2024盘古石晋级赛

服务器取证

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆]

结果为8065

2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆]

docker inspect 64，连接的是postgresql

结果为12.18

3.分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写][★★☆☆☆]

结果为mattermost_test

4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1][★★☆☆☆]

navicat走ssh隧道连接到数据库，账号密码，端口都是有的

结果为82

5.分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母][★★★☆☆]

一眼Bcrypt，替换即可

登上去可以改语言为中文

数据库中是在team表

结果为54d916mu6p858bbyz8f88rmbmc

6.分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字][★★★☆☆]

结果为2

7.分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写][★★★☆☆]

fileinfo中没有记录哈希值，那就直接下载计算

结果为f8adb03a25be0be1ce39955afc3937f7

8.分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字][★★★★☆]

结果为50

9.分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05][★★★☆☆]

密码爆破

结果为2024-04-25-07-33

10.分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆]

检测到宝塔，宝塔新版已经不支持32位，这里进行了密码解密操作，版本较新

结果为否

11.分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

宝塔计划任务里没有

直接看系统的，可以看到cron表达式为0 0 * * 0，每周一次

结果为1

12.分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

先用aes对数据库名进行加密，生成了一个密码，用该密码对备份文件进行des3加密

打印密码为IvPGP/8vfTLtzQfJTmQhYg==

解密成功openssl des3 -d -k IvPGP/8vfTLtzQfJTmQhYg== -in ./backup/2828.sql.gz -out ./1.sql.gz

但是由于实际加密的密码是aes生成的，所以我觉得答哪个都行

结果为IvPGP/8vfTLtzQfJTmQhYg==或mysecretpassword

13.分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

结果为威尼斯

14.分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆]

将恢复出的备份文件导入数据库

受害人支婉静

结果为2024-04-25 09:49:38

15.分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234][★★★☆☆]

找个账号登录

结果为100000

16.分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12][★★☆☆☆]

结果为35000

17.分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

定位一下时间

日志过滤一下

结果为/Home/User/tkpwdpost.html

18.分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php][★☆☆☆☆]

一句话木马，同样根据时间过滤

结果为tmpugklv.php

19.分析网站服务器检材，网站使用的数据库前缀是：[答案格式：test_][★☆☆☆☆]

结果为think_

20.分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]

结果为2335

手机取证

1.分析伏季雅的手机检材，手机的安卓ID是：[答案格式：小写字母和数字][★☆☆☆☆]

/data/system/users/0/settings_secure.xml，这个和pgs提取的deviceinfo不一样，我感觉还是以这个为准

结果为9e6c9838dafe7ba0

2.分析伏季雅的手机检材，手机型号是：[答案格式：HUAWEI-FL56T][★☆☆☆☆]

/Basic/deviceinfo.json，很多app都会获取手机型号并保存，其实很容易就可以找到

结果为SM-G996N

*3.分析伏季雅的手机检材，其和受害人视频通话的时间是：[答案格式：2024-01-01-04-05][★☆☆☆☆]

QQ还不会解密

结果为2024-04-24-20-46

4.分析伏季雅的手机检材，手机中安装了一款记账APP，该记账APP存储记账信息的数据库名称是：[答案格式：abcabc，区分大小写][★☆☆☆☆]

/Basic/appinfo/appinfo.db有提取好的应用列表，找到安装目录/data/app/~~akrBLIe0ld69axOMk2LU3Q==/com.bookmark.money--0EFSy2wOCjMfqMZWekGBQ==/base.apk和包名

结果为MoneyLoverS2

5.接上题，该记账APP登录的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

结果为carleenloydlyis40@gmail.com

6.接上题，该记账APP中记录的所有收入金额合计是：[答案格式：1234][★★★☆☆]

select sum(amount) from transactions where cat_id in (select cat_id from categories where cat_type=1)

结果为279002

7.接上题，分析该记账APP中的消费记录，统计从2022-3-1（含）到2023-12-1（含）期间，用于交通的支出费用合计是：[答案格式：1234][★★★☆☆]

select sum(amount) from transactions where cat_id in (select cat_id from categories where cat_name='交通') and created_date >= '2022-03-01' and created_date <= '2023-12-01'

结果为6042

8.分析毛雪柳的手机检材，手机中有一个记账APP，该APP的应用名称是：[答案格式：Telegram，区分大小写][★☆☆☆☆]

结果为iCost

9.分析义言的手机检材，手机中登录的谷歌邮箱账号是：[答案格式：abc@gmail.com][★★☆☆☆]

