在一起涉网诈骗案件中,办案机关扣押了嫌疑人的电脑以及调取了涉案相关的服务器数据,要求对其数据进行检验分析。

介质与手机

1

1
请计算计算机的磁盘SHA256值

取证大师计算

1
2
3
4
[2025-05-15 09:06]
名称: D:\Desktop\CTF_study\2022didctf_qz_fx\磁盘镜像.E01; 设备类型: 磁盘镜像; 大小: 111.79 GB;
扇区数: 234,441,648; 计算扇区数: 234441648; 起始扇区: 0; 结束扇区: 234441647; 设备序列号: ;
SHA-256值: 2B18B049698C725E42BCF9A8ED04B6D206F9473FC5D23571EAEC3F1E1E71BF9E

2

1
记录计算机名与开机用户名(格式:计算机名-开机用户名)

)

1
DESKTOP-1R1FP8B-hello

3

1
记录计算机操作系统的具体Build版本号

见上图,build版本18363

4

1
计算机中后缀名是jpg的缩略图数量为

筛选一下,后缀为.jpg的图片

1
1+37+5=43

5

1
计算机系统桌面管理应用相关的记录事件ID为

学习了一下,什么是计算机系统桌面管理应用相关的记录事件ID为

9027

6

1
记录当前计算机操作系统使用的文件系统格式

r-studio打开,发现应该是NTFS

取证大师也可看到

但是有两个奇怪的分区,但是应该还是

1
NTFS

7

1
当前计算机操作系统默认的照片查看器为

系统仿真,打开系统随便打开一张图片

发现用的是wps图片

1
WPS图片

8

1
记录计算机Foxmail软件的安装时间

image-20250515103756110

1
2020-07-27 12:56:47

9

1
记录计算机于2020年7月29日最后一次运行navicat时间

image-20250515111511732

1
2020-07-29 16:31:22

10

1
嫌疑人曾用远程工具连接过__台服务器

image-20250515110921459

1
4

11

1
查找计算机中有关手机应用的痕迹,记录APP文件所在路径,无需输入盘符(例:/Program/apk/999.jpg)

