Loading

2024FIC线上初赛WP

2024FIC线上初赛WP

忘记报名的比赛,暑期练习一下,比鲸鱼哥菜太多了,我就试试初赛。

VC密码2024Fic@杭州Powered~by~HL!

小目标:希望下届可以进线下赛。

案情简介

2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。
在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。
接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

以后还是要看看案情的,万一有用呢。

手机部分

1、嫌疑人李某的手机型号是?

Xiaomi MI 4

hl自己的比赛,火眼竟然没有分析出来,笑死。

一开始以为就是蓝牙名中的MI3W,但是并没有这个选项,然后找setting.global.xml里面有device_nameMI 4LTE

2、嫌疑人李某是否可能有平板电脑设备,如有该设备型号是?

Xiaomi Pad 6s,看WIFI连接记录

3、嫌疑人李某手机开启热点设置的密码是?

5aada11bc1b5

4、嫌疑人李某的微信内部ID是?

wxid_wnigmud8aj6j12

5、嫌疑人李某发送给技术人员的网站源码下载地址是什么?

http://www.honglian7001.com/down

难绷,还整个佛曰加密,画蛇添足的感觉。

6、受害者微信用户ID是?

limoon890

看对话就分析出来了。

7、嫌疑人李某第一次连接WIFI的时间是?

03-14 16:55:57

布什戈门,你hl自己出的题火眼自己分析不出来,真不推销自己产品吗?

WifiConfigStore.xml中有个creation time

8、分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?

16:00-18:00,看一下火眼的统计图。

9、请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号ID为?

wxid_kolc5oaiap6z22

应该是老苏,不是沈总?看聊天,应该两个下游老苏和李某搞了个类似的网站而沈总是境外网站的代理不知道此事?

10、请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为?[格式:127.0.0.1:8080/admin]

192.168.110.110:8000/login

服务器集群部分

50道题,占比好大,听说有师兄当时卡到第一步了,直接寄。

esxi服务器第一次见到,孤陋寡闻了。

ESXi是一种裸机虚拟化(Bare Metal Hypervisor)系统,直接安装在物理服务器的硬件上,而不需要依赖于传统的操作系统。

srds,可以仿真那就不用手动仿真了。

1、ESXi服务器的ESXi版本为?

6.7.0

2、请分析ESXi服务器,该系统的安装日期为:

需要重新配置一下子网ip,只要保证ip和服务器中的在同一网段即可。root,空密码进入

A. 2024年3月12日星期二 02:04:15 UTC

image

3、请分析ESXi服务器数据存储“datastore”的UUID是?

65efb8a8-ddd817f6-04ff-000c297bd0e6

image

4、ESXI服务器的原IP地址?

192.168.8.112

5、ESXI服务器中共创建了几个虚拟机

4

6、网站服务器绑定的IP地址为?

192.168.8.89

image

7、网站服务器的登录密码为?

qqqqqq

没有想到可以用fscan去爆破。fscan.exe -h 192.168.8.0/24 -pwdf C:\Users\lys\Desktop\password.txt

8、网站服务器所使用的管理面板登陆入口地址对应的端口号为:

www/server中找到了bt,所以就简单了

14131

9、网站服务器的web目录是?

说实话有点离谱,web下没东西,进到宝塔面板,啥也没有就个数据库

然后发现根目录下有个webapp以及其zip估计就是了。

/webapp

10、网站配置中Redis的连接超时时间为多少秒?

10

有点离谱,这里看到的是0不断开

image

我想大概是因为宝塔默认的web目录是/www,所以造成这样,按照官方的WP,解压jar包,在.yml配置文件中找到。

image

11、网站普通用户密码中使用的盐值为?

!@#qaaxcfvghhjllj788+)_)((

jadx反编译jar包,函数比较多有点难找。

image

12、网站管理员用户密码的加密算法名称是什么

D. bcrypt

这个说实话,找到挺巧合的,做上题时我搜salt时出来的全是bcryptxxx函数名。

官方是去恢复的data虚拟机看的数据库。

13、网站超级管理员用户账号创建的时间是?

