2024盘古石线上赛复盘WP

2024盘古石线上赛复盘WP

第一次参加取证比赛，题目很好(但是有些题目pgs能直接分析出来而别的不可以有些典了推销啊)，我很菜，差一点就能蹭上奖了。
和师兄两个人打，人少做不过来。
容器密码
2b26ba7ed35d622d8ec19ad0322abc52160ddbfa
反思：配合的不够默契；需要多加练习。

人工智能取证加密题还是不大会啊。

服务器取证

都没看，仿真后并没有告诉用户名，看火眼找到登录消息，得到用户名root

分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆]

netstat -lnpt
根据其他的一些检材可以了解到内部的通讯软件就是mattermost，部署在docker容器中，所以应该是8065端口。

析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆]

查看当前运行docker并看配置，12.18

分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写][★★☆☆☆]

还是从配置中可以看到mattermost_test

同样从配置文件中可以看到ip为127.17.0.2

分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1][★★☆☆☆]

还是从配置文件中看到用户名和密码mmuser mostest

用navicat进行连接

82

分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母][★★★☆☆]

在user表中，密码用bcrypt加密，替换掉密码，登录gxyt这个admin账号，

这里在团队设置得到邀请码54d916mu6p858bbyz8f88rmbmc

分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字][★★★☆☆]

登录yiyan的即可得到2

分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写][★★★☆☆]

f8adb03a25be0be1ce39955afc3937f7

分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字][★★★★☆]

50

分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05][★★★☆☆]

北京时间要加8小时

2024-04-25-15-33

分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆]

看到是8.0.2版本，不支持否

分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

所以是一周一次1

分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

backup.sh中查看mysecretpassword

分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

火眼这个功能挺好的，

威尼斯

这里也可以添加ip的80端口，打开，但是会跳转到google.com，需要删除这部分的index.php

分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆]

从网站日志得到后台地址/Admin/Login/index.html，在数据库中找管理员，发现2828数据库没有，进行导入，根据backup.sh进行解密导入数据库。

这里还是不太会，贺的，DB_NAME="2828";AES_PASS=$(echo -n "$DB_NAME" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt);openssl des3 -d -salt -k $AES_PASS -in /root/backup/2828.sql.gz | tar -xzf -

mysql -uroot -proot 2828 < ./2828_20240427154000.sql成功导入。

在2828 admin中得到密码，

得知是md5加密，123456。但是没有跳转，自行跳转即可。

查看zhiwanjing的账号，2024-04-25-09-49-12

分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234][★★★☆☆]

100000

分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12][★★☆☆☆]

2000

分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

发现con2.php一句话木马，通过日志溯源

先上传了tmpugklv.php,

溯源最近的/Home/User/tkpwdpost.html

分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php][★☆☆☆☆]

tmpugklv.php

分析网站服务器检材，网站使用的数据库前缀是：[答案格式：test_][★☆☆☆☆]

think_

分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]

con2中2335

计算机取证

比赛时太依赖仿真了，对火眼利用的反而不够充分，这部分答题效果并不理想。

分析伏季雅的计算机检材，计算机最后一次错误登录时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

2024-04-25-09-53-24

分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是：[答案格式：《奥本海默》] [★☆☆☆☆]

《坠落的审判》

分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

用的是mattermost,2024-04-26-17-13-02

分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频：答案格式：3

1

接上题，该软件的官网地址是：答案格式：https://www.baidu.com

https://www.mvbox.cn

接上题，该软件录制数据时，设置的帧率是：答案格式：20

15

分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音：答案格式：2

找到下载位置4

分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是：答案格式：2024-01-01-04-05-06

说的是首次接入的时间

2024-04-25-19-08-08

分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是：答案格式：17786

19045

分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是：答案格式：log.log，区分大小写

main.log

分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是：答案格式：1234

回收站里的密码是错误的，密码提示一把梭，我还以为是爆破，后来师兄从手机检材中找到密码图片，maoxl2024!%*!

