解压密码:2024Fic@杭州Powered~by~HL!
案情简介
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。
接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。
卢某——受害人
李某——犯罪嫌疑人1(引诱卢某)
赵某——犯罪嫌疑人2
李某手机检材1
1. 嫌疑人李某的手机型号是?
A. Xiaomi MI 2s
B. Xiaomi MI 4
C. Xiaomi MI 6
D. Xiaomi MI 8
在火眼里建立文本索引,搜索文件内容xiaomi
2. 嫌疑人李某是否可能有平板电脑设备,如有该设备型号是?
A. iPad Pro 11
B. Vivo Pad 2
C. MatePad Pro
D. Xiaomi Pad 6s
3. 嫌疑人李某手机开启热点设置的密码是?
5aada11bc1b5
4. 嫌疑人李某的微信内部ID是?
wxid_wnigmud8aj6j12
5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么
http://www.honglian7001.com/down
聊天记录里有二维码,扫出来得到密文,用下面提示的佛曰解密
解密网址也在检材里新约佛论禅/佛曰加密 - 萌研社 - PcMoe!
6. 受害者微信用户ID是?
limoon890
7. 嫌疑人李某第一次连接WIFI的时间是?
A. 03-14 15:55:57
B. 03-14 16:55:57
C. 03-14 17:55:57
D. 03-14 18:55:57
wifi记录里跳转源文件,即可看到
8. 分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?
A. 12:00-14:00
B. 14:00-16:00
C. 16:00-18:00
D. 18:00-20:00
没发现火眼能直接分析出活跃时间,这题纯手搓
9.请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号ID为?
wxid_kolc5oaiap6z22
10.请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为?
192.168.110.110:8000/login
服务器集群检材2
- 手动挂载绕密,可以不用额外挂载数据盘,难点是绕密。
- 火眼仿真,可以直接绕过ESXI的密码,难点是挂载数据盘问题,需要手动挂载。
在比赛当时,两种方法在重构难度上基本相同,不存在捷径。手动绕密看似更难,却可以实现百分百仿真,因为虚拟机设置可能存在开机自启等选项,该种方式可以在系统启动时正常加载所有虚拟机。这就像一次往返可能来回是不同的线路,很多人会选择眼前较近的路,在火眼仿真后再去手动挂盘。
手动绕密自动挂盘
(1)首先使用FTK挂载ESXI的镜像。(此处注意点:挂载选项选择“物理”和“逻辑”;注意选择“逻辑”挂载是因为需要进入分区修改shadow文件)
(2)打开FTK挂载出来的虚拟磁盘,在250MB大小的一个分区找到STATE.TGZ文件。
解压层级为:State.tgz -> local.tgz -> /etc(建议使用7Z工具打开,直接在目录中点击编辑即可修改shadow文件,修改完成之后直接点保存即可)
(3)有了etc目录,绕密方式就比较明显了,将/etc/shadow文件root密码置空,重新按照路径选择tar.gz压缩回去后替换原文件。
(4)替换后完成后,管理员身份打开vm,使用VMware选择“创建新的虚拟机”,使用FTK挂载的物理磁盘,创建完成之后,即可启动新的虚拟机,ESXi密码此时已被清除,可以直接空密码登录。(由于是集群仿真,在仿真时需要勾选cpu嵌套虚拟化功能“Intel VT-x/AMD-V”,否则无法在虚拟机中再开虚拟机)
火眼仿真
更新前的版本需要手动挂载数据盘
更新后的4.3.8.2115版本火眼仿真,不存在数据盘丢失问题,无需手动挂载
连接
IP192.168.8.112
子网掩码255.255.255.0
网关192.168.8.1
DNS:192.168.245.2
设置NAT,将网关设置为192.168.8.1
设置DHCP,修改起始和结束IP
访问黄色页面的网址192.168.8.1,注意不要后面的(STATIC),用户名是root,没有密码
手动挂载数据盘
没有存储,数据盘丢失,需要手动挂载
esxcfg-volume -l查询所有vmfs分区
esxcfg-volume -M +VMFS分区UUID 进行挂载
esxcfg-volume -M 65efb8a8-ddd817f6-04ff-000c297bd0e6
挂载成功
1. esxi服务器的esxi版本为?
