2023蓝帽杯初赛取证wp

2023蓝帽杯初赛取证wp（终于完成啦！）#

最近取证比赛好多，被迫学习(bushi
初次接触取证，火眼都不会用，笑死。
VC密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

终于面向WP复现完啦！

【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：大小写均可]#

23F861B2E9C5CE9135AFC520CBD849677522F54C
火眼直接计算哈希即可。

【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]#

pgs盘古石？
这个貌似火眼看不了，我用XWay创建案件导入镜像，看属性拿到的。

【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]#

用火眼仿真打开IE，得到http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]#

Chrome上保存有密码yang88/3w.qax.com

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]#

还是仿真，打开WPS，设置-关于WPS，得到

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：大小写均可]#

24CFCFDF1FA894244F904067838E7E01E28FF450
这道题对于我这个新手来说挺难想的，直接搜索拿不到这个文件，考虑题目几乎均出自D盘，而且D盘有个很大5G的disk.img，然后单独对他进行检材，发现里面有这个文件，拿到结果。

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]#

3w.qax.com!!@@
这个直接在密码.txt中可以拿到，一些WP的做法有点吊，我萌新看不懂。

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]#

3261
iSCSI是指互联网小型计算机系统接口，找虚拟机，因为跟虚拟化场景有关。
查看所有程序发现有个叫做Star Wind的程序，而且后面提示了iSCSI，启动以后直接就可以看到端口，这个程序我启动了好多次才成功，不知道为啥。

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]#

继续在Starwind中进行，账号是user，密码无法直接查看，那么在其配置文件中寻找，发现.cfg文件，一般是配置文件可能存放账号密码。
user/panguite.com
这里最好提前知道账号名user，否则的话存放的名称不是password而是secret，不太好找。

分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]#

你会发现只有体现记录的表格快捷方式，而指向的F盘内的文件并没有，考虑在disk.img中有曾经清理过的信息，然后发现有个2G的txt文本，很可疑，考虑在VC中加载，发现了体现记录表，但是我看别的师傅的WP，盘古石可以直接分析出来是疑似加密，更容易想到hh。
1019筛选一下求和就好了。

---

手机取证没啥难度。

【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]#

雷电模拟器
手机内个文件夹中已经写得很明确了。

【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]#

与你

【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]#

com.uneed.yuni

【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]#

5万

【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]#

华哥

---

请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]#

imageinfo一下就可以拿到答案
2023-06-21 01:02:27

请给出计算机内用户yang88的开机密码？[答案格式：abc.123]#

3w.qax.com
这题其实是白给的，仿真的时候火眼就告诉你了。
用volatility也可以用hashdump出来，md5解密也可以，但是cmd5上要花钱，哎。

提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]#

我不知道火眼咋分析，volatility上也没有装USB的插件，最后是用python2 vol.py -f N:\计算机\memdump.mem --profile=Win7SP1x64 printkey -K "ControlSet001\Enum\USBSTOR"得到的flag
2023-06-21 01:01:25，注意是北京时间，要+8h，
这句命令是在虚拟地址内存中查找key，在注册表中查询USB设备使用情况（注册表中与USB设备相关的路径为：ControlSet001\Enum\USBSTOR）

但是吧，火眼给出的USB最近使用记录的时间并不是这个。。

请给出用户yang88的LMHASH值？[答案格式：字母小写]#

aad3b435b51404eeaad3b435b51404ee
hashdump下来的第一个值就是，第二个值就是md5加密得到的密码值。

请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]#

看volatility用shellbags可以找到，但我没有找到，
火眼可以拿到，检索提现记录，2023-06-21 00:29:16,其实有好几个时间，IE浏览器的时间是答案。

请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]#

2023-06-21 00:47:41
在火眼上查看用户痕迹中得到，搜索VeraCrypt，得到C:\Users\Public\Desktop\VeraCrypt.lnk的运行最后时间。
或者用pslist指令去查看也可以。

分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]#

2火眼看历史记录就可以了。

请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]#

2456pslist查看即可。

---

可以说雷电可以一把梭了。

【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]#

com.vestas.app

【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]#

0x563b45ca

【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]#

2147483647
这道题，雷电分析出来的值是错误的（从‘第三方服务’中查看的），用jadx看源码找得到的才是正确的。

【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]#

模拟器中运行apk得到域名
https://vip.licai.com

【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]#

io.dcloud.PandoraEntry

---

分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]#

3.10.0-957.el7.x86_64
仿真后直接uname -r即可得到。

分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]#

ff1d923939ca2dcf
在/www/wwwroot/v9.licai.com下有.env配置文件里面有数据库密码DB_PASSWORD=ff1d923939ca2dcf

分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]#

还是在配置文件中看DB_HOST
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

请给出涉网网站数据库版本号? [答题格式: 5.6.00]#

5.7.40
输入命令mysql -Version

请给出嫌疑人累计推广人数？[答案格式：100]#

从这道题开始感觉难度就上来了。
修改宝塔密码，查看基本信息，从而进入宝塔面板，
在宝塔面板中查看到数据库root密码bad11d923939ca2dcf
mysql -uroot -p***
show databases;
只有自带的四个数据库，然后给的检材中存在.xb文件，然后难点来到还原数据库。
安装qpress

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin

安装xtrabackup

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

将.xb文件上传到服务器上，然后用xbstream处理qb.xb文件。

cat 8p47w1251_qp.xb | xbstream -x -v -C /www/server/data

进入/www/server/data进行解压

cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data
chown -R mysql:mysql /www/server/data

这里会报错

vim /etc/my.cnf
#在[mysqld]块下添加
lower_case_table_names=1

重启MySQL服务，

service mysql restart

https://mp.weixin.qq.com/s/blH9fCNiPUq2nI52-lwfpA
我一直跟着文章做，然后我用密码直接就进去了，并没有登不进去。（第二天做的时候就需要了）
然后就多了一个新的数据库viplicai
然后在计算机取证时浏览器历史记录可以看到后台的地址，/AdminV9YY/Login，将服务器ip作为前缀打开（这里需要先在宝塔中添加域名作为站点），
从浏览器记录中只能看到账号root,但是密码加密了看不到。
我们直接
找到登录源码/www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php
修改登录的判断逻辑，使任意密码都能登录
成功进入
ps:这里需要补充一点，由于是复盘么，所以需要修改一下网站的配置文件.env

现在后面的题目基本可以一把梭了。
69

请给出涉案网站后台启用的超级管理员?[答题格式:abc]#

admin

投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]#

然后我的网站只重构了一半这里并没有重构出来。。（然后第二天重做的时候重构出来了，估计是第一天的时候恢复数据库没有重启数据库服务成功的过
4.00%

最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]#

183.160.76.194

分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]#

20

分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]#

2
使用phpadmin进行查询,
SELECT * FROM `member` WHERE bankaddress like '%上海%'

分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]#

128457.00

分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]#

17
根据案情简述，受害人的上线就是yang88（看邀请码）

分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]#

60

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]#

骆潇原

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

得到下线最多的代理

SELECT realname FROM `member` WHERE invicode = 617624

分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:1000000]#

19882178.77-4803382.39=15,078,796.38

SELECT sum(moneylog_money) FROM `moneylog` WHERE moneylog_status = '-'