2023年第三届全国刑事技术技能大赛取证
一、手机题目
1.[填空题] 根据安卓手机镜像分析,手机序列号的后六位是什么:[答案格式:123456](1.5分)
Manifest.mfa(很不喜欢pgs做的镜像)
或者/Basic/Adlockdown.json
结果为033105
2.[填空题] 根据安卓手机镜像分析,受害人是被哪个微信诈骗的,写出微信的微信号后六位:[答案格式:801234] (1.5分)
微信数据库解密,md5(IMEI+uin)[:7],现在的手机一般不给IMEI的,默认是1234567890ABCDEF,EnMicroMsg.db解密就行
结果为860175
3.[填空题] 根据安卓手机镜像分析,嫌疑人宣传的诈骗话术的5W的收益是多少:[答案格式:500元](1.5分)
跳过来看全文
结果为800
4.[填空题] 根据安卓手机镜像分析,投资APP的下载二维码解析后的提取码是多少:[答案格式abc123](1.5分)
一步一步来滴
然后去ImageInfo2查原图
结果为fex4
5.[填空题] 根据安卓手机镜像分析,嫌疑人最后使用投资APP的时间是:[答案格式:2023/10/10](1.5分)
还就是那个/Basic/system/system.dat
结果为2023/11/08
6.[填空题] 根据安卓手机镜像分析,投资APP的加固方式是(不需要加符号):[答案格式:腾讯加固](1.5分)
结果为360加固
7.[填空题] 根据安卓手机镜像分析,投资APP的打包ID(打包调证值)前六位是什么:[答案格式:Q12312](1.5分)
blackdex脱壳
结果为A61680
8.[填空题] 根据安卓手机镜像分析,投资APP的签名序列号是什么:[答案格式:123ab2de](1.5分)
结果为555f7cbe
9.[填空题] 根据安卓手机镜像分析,嫌疑人使用向日葵的日期是:[答案格式:2021/01/01](1.5分)
向日葵目录去找数据库com_oray_sunlogin_fastcode.db
结果为2022/04/07
10.[填空题 根据安卓手机镜像分析,发现嫌疑人团队使用名为火箭的小众聊天工具,疑以被隐藏或者卸载,请写出这个APP的包名:答案格式tencent,message chad (1.5分)
数据库里有一些聊天记录
结果为chat.rocket.android
11.[填空题] 根据安卓手机镜像分析,发现嫌疑人用于存储加密规则笔记里存储了几条加密规则:(答案格式:1](1.5分)
装了个笔记
找数据库som_note.db
结果为2
12.[填空] 根据安卓手机镜像分析,发现笔记工具记录了压缩包加密的规则,压缩包密码是几位:(答案格式:1](1.5分)
结果为4
13.[填空题] 根据安卓手机镜像分析,发现嫌疑人使用了一个文件保险箱(疑似伪装成了一个常用工具) ,它最后的使用日期是(答案格式:2021/11/01 1(1.5分)
不是,哥们
包名都fake了
没记录上次使用时间,但看一下数据库修改时间啥的,都是同一天
结果为2023/11/01
14.[填空题] 根据安卓手机镜像分析,嫌疑人使用文件保险箱隐藏压缩包存储路径是(答案格式/abcd/abcd/abcd/abcd/abcd] (1.5分)
贴心的给了注释,但是文件居然不加密?