6.7
2. 请分析ESXi服务器,该系统的安装日期为:
A. 2024年3月12日星期二 02:04:15 UTC
B. 2024年3月12日星期二 02:05:15 UTC
C. 2024年3月12日星期二 02:06:15 UTC
D. 2024年3月12日星期二 02:07:15 UTC
3.请分析ESXi服务器数据存储“datastore”的UUID是?
65efb8a8-ddd817f6-04ff-000c297bd0e6
没有存储,数据盘丢失,需要手动挂载,见上面手动挂载数据盘部分
4.ESXI服务器的原IP地址?
192.168.8.112
5.ESXI服务器中共创建了几个虚拟机?
4
网站服务器
根据判断,www的虚拟机应该就是网站服务器,在分区15中
有vmdk和-flat.vmdk两个文件,vmdk相当于一个meta信息文件,有各种设置信息,真正虚拟机数据是存放在在-flat文件里的。vmdk只是个链接文件,用于vmfs锁定技术的,将-flat.vmdk添加为新检材
6.网站服务器绑定的IP地址为?
192.168.8.89
7.网站服务器的登录密码为?
qqqqqq
爆破/etc/shadow文件,火眼直接导出shadow文件,$6$i/6MgZHjOv5fkf95$FBbQe2Qupv9SKfoVl8LV8i1lM8XdUtbUoEevuvmbaeKHw5tbNEnr6KA2YKUjAubrRCav/8yLLUYEjm6cwnPsi.
用检材3题目中提到的密码本进行爆破,密码是qqqqqq
hashcat -a 0 $6$i/6MgZHjOv5fkf95$FBbQe2Qupv9SKfoVl8LV8i1lM8XdUtbUoEevuvmbaeKHw5tbNEnr6KA2YKUjAubrRCav/8yLLUYEjm6cwnPsi. commonPwd.txt
逻辑:hashcat + -a 0(指字典攻击)+密文+密码本
8.网站服务器所使用的管理面板登陆入口地址对应的端口号为:
14131
右键打开电源直接访问虚拟机,用户名root密码qqqqqq成功进入
使用的是宝塔面板https://192.168.8.89:14131/adec8c75
9.网站服务器的web目录是?
/webapp
修改密码,成功登录
发现清空了历史记录
查看日志
在根目录下找到webapp文件夹和压缩包
10.网站配置中Redis的连接超时时间为多少秒?
10
在webapp目录下有ruoyi-admin.jar,是RouYI项目打包成jar包用以部署网站的
解压ruoyi-admin.jar,在application.yml文件中找到了超时时间
11. 网站普通用户密码中使用的盐值为?
!@#qaaxcfvghhjllj788+)_
搜索salt
可以看到encryPassWord函数用于加密密码
右键查找用例
可以看到salt值
12.网站管理员用户密码的加密算法名称是什么?
A. des
B. rsa
C. md5
D. bcrypt
查看数据库的sys_user表
加密方式是bcrypt
13.网站超级管理员用户账号创建的时间是?