11200

分析毛雪柳的计算机检材，该团伙三月份的盈余多少：答案格式：1234

158268

分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是：答案格式：大写字母和数字

X12720BR0SNWT6S

分析义言的计算机检材，计算机的最后一次正常关机时间是：答案格式：2024-01-01-04-05-06

2024-04-28-18-51-56

分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是：答案格式：admin

root

分析义言的计算机检材，计算机中安装的xshell软件的版本号是：答案格式：Build-0000

Build-0157

分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码是：答案格式：admin

解密分区后，重新分析一遍，root

分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是：答案格式： abc@abc.abc

flash更新的邮件像钓鱼邮件，附件大小比较大，

检测是木马，838299176@qq.com

接上题，钓鱼邮件中附件的大小是多少MB：答案格式：12.3

2.4

接上题，上述附件解压运行后，文件的释放位置是：答案格式：D:\Download\test

C:\Windows\Temp

接上题，恶意木马文件的MD5 值是：答案格式：小写

注意evilrue.exe才是木马。

f539aab0af03836e73ec1727db8a6d50

接上题，恶意木马文件的回连IP地址是：答案格式：127.0.0.1

192.168.137.77

分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名：答案格式：abc.abc

说实话，想到回收站里有东西，挺难的。

回收站里有LSB_hide.exe是个图片隐写bmp文件

a78bd8b5bec5f60380782bd674c7443p.bmp

搞出个Extract文件里面有一串字符串RR%#CBSf7uYLQ#28bywT

分析义言的计算机检材，保存容器密码的文件大小是多少字节：答案格式：123

其实密码就是Extract，别人的火眼可以分析出Google.mp3是加密文件，我的不知道为啥没分析出来，但是可以感觉出来Goolge.mp3有问题（很大），然后挂载上可以知道

20

分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是：答案格式：2024-01-01-04-05

我的电脑太菜了，vol2跑了快一个小时没跑出来。

2024-04-25-22-18

分析义言的计算机内存检材，navicat.exe的进程ID是：答案格式：123

vol3解析的快9936

人工智能取证

全都在义言的检材中，然而他的D盘还加密了，非常恶心，检材挺多的，需要团队间的配合。

分析义言的计算机检材，一共训练了多少个声音模型：[答案格式：123][★★☆☆☆]

GPT-SoVITS-beta0217是个声音克隆的软件，看logs文件，有4个

分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材：[答案格式：123][★★☆☆☆]

17

分析义言的计算机检材，声音模型voice3，一共训练了多少轮：[答案格式：123][★★★☆☆]

看train.log8轮

分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是：[答案格式：1234][★★★★☆]

9874

分析义言的计算机检材，电脑中视频文件有几个被换过脸：[答案格式:10][★★★★★]

换脸软件output中存在1个，但是并没有服务器中发送的换脸视频

想到之前VC挂载文件google.mp3，加载后（密码RR%#CBSf7uYLQ#28bywT），发现里面有好多视频素材，但是无法打开（盲猜全是换脸的）可能是有encrypt.exe加密了。但是找不到解密程序，这是其他师傅做的解密脚本

import os

def xor_decrypt(file_path, output_folder):
    try:
        with open(file_path, 'rb') as file:
            encrypted_data = file.read()
        filename = os.path.splitext(os.path.basename(file_path))[0].replace('-cn', '')
        decrypted_data = bytearray()
        for index in range(len(encrypted_data)):
            decrypted_data.append(encrypted_data[index] ^ ord(filename[index % len(filename)]))
        else:
            output_file_path = os.path.join(output_folder, f"{filename}{os.path.splitext(file_path)[1]}")
            with open(output_file_path, 'wb') as output_file:
                output_file.write(decrypted_data)
            print(f"文件 {file_path} 解密成功！")

    except Exception as e:
        print(f"处理文件 {file_path} 出错：{e}")

if __name__ == '__main__':
    folder_path = input('请输入要解密的文件夹路径：')
    output_folder = input('请输入要保存解密结果的文件夹路径：')
    if not os.path.exists(output_folder):
        os.makedirs(output_folder)
    for root, _, files in os.walk(folder_path):
        for file in files:
            file_path = os.path.join(root, file)
            xor_decrypt(file_path, output_folder)

深度伪造检验平台我没有(/ll，42

分析义言的计算机检材，换脸AI程序默认换脸视频文件名是：[答案格式：test.mp4][★★☆☆☆]

videos

分析义言的计算机检材，换脸AI程序默认换脸图片的文件名称：[答案格式：abc.abc][★★☆☆☆]

fc3d6cb14c0d4e52adcf8717f2740b5c.jpeg

分析义言的计算机检材，换脸AI程序模型文件数量是多少个：[答案格式：10][★★☆☆☆]