image-20250515112259681

全局搜索apk,

1
/Users/hello/Downloads/2020001.apk

12

1
2
3
4
查找嫌疑人电脑上网站源码最可能的来源
网页下载
蓝牙传递
邮箱获得

image-20250515113357959

c邮箱获得

13

1
接上题,通过对源码分析,判断源码中有关数据库连接信息配置文件名为

直接翻源码找就完了

image-20250515113810857

1
config.db.php

14

1
记录手机自动连接过的WIFI名称

可以找到所有连接的wifi但是无法识别哪个是自动连接的,倒是可以逐个尝试

image-20250518232157216

但火眼可以显示是否自动连接

应该为Xiaomi_6294_5G

15

1
分析手机数据,请判断微博发送的验证码的短信是否已读,若已读,请写出读取时间

image-20250518232348596

这个时间直接交上不对,猜测这个是发送的时间,而不是读的时间,参考了其他佬的wp,需要读取sms.db文件

手机大师功能不完善没法直接读sms.db文件,所以要去搜一下

image-20250518234838357

找到了一个讲哪个是sms.db文件的按图索骥,找到用SQLite浏览器打开

image-20250518235005987

在message表中找到,翻找读的时间戳

image-20250518235057888

18位时间戳,转为时间

18位时间戳转换方法:取前9位的数值,数值+978307200,得到一个常见的9位时间戳,使用工具转换成正常时间即可

2020-07-28 15:14:29

16

1
接上题,分析微博账号加入群(戏精学院~武汉基友)的时间

手机大师无法看到加入的时间,但是那个群里有消息,可以通过这个去查加入的时间,只能去找文件,去网上搜索了一下,把整个sqlite文件打开查找,

image-20250519171217574

一个个打开查看,左边的fileid就是文件名,打开

image-20250519171901935

查看t_group表

image-20250519171941107

找到join-time1525101360

转换时间戳

image-20250519172115820

1
2018-04-30 23:16:00

17

1
2
3
4
5
6
7
8
9
10
11
选择手机数据当中,与百度相关的应用名

A. 手机百度

B. 百度网盘

C. 百度地图

D. 百度输入法

E. 百度手机卫士

手机大师只识别出了两个,一个手机百度,一共百度网盘,但是看了wp后发现还有一个百度地图没有识别出来,同样的在Manifest.db中可以找到

image-20250519181542128

得知有百度地图所以选ABC

18

1
统计计算机中,5、6月份工资表发放总额为多少元

image-20250515224440134

回收站有文件,但打开需要密码,需要寻找密码,手机取证再备忘录里找到文档密码

image-20250518230412497

hellonihao123

六月:

image-20250518231649962

63100

五月:

image-20250518231736575

43380

106480

19

1
嫌疑人曾经登录过某分发网站,查找登录的用户名和密码(格式:用户名-密码)

取证大师中无法看到登陆的秘密码,只能看到用户名,我翻了db文件也没找到,pwd的value很奇怪,但是火眼好像可以直接看到,但所幸手机取证中qq浏览器的cookie中存储了,

image-20250519003443772

image-20250519182605988

8@qq.com-admin123456

20

1
提取计算机中名称为“1.jfif”图片中的隐藏文件,并获取第一行内容

取证大师,导出1.jfif

binwalk -e 提取,反现提取的有点过,遂把zip文件改为docx

image-20250519183916050

一、贷款销售开场白话术

21

1
找出计算机中WPS的下载网址

image-20250519184936280

https://pacakge.cache.wpscdn.cn/wps/download/W.P.S.982801.12012.2019.exe

22

1
2
3
4
5
6
7
8
9
嫌疑人最可能使用哪两个工具登录访问暗网

A. Google Chrome

B. Tor浏览器

C. Clash VPN

D. v2rayN-Core VPN

额,竟然是常识性问题()

BD

23

1
暗网登录地址账号密码(格式:地址-账号-密码)

找到tor 浏览器位置,有个web文件

image-20250519190626120

导出,看一下,貌似是个word文件

image-20250519190726980

http://c2p3hg35jalss7b2a6hkmhzflgevkonqt7g6jze62ro2g4h4wmzwobid.onion-e268443e4-76a2173be

24

1
查找嫌疑人电脑上存有的分发账号,里面的账号共有多少条

image-20250519201544226

14

25

1
2
3
4
5
6
7
8
9
10
11
计算机中是否存在加密容器,其形式为

A. Bitlocker

B. TrueCrypt

C. VeraCrypt

D. FreeOTFE

E. CnCrypt

image-20250519201742196

C

26

1
接上题,尝试运行容器加密文件,获得加密文件包含的文件名(如有多个文件,使用 - 连接)

image-20250519203711537

找到两个疑似被加密容器加密的文件,但明显是它识别错了,但是可以看。跳到原文件看看,导出看看。

image-20250519204035429

挂载

?我挂载不了?什么鬼

服务器取证

27

1
root用户最初使用192.168.197.1登录系统的时间?

e进入单用户模式

image-20250519214229760

上边还需要修改LANG=en_CN和ro为rw

image-20250519214627244

修改后重启登录root(点未列出)

image-20250519220948644

然后我查了。/var/log/secure竟然显示19但是取证大师(可能是有误差)

image-20250519224317167

2020-08-31 10:19:20

28

1
记录服务器根目录文件系统格式

df -T / 查看

image-20250519224750525

29

1
记录ssh远程登录端口

image-20250519232107166

13434

30

1
查看并记录管理面板的安全入口8位字符

image-20250519225635026

1
68c6da24

31

1
数据库用户名为fafafa的密码为

可以bt 5修改宝塔linux的秘密

登录宝塔

image-20250519232420173

1
pMP3zhGXyBXf6wBd

32

1
2
3
4
5
6
7
8
9
服务器存在一个分发网站,它是由什么网站框架搭建的

A. Nginx

B. Apache

C. Thinkphp

D. Python

image-20250519232622797

A

33

1
请列出系统中部署的网站路径。

image-20250519232835424

1
/www/wwwroot/fafafa.online

34

1
记录服务器分发网站域名
1
fafafa.online

35

1
2
3
4
5
6
7
8
9
访问分发网站,网站首页界面的背景颜色为:

