2023年全国网络安全行业职业技能大赛决赛取证
任务 1:检材 1.rar 上的任务(14 分)
检材是一个手机备份,请通过技术手段提取以下信息。
1. 提取名称为“陈伦国”的联系人的手机号码,以此作为 flag 提交。(答案格式如:13012345678)(2 分)
小米的通讯录备份
结果为13800620796
2. 提取最早卸载的软件的包名称,以此作为 flag 提交。(答案格式如:com.abc.dd)(3分)
考了几次了
结果为com.jndsapp.info
3. 提取以“HUAWEI_”开头的 WIFI 连接的密码,以此作为 flag 提交。(答案格式如:abcd1234)(2 分)
结果为39F!F=qH
4. 提取嫌疑人预约的看牙医的时间,以此作为 flag 提交。(答案格式如:2020-01-01 (到日即可))(4 分)
注意文件时间,往上推,或者小米手机恢复备份试试
结果为2023-10-13
5. 提取爱聊应用中用户 id 以 4503 结尾的用户的昵称,以此作为 flag 提交。(答案格式如:nihao 上海 1234)(3 分)
查包名,一步步跟就好了
结果为后来的我们
任务 2:检材 2.rar 上的任务(16 分)
检材是一个电脑制作的镜像,请根据该镜像文件回答以下内容(以下答案都采用英文半角):
1. 提取本地网口 ens33 的 IP 地址,并以此作为 flag 提交。(答案格式:XX.XX.XX.XX)(1 分)
结果为172.16.120.113
2. 提取操作系统 root 用户的登录密码,并以此作为 flag 提交。(答案格式:abcd1234)(2 分)
结果为2023rootfinal
3. 数据库中存放了大量用户的信息,请找到该表,提取手机号码为“13604329317”的用户 的名称,并以此作为 flag 提交。(答案格式:写出名称)(2 分)
找到数据库
导出整个目录,直接连接
结果为董峰
4. 已知电脑中有一个抓包文件,请对该文件进行分析,给出流量包中可以获取的最大的图片的大小(单位字节),并以此作为 flag 提交。(答案格式: 12345)(3 分)
结果为217406
5. 请从抓包文件中找到“组织架构.zip”文件,计算其 MD5(128 位)值,以此作为 flag 提交。(答案格式:C4CA4238A0B923820DCC509A6F75849B,字母大写)(3 分)
结果为5AE00DA858568A790CBDE139C4AAA6E3
6. 请给出“高柳”的上线的上线的名称,并以此作为 flag 提交。(例如:赵二的上线是张三,张三的上线是李四,则赵二的上线的上线就是李四)(5 分)
password
字段的值作为字典
结果为王勇
任务 3:检材 3.rar 上的任务(14 分)
1. 对磁盘进行修复并加载成功后,计算磁盘的 MD5 值,并以此作为 flag 提交。(答案格式: 69271864341AA3B2C1E6F2DCA5E90666)(2 分)
有两个镜像损坏,对比可以看出来
LX两个镜像第0扇区被填0,第1扇区的前16字节被填0,都是不变的,填回去即可
取证大师加载后会识别动态磁盘
结果为F707D7645DE0D6AC7276F232689D7D1A
2. 对磁盘进行修复并加载成功后,磁盘共计有多少个扇区。(答案格式:1)(2 分)
结果为6082559
3. 给出磁盘中的数据库 root 用户最后一次修改密码的时间,并以此作为 flag 提交。(答 案格式:2022-12-12 12:01:11)(3 分)
导出连接
结果为2021-03-17 15:49:52
4. 磁盘中的数据库里有一张表记录了发布的通知,给出最后一次通知创建的时间,并以此 作为 flag 提交。(答案格式:2022-12-12 12:01:11)(3 分)
结果为2017-09-13 14:49:44
*5. 磁盘中的数据库里有一张表记录了管理员账号,给出这张表里记录的密码的密文,并以 此作为 flag 提交。(4 分)
admin_account是空的,不知道怎么恢复,idb文件基本是空的,其他几个表不像是管理员表
任务 4:检材 4.rar 上的任务(16 分)
1. 对虚拟机进行分析,并找出其中“李真宝”的身份证号,并以此作为 flag 提交。(2 分)
BitLocker中,密钥在c盘public用户的图片文件夹里
结果为51111119410922966X
2. 对虚拟机进行分析,并找出其中“黄季恬”的身份证号,并以此作为 flag 提交。(2 分)
有个容器
ftk目录下有个压缩包
扫描一下丢失文件,还能看到一个同名txt,打开是解压密码
解压完是一个内存镜像,clipboard拿到容器密码
结果为131121195402215888
3. 对虚拟机进行分析,并找出其中“王达离”的手机号,并以此作为 flag 提交。(3 分)
扫描丢失分区,然后对这个分区数据恢复,然后在致家长的一封信.doc
中找到
结果为15001888577
4. 对虚拟机进行分析,并找出其中“陈右绮”的手机号,并以此作为 flag 提交。(4 分)
