2022-DIDCTF-wp-复现
在一起涉网诈骗案件中,办案机关扣押了嫌疑人的电脑以及调取了涉案相关的服务器数据,要求对其数据进行检验分析。
介质与手机
1
1 | 请计算计算机的磁盘SHA256值 |
取证大师计算
1 | [2025-05-15 09:06] |
2
1 | 记录计算机名与开机用户名(格式:计算机名-开机用户名) |
)
1 | DESKTOP-1R1FP8B-hello |
3
1 | 记录计算机操作系统的具体Build版本号 |
见上图,build版本18363
4
1 | 计算机中后缀名是jpg的缩略图数量为 |
筛选一下,后缀为.jpg的图片
1 | 1+37+5=43 |
5
1 | 计算机系统桌面管理应用相关的记录事件ID为 |
学习了一下,什么是计算机系统桌面管理应用相关的记录事件ID为
9027
6
1 | 记录当前计算机操作系统使用的文件系统格式 |
r-studio打开,发现应该是NTFS
取证大师也可看到
但是有两个奇怪的分区,但是应该还是
1 | NTFS |
7
1 | 当前计算机操作系统默认的照片查看器为 |
系统仿真,打开系统随便打开一张图片
发现用的是wps图片
1 | WPS图片 |
8
1 | 记录计算机Foxmail软件的安装时间 |
1 | 2020-07-27 12:56:47 |
9
1 | 记录计算机于2020年7月29日最后一次运行navicat时间 |
1 | 2020-07-29 16:31:22 |
10
1 | 嫌疑人曾用远程工具连接过__台服务器 |
1 | 4 |
11
1 | 查找计算机中有关手机应用的痕迹,记录APP文件所在路径,无需输入盘符(例:/Program/apk/999.jpg) |
全局搜索apk,
1 | /Users/hello/Downloads/2020001.apk |
12
1 | 查找嫌疑人电脑上网站源码最可能的来源 |
c邮箱获得
13
1 | 接上题,通过对源码分析,判断源码中有关数据库连接信息配置文件名为 |
直接翻源码找就完了
1 | config.db.php |
14
1 | 记录手机自动连接过的WIFI名称 |
可以找到所有连接的wifi但是无法识别哪个是自动连接的,倒是可以逐个尝试
但火眼可以显示是否自动连接
应该为Xiaomi_6294_5G
15
1 | 分析手机数据,请判断微博发送的验证码的短信是否已读,若已读,请写出读取时间 |
这个时间直接交上不对,猜测这个是发送的时间,而不是读的时间,参考了其他佬的wp,需要读取sms.db文件
手机大师功能不完善没法直接读sms.db文件,所以要去搜一下
找到了一个讲哪个是sms.db文件的按图索骥,找到用SQLite浏览器打开
在message表中找到,翻找读的时间戳
18位时间戳,转为时间
18位时间戳转换方法:取前9位的数值,数值+978307200,得到一个常见的9位时间戳,使用工具转换成正常时间即可
2020-07-28 15:14:29
16
1 | 接上题,分析微博账号加入群(戏精学院~武汉基友)的时间 |
手机大师无法看到加入的时间,但是那个群里有消息,可以通过这个去查加入的时间,只能去找文件,去网上搜索了一下,把整个sqlite文件打开查找,
一个个打开查看,左边的fileid就是文件名,打开
查看t_group表
找到join-time1525101360
转换时间戳
1 | 2018-04-30 23:16:00 |
17
1 | 选择手机数据当中,与百度相关的应用名 |
手机大师只识别出了两个,一个手机百度,一共百度网盘,但是看了wp后发现还有一个百度地图没有识别出来,同样的在Manifest.db
中可以找到
得知有百度地图所以选ABC
18
1 | 统计计算机中,5、6月份工资表发放总额为多少元 |
回收站有文件,但打开需要密码,需要寻找密码,手机取证再备忘录里找到文档密码
hellonihao123
六月:
63100
五月:
43380
106480
19
1 | 嫌疑人曾经登录过某分发网站,查找登录的用户名和密码(格式:用户名-密码) |
取证大师中无法看到登陆的秘密码,只能看到用户名,我翻了db文件也没找到,pwd的value很奇怪,但是火眼好像可以直接看到,但所幸手机取证中qq浏览器的cookie中存储了,
8@qq.com-admin123456
20
1 | 提取计算机中名称为“1.jfif”图片中的隐藏文件,并获取第一行内容 |
取证大师,导出1.jfif
binwalk -e 提取,反现提取的有点过,遂把zip文件改为docx
一、贷款销售开场白话术
21
1 | 找出计算机中WPS的下载网址 |
https://pacakge.cache.wpscdn.cn/wps/download/W.P.S.982801.12012.2019.exe
22
1 | 嫌疑人最可能使用哪两个工具登录访问暗网 |
额,竟然是常识性问题()
BD
23
1 | 暗网登录地址账号密码(格式:地址-账号-密码) |
找到tor 浏览器位置,有个web文件
导出,看一下,貌似是个word文件
http://c2p3hg35jalss7b2a6hkmhzflgevkonqt7g6jze62ro2g4h4wmzwobid.onion-e268443e4-76a2173be
24
1 | 查找嫌疑人电脑上存有的分发账号,里面的账号共有多少条 |