结果为/storage/emulated/0/.privacy_safe/other
15.填空题] 根据安卓手机镜像分析,根据文件保险箱隐藏的文件分析,"段云”的身份证账号后六位是多少:答案格:(根据实际身份证号“X大写) 11111X)(2分)
图片,之前已经说过了加密规则,对图片进行分离即可,爆破密码
打开表格什么都没有
解压出来
结果为15590X
16.[填空题] 根据安卓手机像分析,嫌疑人通过文件保险箱隐藏了一份工资表“陈思羽”22年12月的工资是多少:[答案格式:10000] (2分)
7z解压出来是2G的文件,之前规则说了在中间,分离出一个表格
结果为69987
17.[填空题] 根据苹果手机镜像分析,苹果手机的系统版本是是:[答案格式:16.6] (1.5分)
LockDown.plist
结果为14.8
18.[填空题] 根据苹果手机像分析,嫌疑人2021/03/18 17:32:32导航搜索过哪里,关键字是:[答案格式:合川路-地铁站)(1.5分)
Application.plist可以查看软件的数据目录,装了好多地图软件,眼找瞎了/private/var/mobile/Containers/Data/Application/54403C01-09A3-41E4-ACB8-574AB394D458/Documents/his_record.sdb,右边二进制有时间戳
结果为长寿路-地铁站
19.[填空题]根据苹果手机镜像分析,嫌疑人购买的相关公民隐私信息,对方给出的收款地址的后六位是,答案格式;abc1231(1.5分)
tg数据库内容是加密的,求助火眼
结果为0xc1b5dab734b3c6040ecf5138be8e2206c7627281
20.[填空题] 根据苹果手机镜像分析,嫌疑人购买了相关公民隐私信息,源码下载的提取码是:[答案格式:a8g5](1.5分)
结果为pypr
21.[填空题]根据苹果手机镜像分析,嫌疑人团队使用了小众聊天,小众聊天最后-次换服务地址的时间(北京时间)是(答案格式:2022/1/11 02:12:1](1.5分)
找到目录下的default.db
结果为2023-11-02 09:52:01
22.[填空题] 根据苹果手机镜像分析,嫌疑人团队使用了小众聊天,小众聊天的服务器地址是:(答案格式:https://baidu.com] (1.5分)
结果为https://4eb6-58-246-12-194.ngrok-free.app
23.[填空题] 根据苹果手机镜像分析,嫌疑人团队在小众聊天中最后一个受害人的账号是多少答案格式:123456789 @qq.com](1.5分)
找到目录下与服务器同名的数据库,messages表
结果为1723696192@qq.com
24.[填空题] 根据苹果手机镜像分析,紧跟上题,聊天室的名字是:[答案格式;abc](1.5分)
注意到roles这里有值
并且没有uid和username
结果为siuou
25.[单选题] 根据苹果手机镜像分析,紧跟上题,洪雅琪属于哪个角色 (1.5分)
结果为财务
二、计算机题目
26.[填空题] 根据嫌疑人交代其记不得开机密码,但是其将密码记录在便笺(jian)中,请找到计算机的开机密码(答案格式;abcd123](1.5分)
老客户
结果为xxyc1528279
27.[填空题] 该计算的最常用用户名为[答案格式:abcd123] (1.5分)
结果为xxyc446
28.[填空题] 该计算机中记录的王总手机号为[答案格式:13800000000] (1.5分) 17756978325
便笺还有其他数据,解一下base64,有两行需要连起来
结果为17756978325
29.[填空题] 该计算机管理水星路由器使用的密码为[答案格式:abcd123](1.5分)
管理路由器那肯定是web端咯,浏览器看
结果位admin4898
30.[填空题] 该计算机远控受害人设备时,嫌疑人计算机的归属地公网IP为[答案格式:127.0.0.1](1.5分)
结果位1.202.198.194
31.填空题 根据嫌疑人交代,其木马程序具备远程上传桌面截图至后台服务器的功能,请分析嫌疑人使用Xshell远程维护“云备份服务器1” 连接的IP地址为(答案格式: 127.0.0.1)(1.5分)
搞了efs加密
结果为47.122.3.152
32.[填空题] 该计算机中,嫌疑人于2023年10月19日发送的钓鱼邮件的收件人为[答案格式:123456789@qq.com] (1.5分)
仿真看,foxmail本地邮件是加密的
结果为877805424@qq.com
33.[填空题]请使用计算机文档目录中的“密钥文件加载名为"重要资料”的VC容器,疑人交代其在容内保的"密码本.rar”为6为纯数字密码,请问该密码为?答案格式123](1.5分)
文档目录下有这些
这就是xways
重要资料在其他盘
以密钥文件的形式加载文档目录下的密钥,然后6位纯数字爆破一下
拿到BitLocker的恢复密钥和qq密码
结果为362547
34.[填空题] 请修复文件“桌面4”,其截图中记录的QQ号码为[答案格式:123](1.5分)
图片在容器里
文件头不对
看一下文件尾确定是jpg
直接改
结果为2707817351
35.[填空题] 该计算机中桌面截图文件记录了“李四”上半年薪资为多少元[答案格式:123](1.5分)
桌面5明显被改了高度
加高一点看到订单金额26万
桌面3文件比其他的都大,看了一下其实是两张
结果为7000
36.[单选题] 该计算机中C盘根目录下存在一个虚拟磁盘文件,请问该虚拟磁盘的容量为(1.5分)
一眼顶针
结果为100MB
37.[填空题] 该计算机中存在一个名为“qq账号”的文件,请问该文件记录的QQ号为[答案格式:123](1.5分)
先挂载起来
出来一个Bitlocker
结果为4331862542
38.填空题]该计算机删除过一个名为“转账金额”的文件,请问该文件中记录的转账金额7月份对应的数值是多少答案格式:123](1.5分)
结果为480000
39.[填空题]通过分析计算机内存像文件,分析在内存镜像制作时的计算机中,PID为5076的进程名为[答案格式:Abcd.abc](1.5分)
用vol3会快很多
结果为WeChat.exe
*40.[填空题] 通过分析计算机内存镜像文件,该计算机登录的微信绑定手机号为[(答案格式: 13800000000] (1.5分)
没找到,或许就是前面便笺里的自用手机号??