2022-05-09 14:44:41
在宝塔面板中可看见数据库,mysql数据库是远程连接的,ip是192.168.8.142,就是data数据库服务器
用火眼的数据库取证工具进行分析
在sys_user表中
远程连接数据库
网站重构需要修改数据库中数据,使用navicat远程连接data虚拟机中的dockers容器中的mysql数据库
data服务器密码见数据库服务器的分析部分,数据库密码见检材2的第21题,连接成功
网站重构
在检材3解开的加密容器2024.fic中,有运维笔记
打开是配置笔记
1、修改ruoyi
(1)列出jar下所有目录及目录下文件jar tf ruoyi-admin.jar
(2)取出jar包中的指定文件jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml
(3)使用vim命令或者其他方式修改文件 并保存vim BOOT-INF/classes/application-druid.yml
修改数据库ip和密码,useSSL=false是对的,不用改
(4)更新配置文件application.yml到test.jar包内jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml
(5)列出jar下所有目录及目录下文件jar tf ruoyi-admin.jar
(6)取出jar包中的指定文件jar xf ruoyi-admin.jar BOOT-INF/classes/application.yml
localhost改为127.0.0.1
(7)更新配置文件jar uf ruoyi-admin.jar BOOT-INF/classes/application.yml
2、修改定时任务,用数据库取证工具将数据库内置在本地,用navicat连接,修改sys_job表,搜索cron表达式,7个参数分别代表秒、分、时、每月的某日、某月、周几、某年,
参数名 |
有效值 |
Seconds (秒) |
可以用数字 0~59 表示 |
Minutes(分) |
可以用数字 0~59 表示 |
Hours(时) |
可以用数字 0~23 表示 |
Day-of-Month (日) |
可以用数字 1~31 中的任一个值,但要注意一些特别的月份 |
Month (月) |
可以用 0~11 或用字符串 JAN, FEB, MAR, APR, MAY, JUN, JUL, AUG, SEP, OCT, NOV, DEC 表示 |
Day-of-Week (周) |
可以用数字 1~7 表示(1=星期日)或用字符口串 SUN, MON, TUE, WED, THU, FRI, SAT 表示 |
* |
代表整个时间段 |
/ |
为特别单位,表示为 每 如 0/15 表示每隔 15 分钟执行一次, 0 表示为从 0 分开始,3/20 表示表示每隔 20 分钟执行一次,3 表示从第 3 分钟开始执行 |
? |
表示每月的某一天,或第周的某一天,由于月份中的日期和星期中的日期这两个元素互斥的,必须要对其中一个设置 ? |
L |
用于每月,或每周,表示为每月的最后一天,或每个月的最后星期几如 6L 表示每月的最后一个星期五 |
W |
表示为最近工作日,如 15W 放在每月 (Day-of-Month) 字段上表示为到本月15日最近的工作日 |
# |
是用来指定每月第 N 个工作日,在每周(Day-of-Week)这个字段中内容为 6#3 或者 FRI#3 则表示每月第三个星期五 |
0 0/2 * * * ?表示每天的每两分钟运行一次,0 0 0 1 1 ? 2023,2024表示2023年1月1日的0点0时0分运行一次、2024年1月1日的0点0时0分运行一次,修改定时任务需要修改成0 0 0 1 1 ? 2024,2025
3、修改登录限制
本机配置的ip是192.168.8.110
修改sys_config表
4、启动ruoyun-admin.jar包
java -jar ruoyi-admin.jar
我的一直没有若衣启动成功的字样,使用sh start.sh start启动
访问192.168.8.89,成功访问后台管理系统
接下来是替换密码登录网站
生成一个密码
替换数据库中的admin的密码
用户名admin密码1234成功进入
14.重构进入网站之后,用户列表页面默认有多少页数据?
877
15. 该网站的系统接口文档版本号为?
3.8.2
16. 该网站获取订单列表的接口是?
/api/shopOrder
17.受害人卢某的用户ID?
lu123456
18.受害人卢某一共充值了多少钱?
465222
由上题图可知,卢某id是10044888,在订单中搜索id
19.网站设置的单次抽奖价格为多少元?
10
在参数设置里
20.网站显示的总余额数是?
7354468.56
用户列表里
21.网站数据库的root密码是?
my-secret-pw
数据库服务器
数据库服务器对应data虚拟机,将分区15中data文件夹下的data.vmdk添加为新检材,IP是192.168.8.142
同网站服务器,用shadow文件进行字典攻击,解出data虚拟机的密码$6$/8rry9tO/yeq7VsM$lSMYk7lHInR3CsZZ2R4BhdvKIu8u3MLn4bm4jz8ZGKGB5Bt8nWsTwYI4RGlgBMFFFil218JKjAHeoSdsgMOnh0
用检材3题目中提到的密码本进行爆破,密码是hl@7001
hashcat -a 0 $6$/8rry9tO/yeq7VsM$lSMYk7lHInR3CsZZ2R4BhdvKIu8u3MLn4bm4jz8ZGKGB5Bt8nWsTwYI4RGlgBMFFFil218JKjAHeoSdsgMOnh0 commonPwd.txt
22.数据库服务器的操作系统版本是?
7.9.2009
23.数据库服务器的Docker Server版本是?
1.13.1
24.数据库服务器中数据库容器的完整ID是?