其实到这里的时候有点破防了,data虚拟机的密码不知道是啥,不是top1000。我就去找计算机检材中是否有账密了。

然后就找到了commonPWD.txt,猜是个密码本,拿它爆破一下,然后去做Windows部分。

爆破出密码hl@7001,进入data虚拟机,没有mysql,但是启动docker,docker里面有mysql。

systemctl start docker docker ps -a docker start 9bxxx

navicat远程连接mysql。

image

2022-05-09 14:44:41

image

14、重构进入网站之后,用户列表页面默认有多少页数据?

重构网站,hard。对springboot框架不够了解

去按照Win检材下的运维笔记修改源码。

大概是比运维笔记再多修改个IP以及MySQL的密码就好了。

然后改一下admin的密码就进来了。后面的好多题就迎刃而解了。

877

15、该网站的系统接口文档版本号为?

3.8.2

16、该网站获取订单列表的接口是?

/api/shopOrder

17、受害人卢某的用户ID?

10044888

18、受害人卢某一共充值了多少钱?

465222

19、网站设置的单次抽奖价格为多少元?

10

20、网站显示的总余额数是?

7354468.56

21、网站数据库的root密码是?

my-secret-pw

注意不是宝塔面板上的root密码 ,而是远程data服务器中的mysqlroot密码

22、数据库服务器的操作系统版本是?

7.9.2009

cat /etc/*release

23、数据库服务器的Docker Server版本是?

1.13.1

docker info

24、数据库服务器中数据库容器的完整ID是?

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

才知道ps 拿到的ID是不全的,要加--no-trunc

25、数据库服务器中数据库容器使用的镜像ID?

66c0e7ca4921

这里又不要完整的,难绷

26、数据库服务器中数据库容器创建的北京时间

B. 2024/3/13 20:15:23

注意时区

27、数据库服务器中数据库容器的ip是?

172.17.0.2

28、分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是?

sql语句查询,ai跑一个就好了。

问题在于应该查询app_group_apply表中的而不是app_group_member表中的。大概是题干文字游戏?这个不大懂。

223.104.51.34

SELECT inviter_id, COUNT(*) as count  
FROM app_group_apply  
GROUP BY inviter_id  
ORDER BY count DESC  
LIMIT 1;
29、分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是?

我感觉这些sql题的难点在于查询哪个表,蚌。

因为是抢红包,所以查的是app_group_redpacket_member表,而不是app_user_redpacket表这个相当于单对单转账了。

116.62.104.130

SELECT user_id, SUM(money) AS total_money  
FROM app_group_redpacket_member  
GROUP BY user_id  
ORDER BY total_money DESC  
LIMIT 1;
30、数据库中记录的提现成功的金额总记是多少?(不考虑手续费)

35821148.48注意看备注3状态为体现成功。

SELECT SUM(amount) 
FROM app_user_withdraw WHERE `status`=3;
31、rocketchat服务器中,有几个真实用户?

后台192.168.8.128:3000,账密在Win解密分区里有。

3

32、rocketchat服务器中,聊天服务的端口号是?

fscan扫出来的

3000

33、rocketchat服务器中,聊天服务的管理员的邮箱是?

admin@admin.com

34、rocketchat服务器中,聊天服务使用的数据库的版本号是?

5.0.24

35、rocketchat服务器中,最大的文件上传大小是?(以字节为单位)

104857600

image

36、rocketchat服务器中,管理员账号的创建时间为?