直接看gmail邮箱

结果为a2238346317@gmail.com

10.分析义言的手机检材，手机的MTP序列号是：[答案格式：大写字母和数字][★★☆☆☆]

/Basic/Adlockdown.json

结果为FA6A80312283

11.分析义言的手机检材，除系统自带的浏览器外，手机中安装了一款第三方浏览器，该浏览器的应用名称是：[答案格式：百度浏览器][★★☆☆☆]

/Basic/appinfo/appinfo.db

结果为悟空浏览器

12.接上题，上述浏览器最后一次搜索的关键字是：[答案格式：百度][★★☆☆☆]

/data/data/com.cat.readall/databases/news_article.db

结果为ai写文章生成器

13.接上题，该浏览器最后一次收藏的网址是：[答案格式：https://baidu.com/acc/123412341234123/][★★★☆☆]

结果为https://toutiao.com/group/7355674494453727744/

14.分析义言的手机检材，其所购买的公民信息数据，该数据提供者的手机号码是：[答案格式：13012341234][★☆☆☆☆]

结果为13265159824

15.接上题，卖家的收款地址：[答案格式：小写字母和数字][★☆☆☆☆]

结果为bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

16.接上题，购买上述公民信息，义言一共支付了多少钱：[答案格式：0.000123BTC][★☆☆☆☆]

根据交易哈希查询，用欧易比较方便

结果为0.07364352BTC

17.接上题，该笔交易产生的手续费是多少：[答案格式：0.000123BTC][★★☆☆☆]

结果为0.00006105BTC

人工智能取证

1.分析义言的计算机检材，一共训练了多少个声音模型：[答案格式：123][★★☆☆☆]

其实你可以从后面的问题推出来

结果为4

2.分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材：[答案格式：123][★★☆☆☆]

345每个都是17

结果为17

3.分析义言的计算机检材，声音模型voice3，一共训练了多少轮：[答案格式：123][★★★☆☆]

看train.log

结果为8

4.分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是：[答案格式：1234][★★★★☆]

config.py

结果为9874

*5.分析义言的计算机检材，电脑中视频文件有几个被换过脸：[答案格式:10][★★★★★]

输出目录只有1个，但应该是由日志文件的吧？

看配置文件，上次还有保存目录（是否有其他容器或者密码没用弄到）

容器中的文件被加密，软件应该是BitLocker里的encrypt.exe，逆一下

然后用pycdc或者在线工具反编译z.pyc（pycdc重建逻辑会失败，pycdc反编译请查看pycdc不支持的字节码处理 - WXjzc - 博客园 (cnblogs.com)，建议用在线工具或者pycdas看指令）

# -*- coding: utf8 -*-
#! /usr/bin/env  3.8.0 (3413)
#coding=utf-8
#source path: z.py
#Compiled at: 1970-01-01 00:00:00
#Powered by BugScaner
#http://tools.bugscaner.com/
#如果觉得不错,请分享给你朋友使用吧!
import os
 
def xor_process(O0OOO0O0000O000O0, O0OOOOO0OOOO00000):
    try:
        with open(O0OOO0O0000O000O0, 'rb') as (O0000O0O0000O000O):
            O0O0OOO0OOO00OOOO = O0000O0O0000O000O.read()
        O00000O00OOOO0O00 = os.path.splitext(os.path.basename(O0OOO0O0000O000O0))[0]
        O0000O0OOO00OO000 = bytearray()
        for OOO0O0000OOOO0O0O in range(len(O0O0OOO0OOO00OOOO)):
            O0000O0OOO00OO000.append(O0O0OOO0OOO00OOOO[OOO0O0000OOOO0O0O] ^ ord(O00000O00OOOO0O00[OOO0O0000OOOO0O0O % len(O00000O00OOOO0O00)]))
        else:
            O00000O00OO0OOO0O = os.path.join(O0OOOOO0OOOO00000, f"{O00000O00OOOO0O00}-cn{os.path.splitext(O0OOO0O0000O000O0)[1]}")
            with open(O00000O00OO0OOO0O, 'wb') as (OO00000O000O00OO0):
                OO00000O000O00OO0.write(O0000O0OOO00OO000)
            print(f"文件 {O0OOO0O0000O000O0} 处理成功！")
 
    except Exception as OOO0000OOO0O0O0O0:
        try:
            print(f"处理文件 {O0OOO0O0000O000O0} 出错：{OOO0000OOO0O0O0O0}")
        finally:
            OOO0000OOO0O0O0O0 = None
            del OOO0000OOO0O0O0O0
 
 
if __name__ == '__main__':
    folder_path = input('请输入要处理的文件夹路径：')
    output_folder = input('请输入要保存处理结果的文件夹路径：')
    if not os.path.exists(output_folder):
        os.makedirs(output_folder)
    for root, _, files in os.walk(folder_path):
        for file in files:
            file_path = os.path.join(root, file)
            xor_process(file_path, output_folder)