dg恢复
拖入010,crc校验出错,显然可能宽高不对,给够高度
结果为15806897653
5. 对虚拟机进行分析,并找出其中“杜春玟”的手机号,并以此作为 flag 提交。(5 分)
显然第二个镜像是steg隐写
得到3个文件,压缩包需要密码
edpr爆破出了,看这个口令应该是rockyou可以出
结果为15382469711
任务5:检材5.rar 上的任务(17 分)
获取了一个服务器镜像,服务器镜像中包含了1 个集群和网站服务,请通过技术手段进行
分析。
1.提取系统中容器名称为namenode 节点的容器ID,并以此作为flag 提交。(答案格式如:取前12 位即可,12345678abcd) (2 分)
docker ps -a
结果为99131b4891b0
2.获取集群中的名称为“tom-xiao”的用户的card-id,并以此作为flag 提交。(答案格式如:110123456789023456)(2 分)
虚拟机配置了静态ip,要注意网卡配置的修改
如果启动失败,遇到如下报错
修改selinux
(/etc/selinux/config
)的规则为permissive
并重启
启动成功
注意到hbase集群,在网上查查资料,找到目录
需要先启动hadoop
,进到目录/usr/local/hadoop-2.5.2/sbin
,然后sh start-all.sh
,不过启动容器后这个应该是自动启动的,不放心可以先停止再启动
进入hbase的目录启动服务sh start-hbase.sh
然后进入shell
list
查看表,scan
获取表的所有数据,注意表明需要被引号包裹
得到card-id
结果为130109198001019201
3.数据库的备份数据以扩展名为zip 的文件存储在系统中,找到该zip 文件计算其MD5(128 位)校验值,并以此作为flag 提交。(答案格式如:C4CA4238A0B923820DCC509A6F75849B,字母大写)(3 分)
直接搜索,然后算
结果为164BDFC3E35173FF312270FA2BD5A7F6
4.找到网站连接数据库的密码,并以此作为flag 提交。(答案格式如:123456abcdef)(3 分)
找到网站目录,然后简单跟一下就有了
解base64
结果为@d*E5x^N
5.给出数据库中存储网站的后台管理员的数据表的名称,并以此作为flag 提交。(答案格式如:abctable)(3 分)
压缩包的magic被抹去,需要补回来504b0304
正常绕过mysql的登录密码后,切换到网站的数据库sanfangpay
中,然后source pay.sql
直接执行文件
打开日志监控
netstat -tunpl
看一下服务,找到web端口
火狐里有浏览记录,直达管理后台,端口改一下即可
随便登录一下,抓到日志
结果为pay_sjtadminsjt
6.给出编号为10100 的商户的资金交易变动后,最终的金额,并以此作为flag 提交(答案格式如:100.100)(4 分)
查一下密码
登录上直接看
结果为52.400
任务 6:检材 6.rar 上的任务(23 分)
1. 请分析手机模拟器中的即时通讯 APP,计算该 APK 的 MD5,并以此作为 flag 提交。(答案格式:69271864341AA3B2C1E6F2DCA5E90666)(2 分)
结果为891ABE5A8D00B23765D0CAF56D2ECCA6
2. 给出该 APP 后台服务器的域名,并以此作为 flag 提交。(答案格式:仅包含域名)(2 分)
外部加载的壳,运行时载入,data目录下存在dex
结果为xingchenim.cn
3. 给出该 APP 当前账号加密聊天记录数据库时使用的密钥,并以此作为 flag 提交。(4 分)
当时没存笔记再战野火IM - WXjzc - 博客园,存笔记的话直接秒了
结果为e6ecb900-aa41-439c-9de8-2503e00e308e
4. 给出该 APP 中与“谭永”聊天最后一条消息的时间,并以此作为 flag 提交。(答案格式: 2022-02-02 11:11:11)(3 分)
结果为2022-08-02 03:54:25
5. 给出该 APP 中用户发给“谭永”的压缩包文件的 MD5,并以此作为 flag 提交。(3 分)
坑点,xways读取sdcard的时候不正常,目录结构和data一样,用取证大师加载可以找到info.rar
结果为8BA084496CD8A7BB360D0B585472BE94
6. 对上述 APP 进行分析,找出“吴延凡”的身份证号,并以此作为 flag 提交。(4 分)
解压出来是个样本.img
,有数据
结果为54012219070114068X
*7. 已知上述压缩包中的文件中包含了银行卡余额信息,请分析该压缩包,并按照省份进行统计,余额最多的省份共计余额有多少,并以此作为 flag 提交。(5 分)
解压出来的文件有1个G,但是后面都是0,会不会是环境出问题了?