9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765
25.数据库服务器中数据库容器使用的镜像ID?
66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a
26.数据库服务器中数据库容器创建的北京时间是?
A. 2024/3/13 12:15:23
B. 2024/3/13 20:15:23
C. 2024/3/14 00:15:23
D. 2024/3/13 08:15:23
27.数据库服务器中数据库容器的ip是?
172.17.0.2
28.分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是?
223.104.51.34
用火眼的数据库分析,将数据库连接至本地,后用navicat连接,对app_group_apply表进行数据分析,status=1代表已同意
邀请最多的是53576061
在app_user_info表中查询ip
29.分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是?
116.62.104.130
在app_group_redpacket_member表中
money最多的是90671142
在app_user_info表中查询ip
30. 数据库中记录的提现成功的金额总记是多少?(不考虑手续费)
35912993.79
status=3代表提现成功
聊天服务器
聊天服务器对应rocketchat虚拟机,将分区15中rocketchat文件夹下的rocketchat-flat.vmdk添加为新检材,IP是192.168.8.
$y$j9T$AAERQp9gvRnZLXDczHf0N/$NIzGwxh5OF4nVpvnd2B/b1OJ7hNRiYSzusSsG9vLp35,用密码本爆不出来
重置密码如何在 Debian 10 中重置忘记的 Root 密码 (linux-console.net)
看到一个 GRUB 菜单,按键盘上的‘e’键。
找到以 'linux' 开头的行,在 ‘ro Quiet’ 之后,附加参数 init=/bin/bash。
按 ctrl+x 使其能够以单用户模式启动,并以只读 (ro) 访问权限挂载根文件系统。
要重置密码,您需要将访问权限从只读更改为读写。因此,运行以下命令以使用 rw 属性重新挂载根文件系统。
再通过执行如图所示的旧的 passwd 命令来重置 root 密码。
修改密码后重启虚拟机即可成功进入
mount -n -o remount,rw /
passwd
ip是192.168.8.16
从聊天记录中可以看到,rocketchat中搭建的网站网址是http://192.168.8.16:3000/
访问
输入在检材3中发现的私有聊天密码,用户名admin@admin.com密码Zhao,成功登录
31.rocketchat服务器中,有几个真实用户?
3
32. rocketchat服务器中,聊天服务的端口号是?
3000
通过3000端口登录的网站
33.rocketchat服务器中,聊天服务的管理员的邮箱是?
检材3第8题
34.rocketchat服务器中,聊天服务使用的数据库的版本号是?
5.0.24
虚拟机里有docker,里面有mongodb数据库
35.rocketchat服务器中,最大的文件上传大小是?(以字节为单位)
104857600
36.rocketchat服务器中,管理员账号的创建时间为:
A. 2024/3/14 8:18:54
B. 2024/3/14 8:19:54
C. 2024/3/14 8:17:54
D. 2024/3/14 8:15:54
网站上只能判断年月日
需要连接mongodb数据库
查看容器ip:docker inspect rocketchat-mongodb-1,IP是172.18.0.2
ssh连接不上,vim /etc/ssh/sshd_config,去掉PermitRootLogin前的注释并修改后面的值为yes,保存后重启ssh服务
连接成功
连接navicat
在users表中,2024-03-14 08:19:54.951
37.rocketchat服务器中,技术员提供的涉诈网站地址是:
38.综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少?
35%
39.综合分析服务器,该团队“杀猪盘”收网的可能时间段为:
A.2024/3/15 15:00:00-16:00:00
B.2024/3/15 16:00:00-17:00:00
C.2024/3/15 17:00:00-18:00:00
D.2024/3/15 18:00:00-19:00:00
40.请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?
已抓获李某、赵某,未抓获老苏
openwrt服务器
41.分析openwrt镜像,该系统的主机名为:
iStoreOS
访问192.168.8.2,输入密码,检材3的第17题可知登录密码是hl@7001
42.分析openwrt镜像,该系统的内核版本为:
5.10.201
43.分析openwrt镜像,该静态ip地址为:
192.168.8.5
见检材3第17题
44.分析openwrt镜像,所用网卡的名称为:
eth0
45.分析openwrt镜像,该系统中装的docker的版本号为:
20.10.22
46.分析openwrt镜像,nastools的配置文件路径为:
/root/Configs/NasTools
47.分析openwrt镜像,使用的vpn代理软件为:
PassWall2
48.分析openwrt镜像,vpn实际有多少个可用节点?