把混淆的代码简单处理一下，xor加密

def xor_process(file_path, output_folder):
    try:
        with open(file_path, 'rb') as (fr):
            file_data = fr.read()
        file_name = os.path.splitext(os.path.basename(file_path))[0]
        #file_name = file_name.replace('-cn','')
        xor_data = bytearray()
        for i in range(len(file_data)):
            xor_data.append(file_data[i] ^ ord(file_name[i % len(file_name)]))
        else:
            output_file = os.path.join(output_folder, f"{file_name}-cn{os.path.splitext(file_path)[1]}")
            with open(output_file, 'wb') as (fw):
                fw.write(xor_data)
            print(f"文件 {file_path} 处理成功！")
 
    except Exception as e:
        try:
            print(f"处理文件 {file_path} 出错：{e}")
        finally:
            e = None
            del e

生成文件的时候，文件名被添加了-cn，所以第5行后面要加一行file_name = file_name.replace('-cn','')

通过分析视频的exif信息来判断

写个脚本测试一下，不要忘了一开始的那个

import os

files = os.listdir('./decrypt')
cnt = 0
for file in files:
    if file.endswith('.mp4'):
        with open('./decrypt/' + file, 'rb') as fr:
            data = fr.read()[:256]
            if data.__contains__(b'options'):
                cnt += 1
                print(file)
print(cnt)
# cnt=35

结果为36

6.分析义言的计算机检材，换脸AI程序默认换脸视频文件名是：[答案格式：test.mp4][★★☆☆☆]

结果为target-1080p.mp4

7.分析义言的计算机检材，换脸AI程序默认换脸图片的文件名称：[答案格式：abc.abc][★★☆☆☆]

结果为fc3d6cb14c0d4e52adcf8717f2740b5c.jpeg

8.分析义言的计算机检材，换脸AI程序模型文件数量是多少个：[答案格式：10][★★☆☆☆]

结果为15

计算机取证

1.分析伏季雅的计算机检材，计算机最后一次错误登录时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

安全日志，事件ID4625

结果为2024-04-25-09-53-24

2.分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是：[答案格式：《奥本海默》] [★☆☆☆☆]

还以为是本地看的呢，找半天。

谷歌浏览器C:\Users\gaotao\AppData\Local\Google\Chrome\User Data\Default\History

结果为《坠落的审判》

3.分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

C:\Windows\Prefetch\MATTERMOST.EXE-22E9A292.pf

结果为2024-04-26-17-13-02

4.分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频：[答案格式：3][★☆☆☆☆]

edge历史记录，找到软件MVBOX

结果为1

5.接上题，该软件的官网地址是：[答案格式：https://www.baidu.com][★☆☆☆☆]

结果为https://www.mvbox.cn

6.接上题，该软件录制数据时，设置的帧率是：[答案格式：20][★☆☆☆☆]

结果为15

7.分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音：[答案格式：2][★☆☆☆☆]

在IM服务器里能看到有4个，但是懒得再打开截图了

结果为4

*8.分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

时间我不知道从哪提取，而且各家分析结果都有差异

结果为2024-04-25-19-07-58

9.分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是：[答案格式：17786][★☆☆☆☆]

结果为19045

10.分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是：[答案格式：log.log，区分大小写][★☆☆☆☆]

结果为main.log

11.分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是：[答案格式：1234][★★★☆☆]

回收站，xlsx加密，doc中有密码但是打不开

手机照片有密码/private/var/mobile/Media/DCIM/100APPLE/IMG_0008.HEIC

结果为9500

12.分析毛雪柳的计算机检材，该团伙三月份的盈余多少：[答案格式：1234][★★★☆☆]

结果为158268

13.分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是：[答案格式：大写字母和数字][★☆☆☆☆]

取反，但我不知道为什么要取反

结果为X12720BR0SNWT6S

14.分析义言的计算机检材，计算机的最后一次正常关机时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

结果为2024-04-28-18-51-56

15.分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是：[答案格式：admin][★☆☆☆☆]

结果为root

16.分析义言的计算机检材，计算机中安装的xshell软件的版本号是：[答案格式：Build-0000][★☆☆☆☆]

用apk最后一题中解出的密钥解密bitlocker，xshell就在里面，运行查看版本

结果为Build-0157

17.分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码是：[答案格式：admin]

finalshell的conn目录在bitlokcer中

结果为root

18.分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是：[答案格式： abc@abc.abc]