结果为13366662222
41.[填空题] 通过内存康分听续取该计算机微信数据库密钥为6d4e1c7d702c4c64856f26a9e405935aef1e8a9ccf104eae8105519191d78199,对微信应用进行解折,疑所便用的微信的好友名为“十点半”的微信ID为[答案格式:abc*123](1.5分)
给了密钥就用火眼解了,取证大师扫密钥比较慢
结果为wxid_dxdihu3109jn11
42.[填空题] 请分析,嫌疑人所使用的收款账户的电话号码为[答案格式: 021-12345678](1.5分)
聊天记录
结果为010-88886666
43.[填空题] 该计算机微信聊天记录中涉及到的转账金额为多少万元[答案格式:123] (1.5分)
结果为400
44.[填空题] 该计算机中存在一个名为“钓鱼程序”的文件夹,对其中的“发票明细.exe”程序行为进行分析,列出被远程注入的进程数量为[答案格式:123] (1.5分)
结果为1
45.[填空题]该计算机中存在一个名为“钓鱼程序”的文件夹,对其中的"发票明细.exe”程序行为进行分析,该木马存在POST上传行为,请找出URL资源请求路径为(相对路径)? 答案格式:127.0.0.1/1.txt](2分)
有请求的函数啥都好说,抓包也行
结果为222.2.2.24/upload_data
三、服务器题目
46.[填空题] 服务器镜像1中mysql是否存在于开机启动项中?[答题格式: 是/](1.5分)
3为开表示自启动
结果为是
47.[填空题] 服务器镜像1中宝塔面板的绑定端口为?[答题格式: 123] (1.5分)
结果为8887
48.[填空题] 服务器镜像1中网站“京东金融”在Nginx配置中的域名为?[答题格式: abc(1.5分)
结果为jdjinrong.xyz
49.填空 分析服务器镜像1中网站"京东金融”源码后台登录密码加密逻辑,如果管理员用户名为test明文密码为abc123456,则经过加密后得到的密文为? 答题格式: abc1231 1.5分
/www/wwwroot/jiedai/App/Action/Admin/IndexAction.class.php,看到登录代码,解base64
$this->title="login system";
if(IS_POST){
$_validate = array(
array('username','require','username is null!'),
array('password','require','password is null!'),
);
$Admin = D("admin");
$Admin-> setProperty("_validate",$validate);
$result = $Admin->create();
if(!$result){
$this->error($Admin->getError());
}
$username = I('username','','trim');
$password = I('password','','trim');
$password = $this->getpass($password,$username);
$tmp = $Admin->where(array('username' => $username,'password' => $password))
->find();
if($tmp){
if($tmp['allow']!==$_SERVER['REMOTE_ADDR']){
$this->error('Login IP exception!');
}
if($tmp['status']){
//写入登录记录
$Admin_login = D("admin_login");
$Admin_login->add(array(
'username' => $username,
'logintime' => time(),
'loginip' => get_client_ip()
));
//更新最近登录时间
$this->setlogin($username);
$Admin->where(array('username' => $username))
->save(array('lastlogin' => time() ));
$this->success('Login successful!',U(GROUP_NAME.'/Main/index'));