绿色
蓝色
红色
粉色
黑色
黄色

image-20250519233605698

访问一个网站,域名和面板地址的相同

image-20250523155802231

黄色

36

1
目前网站共注册个__用户人数以及用户共上传__个APP(使用 - 连接)

sudo systemctl stop firewalld.service 关闭centos7防火墙

mysql连接数据库

image-20250523155417766

image-20250523155441815

主机和bt default所给内网面板地址相同,密码与面板密码相同,ssh端口在宝塔面板中有

image-20250523155311179

4个应用

image-202505231553339885个用户

5-4

37

1
若上传一非法文件至分发网站,网站默认会把文件存放在什么位置

image-20250523174422459

admin.php中看到关于upload的,进去文件夹看看

image-20250523174625498

可以看到是存在了,$tmp所指的目录中

1
/www/wwwroot/fafafa.online/data/tmp/

38

1
嫌疑人可能利用什么软件(脚本、程序)对后台数据库数据进行了备份,其名称是什么

crontab -l查看定时任务,根据名称判断

image-20250523175312452

backupdb.sh

39

1
服务器中存在远程控制软件,软件名称是__及其版本号是__ (使用 - 连接)

有一个细节,就是刚启动服务器的时候,会弹出来一个 teamviewer 的窗口,这个就是远控软件。

teamviewer info查看版本号

image-20250523175753088

1
teamviewer-12.0.258841

40

1
服务器目前安装的容器版本是__使用的容器ID为__ (使用 - 连接)

docker -v查看容器版本

systemctl start docker开启docker

docker ps -a查看容器id

image-20250523214338114

1.13.1-1fc110c6b336

41

1
提取fafafa.txt文件,前内容前6字符为

image-20250523215124169

1
adbcef

42

1
服务器使用的容器映射出来的端口号为

docker start 1fc110c6b336

docker ps -a

image-20250523223906661

3310

流量分析

43

1
分析检材1,黑客的IP地址是

image-20250524212655997

大致看一下流量包,发现有个ip读取了/etc/passwd,很明显就是黑客,当然还上传了一句话木马

1
192.168.94.59

44

1
分析检材1,黑客登录web后台使用的账号是

筛选对应的ip查找有关登录的api,发现

image-20250526192628381

admin

45

1
分析检材1,黑客登录web后台使用的密码是

同上

1
admin!@#pass123

46

1
分析检材1,网站账号“人事”所对应的登录密码是

筛选登录的流量

1
_ws.col.info == "POST /admin/login.php?rec=login HTTP/1.1  (application/x-www-form-urlencoded)"

image-20250526194952366

hr134679

47

1
分析检材1.黑客上传的webshell文件名是

由43可知

1
a.php

48

1
分析检材1,数据库所在的内网地址为

筛选服务器对黑客IP的回应_ws.col.info == "HTTP/1.1 200 OK (text/html)"得到

从后翻一下,看看这种比较大的

image-20250526201922161

1
10.3.3.101

49

1
分析检材1,黑客找到的数据库密码是多少

image-20250526202151115e667jUPvJjXHvEUv

50

1
分析检材2,数据库的版本号为

image-20250526202521395

打开,发现版本号

1
5.5.49

51

1
分析检材2,“dou_config”表中,“name”字段值是“tel的行中,“value”值是

直接Ctrl+F搜索,选择字节分组流,字符串,直接可以找到value值

image-20250526203437636

1
0659-8686868

52

1
分析检材2,黑客获取了数据库中保存的邮箱账号和密码,其中sool@test.com的密码是

全局搜索sool@test.com逐个查看

image-20250526204300704

最终在920中找到hash值

image-20250526204445484

1
qaz123!@#

完结