53
第一个是套餐不是节点,54-1
49.分析openwrt镜像,节点socks的监听端口是多少?
1070
50.分析openwrt镜像,vpn的订阅链接是:
https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a
赵某计算机检材3
分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?
FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
注意计算“原始检材”而非E01文件,使用火眼证据分析软件加载镜像文件,并执行计算哈希SHA1任务,得到赵某计算机的原始镜像的SHA1值。
分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?
B25E2804B586394778C800D410ED7BCDC05A19C8
50M的文件应该就是它
3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?
E6EB3D28C53E903A71880961ABB553EF09089007
密码字典是commonPwd.txt
4.据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?
qwerasdfzxcv
使用图片pswd.jpg上的密码,挂载失败
正确的密码在十六进制中
5.分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么?
404052-011088-453090-291500-377751-349536-330429-257235
恢复秘钥在挂载后的容器中
6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是
146794496
7.分析技术员赵某的windows镜像,默认的浏览器是?
A. Chrome
B. Edge
C. IE
D. Firefox
8.分析技术员赵某的windows镜像,私有聊天服务器的密码为:
Zhao
在解开的E盘中,私有聊天密码.txt
9.分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?
在解开的E盘中,3.webp
10.分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?
A. stable diffusion
B. ROOP
C. Midjourney
D. DiffusionDraw
先把选项一一百度,基本就可以确定是ROOP
stable diffusion文本生成图像
ROOP换脸
MidjourneyAI绘图
DiffusionDraw绘图
在计算机中也能搜到它
11.分析技术员赵某的Windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为:
db.jpg
在power shell中提示,运行了run.py, 将E:/dst01.jpeg和E:/1.pjpg换脸变成E:/db.jpg,换脸成杨幂
12.分析技术员赵某的Windows镜像,ai换脸生成图片的参数中--similar-face-distance值为:
0.85
13.分析技术员赵某的Windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为:
dst01.jpeg
原始图片在回收站中
也是杨幂
14.分析技术员赵某的Windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?
15.分析技术员赵某的Windows镜像,赵某架设聊天服务器的原始IP地址为?
192.168.8.17
16.分析技术员赵某的Windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?
A. 2024-03-14 20:30:08
B. 2024-03-14 20:31:08
C. 2024-03-14 20:32:08
D. 2024-03-14 20:33:08
17.分析技术员赵某的Windows镜像,openwrt的后台管理密码是:
hl@7001
openwrt对应的虚拟机是op1-flat.vmdk
它的ip是192.168.8.5
密码保存在浏览器中
18.分析技术员赵某的Windows镜像,嫌疑人可能使用什么云来进行文件存储?
易有云
19.分析技术员赵某的Windows镜像,工资表密码是多少?
aa123456
原来E盘中有工资表,但现在没有此文件
只剩下名单,是加密的
用第3题提到的密码本进行爆破,字典攻击过程可见passware kit forensic、hashcat使用-CSDN博客
解密打开可见工资
20.分析技术员赵某的Windows镜像,张伟的工资是多少?
28300
![[SWPUCTF <span style='color:red;'>2021</span> 新生<span style='color:red;'>赛</span>]jicao](https://img-blog.csdnimg.cn/direct/9d5d19b9434a485c9465365010d9352d.png)
![[SWPUCTF <span style='color:red;'>2021</span> 新生<span style='color:red;'>赛</span>]sql](https://img-blog.csdnimg.cn/direct/77b0929906bd4a72a45588bd57968c67.png#pic_center)
![[SWPUCTF <span style='color:red;'>2021</span> 新生<span style='color:red;'>赛</span>]finalrce](https://img-blog.csdnimg.cn/direct/3443a69972a64ef790de507b57df1ba5.png#pic_center)
![[数据集][目标检测]csgo头部身体检测数据集VOC+YOLO格式1265张4类别](https://img-blog.csdnimg.cn/direct/96249d24a1b048ef877985ce3661202c.png)