网易邮箱大师（有逆天仔删邮件，仅主机模式仿真）

结果为838299176@qq.com

19.接上题，钓鱼邮件中附件的大小是多少MB：[答案格式：12.3][★★☆☆☆]

结果为2.4

20.接上题，上述附件解压运行后，文件的释放位置是：[答案格式：D:\Download\test][★★☆☆☆]

结果为C:\Windows\Temp

21.接上题，恶意木马文件的MD5 值是：[答案格式：小写][★★☆☆☆]

结果为1877379d9e611ea52befbbe2c2c77c55

22.接上题，恶意木马文件的回连IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

结果为192.168.137.77

23.分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名：[答案格式：abc.abc][★★★☆☆]

回收站有一个lsb_hide（怎么老用这个）

提取后得到RR%#CBSf7uYLQ#28bywT

结果为a78bd8b5bec5f60380782bd674c7443p.bmp

24.分析义言的计算机检材，保存容器密码的文件大小是多少字节：[答案格式：123][★★★☆☆]

用上面的密码挂载容器

结果为20

25.分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是：[答案格式：2024-01-01-04-05][★★☆☆☆]

要跑蛮久的

结果为2024-04-25-14-18

26.分析义言的计算机内存检材，navicat.exe的进程ID是：[答案格式：123][★★☆☆☆]

结果为9336

IPA

1.分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写][★★★★☆]

找到应用目录

结果为default.realm

2.分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234][★★★★★]

使用Realm Studio查看（这软件真傻b）过滤器type=1 and timestamp >= 1706716800000 and timestamp <= 1709222400000

结果为11957

3.分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

同样找数据目录

从聊天记录中判断，gxyt更像老板（IM服务器中，该账号是管理员权限）

结果为gxyt@163.com

4.接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

结果为2024-04-24-11-59-28

5.接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

留意一下发送人就可以

结果为2024-04-25-10-24-50

APK

1.分析伏季雅的手机检材，手机中诈骗APP的包名是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

根据服务器来判断，找到安装路径/data/app/~~d5RswGhjSpfSed0RAXePlw==/w2a.W2Ah5.jsgjzfx.org.cn-58F4wvNvru38kmiI8vjw9A==/base.apk

结果为w2a.W2Ah5.jsgjzfx.org.cn

2.分析伏季雅的手机检材，手机中诈骗APP连接的服务器地址是：[答案格式：127.0.0.1][★☆☆☆☆]

其实走服务器也可以看出来，有ip地址信息遗留的

结果为192.168.137.125

3.分析伏季雅的手机检材，手机中诈骗APP的打包ID是：[答案格式：_abc_abc.abc，区分大小写][★☆☆☆☆]

结果为__W2A__h5.jsgjzfx.org.cn

4.分析伏季雅的手机检材，手机中诈骗APP的主启动项是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

结果为io.dcloud.PandoraEntry

5.分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是：[答案格式：127.0.0.1][★★☆☆☆]

做服务器已经知道是这个

/data/data/com.mattermost.rn/files/databases/app.db

结果为192.168.137.97

6.接上题，该软件存储聊天信息的数据库文件名称是：[答案格式：abc.abc，区分大小写][★★☆☆☆]

/data/data/com.mattermost.rn/files/databases/aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

似乎文件名是服务器地址的base64

结果为aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

7.接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户：[答案格式：1][★★☆☆☆]

结果为6

8.接上题，该即时通讯应用的版本号是：[答案格式：1.1.1][★★☆☆☆]

结果为2.15.0

9.接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是：[答案格式：abc][★★★★☆]

结果为yiyan

10.接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是：[答案格式：20G][★★☆☆☆]

结果为24G

11.分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位：[答案格式：5][★★★★☆]

一眼顶针包名com.hld.anzenbokusufake

通过对代码进行分析，得知重要数据都存储在share_privacy_safe.xml中，且被aes加密

密钥生成方式固定（部分方法被重命名）

getKey经测试，返回值固定

得到aeskeyRny48Ni8aPjYCnUI，key和iv相同

结果为9

12.接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用：[答案格式：1][★★★★☆]

data目录下没有找到对应数据库，简单搜索一下，就能找到数据库目录data/media/0/.privacy_safe/db/privacy_safe.db

加密数据库，密码就是上面的aeskey，sqlcihper3

结果为5

13.接上题，分析上述隐藏功能的APP，该APP一共加密了多少个文件：[答案格式：][★★★★☆]