.分析技术人员电脑内银行卡交易流水，给出金额转出比最大的卡号？[答案格式:xxxx][提示：注意文件编码]

5.分析技术人员电脑内银行卡交易流水，给出收益最大的卡号？[答案格式:xxxxx][提示：注意文件编码]