在后台看到的没有具体时刻,需要连上MongoDB。

然后我没爆破出来rocketchat服务器的账密。

所以我的做法比较的另类。从火眼中拿到rocketchat的镜像再丢给火眼仿真(其实和大家重置密码,本质是一样的,我的做法比较傻瓜但是麻烦)

dhclient一下,拿到ip,SSH连一下docker中的MongoDB

B. 2024/3/14 8:19:54

image

image

image

37、rocketchat服务器中,技术员提供的涉诈网站地址是:

http://172.16.80.47

38、综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少

35%

39、综合分析服务器,该团队“杀猪盘”收网的可能时间段为:

B.2024/3/15 16:00:00-17:00:00

40、请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?

lao@su.com

41、分析openwrt镜像,该系统的主机名为:

iStoreOS

cat /etc/*release

42、分析openwrt镜像,该系统的内核版本为

5.10.201

uname -r

43、分析openwrt镜像,该静态ip地址为

192.168.8.5

看浏览器历史记录

44、分析openwrt镜像,所用网卡的名称为

eth0

cat etc/config/network

list ports是网卡名

45、分析openwrt镜像,该系统中装的docker的版本号为:

20.10.22

46、分析openwrt镜像,nastools的配置文件路径为:

/root/Configs/NasTools

做到这道题才想起来可以等到网页端去看。

image

47、分析openwrt镜像,使用的vpn代理软件为:

passwall2

48、分析openwrt镜像,vpn实际有多少个可用节点?

53

第一个不是节点,有点离谱,官方说第一个不是节点。

我没找到配置文件在哪里,如果看备注第一个确实和其他的格式不同,但是这算是事后诸葛亮了。

49、分析openwrt镜像,节点socks的监听端口是多少?

1070

50、分析openwrt镜像,vpn的订阅链接是:

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

Windows部分

相比服务器部分真的算是送分了。

1、分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2、分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?

2024.fic就很像。B25E2804B586394778C800D410ED7BCDC05A19C8

3、据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?

之前就盲猜到的commonPWD.txt。

E6EB3D28C53E903A71880961ABB553EF09089007

4、据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

pswd.jpg,提示隐写。

image

qwerasdfzxcv

5、分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么?

404052-011088-453090-291500-377751-349536-330429-257235

挂载VC里面就有。

6、分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是

146794496

image

7、分析技术员赵某的windows镜像,默认的浏览器是?

A. Chrome

8、分析技术员赵某的windows镜像,私有聊天服务器的密码为:

Zhao,解密E盘后除了涩图以外有个密码本,盲猜是第二个

9、分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?

www.585975.com,某图上写着呢。

不过确实挺真实的,大家可以去登录一下。bushi

10、分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

B. ROOP

11、分析技术员赵某的Windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为:

db.jpg

E盘中只有一张图命名格式与其他图不同,而且肉眼一下就猜出来了。

12、分析技术员赵某的Windows镜像,ai换脸生成图片的参数中--similar-face-distance值为:

0.85应该说的是相似值,启动ROOP后一键换图写的是。

image

官方WP是在cmd历史记录中看的参数。。

13、分析技术员赵某的Windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为

dst01.jpeg

只能用官方的做法了,原图貌似没了。

14、分析技术员赵某的Windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?

http://hi.pcmoe.net/buddha.html

15、分析技术员赵某的Windows镜像,赵某架设聊天服务器的原始IP地址为?

192.168.8.17

嗯,看历史记录,不要看保存的密码里内个ip

16、分析技术员赵某的Windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

C. 2024-03-14 20:32:08

17、分析技术员赵某的Windows镜像,openwrt的后台管理密码是

hl@7001

18、分析技术员赵某的Windows镜像,嫌疑人可能使用什么云来进行文件存储?

易有云

19、分析技术员赵某的Windows镜像,工资表密码是多少?

aa123456爆破

20、分析技术员赵某的Windows镜像,张伟的工资是多少?

28300

总结

咋说呢,感觉还是挺有难度的,据说每道题就给一次机会,有点恶心。sql语句查错表,VPN节点数,包括爆破密码、多个服务器。。工作量好大。

posted @ 2024-08-06 14:07  场-room  阅读(92)  评论(0编辑  收藏  举报