14
25
1 | 计算机中是否存在加密容器,其形式为 |
C
26
1 | 接上题,尝试运行容器加密文件,获得加密文件包含的文件名(如有多个文件,使用 - 连接) |
找到两个疑似被加密容器加密的文件,但明显是它识别错了,但是可以看。跳到原文件看看,导出看看。
挂载
?我挂载不了?什么鬼
服务器取证
27
1 | root用户最初使用192.168.197.1登录系统的时间? |
e进入单用户模式
上边还需要修改LANG=en_CN和ro为rw
修改后重启登录root(点未列出)
然后我查了。/var/log/secure竟然显示19但是取证大师(可能是有误差)
2020-08-31 10:19:20
28
1 | 记录服务器根目录文件系统格式 |
df -T / 查看
29
1 | 记录ssh远程登录端口 |
13434
30
1 | 查看并记录管理面板的安全入口8位字符 |
1 | 68c6da24 |
31
1 | 数据库用户名为fafafa的密码为 |
可以bt 5修改宝塔linux的秘密
登录宝塔
1 | pMP3zhGXyBXf6wBd |
32
1 | 服务器存在一个分发网站,它是由什么网站框架搭建的 |
A
33
1 | 请列出系统中部署的网站路径。 |
1 | /www/wwwroot/fafafa.online |
34
1 | 记录服务器分发网站域名 |
1 | fafafa.online |
35
1 | 访问分发网站,网站首页界面的背景颜色为: |
访问一个网站,域名和面板地址的相同
黄色
36
1 | 目前网站共注册个__用户人数以及用户共上传__个APP(使用 - 连接) |
sudo systemctl stop firewalld.service 关闭centos7防火墙
mysql连接数据库
主机和bt default所给内网面板地址相同,密码与面板密码相同,ssh端口在宝塔面板中有
4个应用
5个用户
5-4
37
1 | 若上传一非法文件至分发网站,网站默认会把文件存放在什么位置 |
admin.php中看到关于upload的,进去文件夹看看
可以看到是存在了,$tmp所指的目录中
1 | /www/wwwroot/fafafa.online/data/tmp/ |
38
1 | 嫌疑人可能利用什么软件(脚本、程序)对后台数据库数据进行了备份,其名称是什么 |
crontab -l查看定时任务,根据名称判断
为backupdb.sh
39
1 | 服务器中存在远程控制软件,软件名称是__及其版本号是__ (使用 - 连接) |
有一个细节,就是刚启动服务器的时候,会弹出来一个 teamviewer 的窗口,这个就是远控软件。
teamviewer info
查看版本号
1 | teamviewer-12.0.258841 |
40
1 | 服务器目前安装的容器版本是__使用的容器ID为__ (使用 - 连接) |
docker -v
查看容器版本
systemctl start docker
开启docker
docker ps -a
查看容器id
1.13.1-1fc110c6b336
41
1 | 提取fafafa.txt文件,前内容前6字符为 |
1 | adbcef |
42
1 | 服务器使用的容器映射出来的端口号为 |
docker start 1fc110c6b336
docker ps -a
3310
流量分析
43
1 | 分析检材1,黑客的IP地址是 |
大致看一下流量包,发现有个ip读取了/etc/passwd,很明显就是黑客,当然还上传了一句话木马
1 | 192.168.94.59 |
44
1 | 分析检材1,黑客登录web后台使用的账号是 |
筛选对应的ip查找有关登录的api,发现
admin
45
1 | 分析检材1,黑客登录web后台使用的密码是 |
同上
1 | admin!@#pass123 |
46
1 | 分析检材1,网站账号“人事”所对应的登录密码是 |
筛选登录的流量
1 | _ws.col.info == "POST /admin/login.php?rec=login HTTP/1.1 (application/x-www-form-urlencoded)" |
hr134679
47
1 | 分析检材1.黑客上传的webshell文件名是 |
由43可知
1 | a.php |
48
1 | 分析检材1,数据库所在的内网地址为 |
筛选服务器对黑客IP的回应_ws.col.info == "HTTP/1.1 200 OK (text/html)"
得到
从后翻一下,看看这种比较大的
1 | 10.3.3.101 |
49
1 | 分析检材1,黑客找到的数据库密码是多少 |
e667jUPvJjXHvEUv
50
1 | 分析检材2,数据库的版本号为 |
打开,发现版本号
1 | 5.5.49 |
51
1 | 分析检材2,“dou_config”表中,“name”字段值是“tel的行中,“value”值是 |
直接Ctrl+F搜索,选择字节分组流,字符串,直接可以找到value值
1 | 0659-8686868 |
52
1 | 分析检材2,黑客获取了数据库中保存的邮箱账号和密码,其中sool@test.com的密码是 |
全局搜索sool@test.com
逐个查看
最终在920中找到hash值
1 | qaz123!@# |
完结