}else{
$this->error('you dont have permission!');
}
}else{
$this->error('Incorrect username or password!!');
}
exit;
}
$this->display();
密码生成时这行代码$this->getpass($password,$username);,这个类继承了CommonAction
去config.db.php里找配置
密码生成方式是md5(md5(sdaswdx1233z)+md5(abc123456)+test),最后得到01cf1ab6a622d19427e8a95a21454ee7
结果为01cf1ab6a622d19427e8a95a21454ee7
50.[填空题] 服务器镜像1中网站“京东金融”管理员admin的后台明文密码为?[答题格式: abc123](1.5分)
翻日志
根据密码生成算法,验证通过
结果为ptp6033499
51.[填空题] 服务器镜像1中网站“京东金融”后台首页记录的base版本为?[答题格式: 123(1.5分)
登录的时候会提示ip不允许,数据库改掉就行,后台地址那么简单,应该不会有不知道的吧
结果为3.1.3
52.[空题] 服务器镜像1中网站“京东金融”用户“17773716944”的身份证为?[答题格式: 230121199001011111](1.5分)
userinfo表
结果为430921200010044515
53.[填空题] 服务器镜像2的磁盘阵列的块顺序为?[答题格式: 右同步](1.5分)
rstudio自动检测
结果为左异步
54.[填空题] 结合服务器镜像1和像2,网站“渣打集团”使用的数据库类型是?[答题格式: abc](1.5分)
结果为mysql
55.[填空题]结合服务器镜像1和镜像2,网站"渣打集团”前台存在校验域名跳转机制,可正常访问的域名为?[答题格式: WWw.baidu.com](1.5分)
添加域名,访问之后发现跳转百度
结果为www.zhada.com
56.[填空题) 结合服务镜像1和像2,网站“渣打团”数据库wp userinfo”表中“ustatus”字为“1”表示?[答题格式: 正常/冻结)(1.5分)
ufs重组raid,然后给raid做个镜像再仿真,用它给的连接配置就可以登录,数据库是docker
结果为冻结
57.[填空题] 结合服务器镜像1和镜像2,网站“渣打集团”后台中配置的USDT充值地址为?[答题格式: ABcd123](1.5分)
配置个host,宝塔记得添加这个域名
看下密码md5(password+utime)
一切都是那么刚刚好
结果为0x35A34376411cFe6405F3D5314649aa1D5ED5a68B
58.[填空题]结合服务像1和像2,网站“渣打集团”后台页面客户列表中记录的用户编号为2829的身份为? 答题格式:技能大赛](1.5分)
结果为代理商
59.[填空题] 结合服务器镜像1和像2,网站“渣打集团”用户“陈浩”在平台中“买涨”的总委托金额为?(答题格式: 123](2分)
结果为63240
60.[填空题]结合服务器镜像1和像2,网站“渣打集团”嫌疑人删除用户“叶烽”的时间为?[2009/09/09 20:20:20] (2分)
binlog日志,容器中mysqlbinlog --base64-output=decode-rows -v mysql-bin.000001
结果为2023/11/01 03:46:28
四、物联网
61.[填空题] 该监控设备是什么品牌的?[参考格式: 视频](1.5分)
找个视频看一下
结果为小米
62.[填空题] 通过对视频监控的镜像分析,在视频中的人通过手势比划出了一串4位数字,请问这串数字是多少?[参考格式:0000](1.5分)
一共俩视频,有一个视频的文件头被抹了,改回去即可
结果为1563
63.[填空题] 软路由系统的版本号为多少?[参考格式: 1.1.1](1.5分)
仿真咯
结果为3.7.6
64.[填空题] 系统WEB管理地址的端口号是多少? [参考格式: 80] (1.5分)
数据库config.db
结果为44414
65.[填空题] 绑定业务为“系统配置”的分区名是大小是多少M? [参考格式: 00](1.5分)
数据库里有账号和密码,这次是比较好的,两个哈希都能反查到明文,当然菜单里可以重置密码的
设置里改一下ip地址
结果为50MB
