2021年健清杯电子数据取证比赛复盘完整版(wp)_健清

2021年健清杯电子数据取证比赛复盘完整版(wp)

来源:健清

  2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。经询问,昨日金某被嫌疑人诱导裸聊,下载了某“

2021年健清杯电子数据取证比赛复盘完整版(wp)
2021年健清杯电子数据取证比赛复盘完整版(wp)

  2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警。警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包—zhibo.apk(检材一)。请对检材一进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。

  (题目 中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例: 192.168.100.100-CAB2021)

  检查哈希值

  本次题目采用VeraCrypt加密容器发放,用VeraCrypt将检材解密,然后挂载,然后我们就得到了一个apk文件和一个检材二的压缩包。

  容器密码:

  该文件的哈希校验值(MD5)如下:

  注意事项:

  解密密码会在比赛前15分钟发放,请使用VC程序加载容器文件,并使用解密密码进行解密;

  题目中需要通过分析出来的答案对检材二、三、四、五解密,检材二需要直接使用答案解压,检材三、四、五通过VC发放,解密密码为IP,需要在密码后增加一段盐值,该值会在比赛时题目里面有说明,请大家注意,例:192.168.100.100-salt。

  使用windows自带的计算工具

  

  使用GAD分析,得到

  

  唯一标识appid 是对apk的打包工具的记录 可以去调取注册打包工具人的详细信息

  可以使用雷电APP智能分析,直接得到,也可以了用jadx工具分析得到assets/data/dcloud_control.xml

  

  

  将该apk安装至模拟器,点击发现出现 “内涵一点”,直接用jadx搜索

  

  

  进入该html发现一段代码,使用sojson.v4加密,解密

  

  解密得到

  抓包得到POST

  

  见上

  见5题sojson.v4解密

  在代码60行左右能看到发送通讯录的代码

  使用雷电APP分析的Frida脚本里的SQLite数据库,即可得到数据库名为

  同上题,也可得到初始密码为:

  

  用第7题的答案解压缩检材二

  将检材二使用火眼仿真软件仿真出来

  

  

  进入之后 尝试history,发现命令比较少,使用下面的命令 转到root用户下,发现较多的history 可以使用重定向 将其导出

  

  根据检材背景资料1得知,报案人是在21年4月25日报警的,所以查看4月25日之前登陆的IP,使用last命令看到ip是

  

  80

  

  在history中,也可以查看readme

  

  3

  

  cat ADProxy.js

  

  

  

  

  下面挂载检材三:

  用21题的答案加上盐值-CAB2021,也就是

  

  有三个web服务器,但只有其中一个有额外信息,也就是web3,因为他是IP地址大于100的,也就是本次诈骗所用的IP,在里面我们能找到更多的信息。火眼仿真和火眼取证一起上。

  

  输入bt 发现有宝塔面板

  

  在第四部分使用火眼分析

  链接宝塔时需要将本地虚拟机 虚拟网络编辑器 调整至110网段,并关掉DHCP,也可以链接finalshells

  

  连接finalshell,修改密码

  

  登陆成功

  

  宝塔面板重置网站密码功能调用的是tools.py

  (由老版本宝塔充值密码命令可知:cd /www/server/panel && python tools.py panel testpasswd)

  分析tools.py

  

  在tools.py中使用vi搜索功能 /set 按n键进行跳转,找到函数

  

  3次,(初始一次MD5,后来又有两次MD5拼接)

  

  cd /www/server/panel/data

  发现default.db文件,将其下载,使用navicat打开,发现salt值

  

  

  

  参考网站

  用第30题答案去vc加载检材5,加载密码:

  加载完成之后将其使用FTK挂载,可读可写

  

  然后进行RAID重组

  创建块虚拟RAID和自动检测——将刚挂载的盘符拖动至父,然后自动检测

  

  

  点击创建镜像,逐字节镜像,生成虚拟块 RAID 2.dsk

  

  使用火眼睛仿真对其进行仿真

  

  这时候访问,之前访问本地访问这个界面 因为没有连接数据库所以这里看不到界面

  

  将其源码拖出来审计一下 找到其定义密码的函数找到其salt值

  

  在下面日志文件中可以找到

  

  三次

  

  如果找不到密码 可以连接数据库,重置密码,将12345加密成MD5替换

  连接时,发现空用户导致连接数据库无法连接

  

  第一种方法:

  

  

  第二种方法,直接可以使用mysql的SSH连接,使用ssh的账号和密码连接

  

  登陆成功

  

  6002

  这里要注意时区 检材二也就是负载均衡服务器是utc时区,检材二中的日志记录情况 在2021.4.24 6:37(utc时间)左右上传了通讯录 其对应的utc+8时间应为 当日14:37左右手机型号也能对上 由此可以得到受害者手机号码

  

  

  通过对检材二和三进行分析,警方通过IP落地,警方掌成功抓获犯罪嫌疑人,现将嫌疑人的PC机和手机进行了取证,分别制 作了镜像,请使用第13题的答案对检材四进行解密,并回答下列问题

  

  使用取证大师分析

  

  使用密钥串进行解密

  

  然后点击上方自动取证,重新使用取证大师进行取证

  MD5解密

  

  

  或者将恢复密钥填进火眼仿真中,即可自动获取PC的开机密码

  

  

  找到该文件,点击上面工具 哈希计算

  

  

  使用火眼证据分析软件分析手机镜像

  

  

  

  

  

  导出前面提到的“我的赚钱工具”,尝试使用12306进行解密压缩包,得到一个虚拟机镜像,用虚拟机打开,发现有开机密码,使用仿真软件加载(选择那个不带后缀0002的镜像),得到密码money

  

  寻找一番无果,发现有快照,还原快照

  

  点开我的电脑,点击快速访问,发现有一个叫 小白鼠 的文件,密钥文件为key.zip,之后用VeraCrypt进行解密

  

  计算小白鼠的SHA256得,也可以在取证大师中加载虚拟机文件

  

  

  容器加载完成

  

  打开郭先生的文件夹

  

  

  

  支付宝提醒助手里面

  

  伊对 金先生聊天记录里面

  

  微信聊天记录里面

  

  虚拟机压缩包里面

  

  数据库里面,找到我的账单 右键保存数据为1.jpg

  

本文由健清整理发布,转载请注明出自http://www.haijye.com/news/12649.shtml

上一篇:健清:“要做最后倒下的人”下一篇:2021年健清杯电子数据取证比赛复盘完整版(wp)

相关文章

图文资讯

机械五金行业新闻

友情链接: 健清 嘉欧 明中 尔吉 嘉欧 嘉欧 尔吉 尔吉 明中 嘉欧 0 嘉欧 越集 0 太基