15

APK取证

分析伏季雅的手机检材，手机中诈骗APP的包名是：答案格式：abc.abc.abc，区分大小写

威尼斯w2a.W2Ah5.jsgjzfx.org.cn

分析伏季雅的手机检材，手机中诈骗APP连接的服务器地址是：答案格式：127.0.0.1

192.168.137.125

分析伏季雅的手机检材，手机中诈骗APP的打包ID是：答案格式：_abc_abc.abc，区分大小写

__W2A__h5.jsgjzfx.org.cn就是打包服务商的调证值

分析伏季雅的手机检材，手机中诈骗APP的主启动项是：答案格式：abc.abc.abc，区分大小写

io.dcloud.PandoraEntry

分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是：答案格式：127.0.0.1

base解密192.168.137.97

接上题，该软件存储聊天信息的数据库文件名称是：答案格式：abc.abc，区分大小写

aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户：答案格式：1

6

接上题，该即时通讯应用的版本号是：答案格式：1.1.1

2.15.0

接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是：答案格式：abc

yiyan这个做服务器取证恢复的时候就可以看到了。

在数据库中看postid也可以。

接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是：答案格式：20G

这个说实话有点迷惑性，

所以一开始以为是2080显卡，然后登录maoxueliu账号

所以是4090显卡，24G

分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位：答案格式：5

有两个计算器apk，其中包名为com.hld.anzenbokusufake，为隐藏APP

然后在雷电模拟器中尝试仿真该app，建议不要使用雷电分析自带的自动导入功能，而是通过模拟器的共享文件夹进行传输com.hld.anzenbokusufake到/data/data中去以及apk也放到共享文件夹中在模拟器中安装（用雷电分析不知道为啥啥没成功）。用自带脚本分析

得到长度9，也得到了锁屏密码

接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用：答案格式：1

5

接上题，分析上述隐藏功能的APP，该APP一共加密了多少个文件：答案格式：

5

接上题，分析上述隐藏功能的APP，该APP加密了一份含有公民隐私信息的文件，该文件的原始名称是：答案格式：abc.txt

公民信息.xlsx

分析义言的手机检材，马伟的手机号码是：答案格式：13012341234

18921286666

把表格导出来

分析义言的手机检材，手机中存有一个BitLocker恢复密钥文件，文件已被加密，原始文件的MD5值是：答案格式：小写字母和数字

同理497f308f66173dcd946e9b6a732cd194,这样就可以还原义言的D盘文件做上面的取证了。

同时，拿到了bitlocker值:337469-693121-682748-288772-440682-300223-203698-553124

IPA取证

分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写][★★★★☆]

iCost记账，应该就是document文件中的default.realm

分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234][★★★★★]

打开数据库两份收入9600+235711957，数据库是timestamp找2月有点恶心。

分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

服务器直接看

gxyt@163.com

接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

2024-04-24-11-59-28

接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

2024-04-25-10-24-50同理

手机取证

有几个火眼没分析出来，我是在两个.json中直接看的，和网上的师傅答案有些出入。

分析伏季雅的手机检材，手机的安卓ID是：答案格式：小写字母和数字

a728c9b9fd529158

分析伏季雅的手机检材，手机型号是：答案格式：HUAWEI-FL56T

SM-G996N

分析伏季雅的手机检材，其和受害人视频通话的时间是：答案格式：2024-01-01-04-05

2024-04-24-20-46

分析伏季雅的手机检材，手机中安装了一款记账APP，该记账APP存储记账信息的数据库名称是：答案格式：abcabc，区分大小写

money lover是记账的app，

到/data/data下找对应包名，MoneyLoverS2应该是数据库。

接上题，该记账APP登录的邮箱账号是：答案格式：abc@abc.com

侥幸找到了。

carleenloydlyis40@gmail.com

接上题，该记账APP中记录的所有收入金额合计是：答案格式：1234

tran表下是交易金额，cat_id中只有36是工资属于收入，

279002

接上题，分析该记账APP中的消费记录，统计从2022-3-1（含）到2023-12-1（含）期间，用于交通的支出费用合计是：答案格式：1234

select sum(amount) from transactions where cat_id=19 and created_date>="2022-03-01" and created_date<="2023-12-01";

6042

分析毛雪柳的手机检材，手机中有一个记账APP，该APP的应用名称是：答案格式：Telegram，区分大小写

iCost

分析义言的手机检材，手机中登录的谷歌邮箱账号是：答案格式：abc@gmail.com

a2238346317@gmail.com

分析义言的手机检材，手机的MTP序列号是：答案格式：大写字母和数字

FA6A80312283

分析义言的手机检材，除系统自带的浏览器外，手机中安装了一款第三方浏览器，该浏览器的应用名称是：答案格式：百度浏览器

悟空浏览器

接上题，上述浏览器最后一次搜索的关键字是：答案格式：百度

这道题pgs可以直接看，但是火眼就得自己去看数据库。。

ai写文章生成器

接上题，该浏览器最后一次收藏的网址是：答案格式：https://baidu.com/acc/123412341234123/

这个是按照publish_time顺序做的，并不理解为啥不是stats_timestamp或者啥别的

http://toutiao.com/a7361678286282490403

分析义言的手机检材，其所购买的公民信息数据，该数据提供者的手机号码是：答案格式：13012341234

13265159824

在图片中找到了。

接上题，卖家的收款地址：答案格式：小写字母和数字

bc1pvunxx2eyt0lipzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

接上题，购买上述公民信息，义言一共支付了多少钱：答案格式：0.000123BTC

交易哈希为4630a72ad8e7339e553cdba67a1dc7d33716a1db0cf7b44ec281ae08ac6249f8

搜索到 input0.07364352 BTC

接上题，该笔交易产生的手续费是多少：答案格式：0.000123BTC

fee 0.00006105 BTC