2018年美亚杯团队赛复盘WP

团队赛

c2server

1	黑客控制的命令服务器（C&C服务器）是什么版本的系统？D
A.	CentOS 7
B.	CentOS 6
C.	Ubuntu 18.04
D.	Ubuntu 16.04
E.	Ubuntu 14.04

2	该C&C服务器 /dev/sda1的通用唯一标识符（UUID）是什么？C
A.	a69c799c-7f0e-4191-9748-66a7e6bc37ad
B.	35a757cd-4440-438f-b3dd-0f82d37f8c0e
C.	ec593f12-e418-492d-97af-b804b8208d99
D.	4fce5b91-e899-4807-882f-78c9bcfa66e5
E.	07febb97-674c-4cae-803c-19ce92024ce

这里要求找分区的UUID。取证系统里面并没有相关的分析，看来是需要找配置文件？

搜了一下发现了这两条命令：

1.sudo blkid

2.ls -l /dev/disk/by-uuid

可惜没能直接找到disk这个文件夹，所以干脆直接仿真好了

Ubuntu的密码重置和普通linux的有一点不同，所以还是折腾了一会儿的

3	系统的时区设定是什么?B
A.	Asia/Macao
B.	Asia/Hong_Kong
C.	HongKong
D.	GMT
E.	Etc/GMT+8

4	黑客曾上传受害公司荣科数码（RKD）文件到C&C服务器，上传方式包括：（i）ftp （ii）ssh （iii）telnet A
A.	（i）
B.	（ii）
C.	（iii）
D.	（i）and（ii）
E.	（ii）and（iii）

ftp还是很容易找到路径和截图的

​ ssh有点难弄。一般情况下ftp都架起来了，ssh那麻烦得要命的文件传输自然也就不会去考虑，所以不是很了解……

后来对着时间线又找了几圈，确定了有调用ssh过后，却并没有更多的发现了。。。

看来之后需要好好学学ssh的特征。这里就暂选A吧

5	黑客曾使用哪一个文件传输协议（FTP）服务账户，用作登入C&C服务器上传档案？A
A.	upload
B.	C&C
C.	ftpuser
D.	root
E.	rdkuser

这边找到了pureftpd的日志文件，找到了受害者的IP和上传目录。

从上传目录中得到相关信息。

6	接上题，C&C服务器中使用了哪个系统账户用作使用文件传输协议（FTP）服务?C
A.	upload
B.	C&C
C.	ftpuser
D.	root
E.	rdkuser

7	根据黑客上传的档案，你能找到荣科数码路由器的物理地址（Mac Address）是什么?C
A.	A0:B4:A5:E6:86:23
B.	EC:1A:59:50:F9:02
C.	74:EA:3A:A3:0D:46
D.	8C:0D:76:B0:69:5C
E.	14:91:82:73:6D:FD

前面那张截图里面显示的网关地址应该就是路由器的物理地址。

8	黑客在使用什么软件以暴力破解法取得Wifi的密码？D
A.	Wireshark
B.	FernWiFi Wireless Cracker
C.	Kismet
D.	Aircrack-ng
E.	WepAttack

9	黑客在什么时候将网络摄录镜头的配置文件cam_config_backup.bin上载到C&C服务器？（答案格式—“本地时间”：YYYY-MM-DD HH:MM:SS +8）D
A.	2018-11-01 15:13:17 +8
B.	2018-11-01 17:14:26 +8
C.	2018-11-01 17:18:07 +8
D.	2018-11-01 17:18:24 +8
E.	2018-11-01 17:18:28 +8

（答案格式—“本地时间”：YYYY-MM-DD HH:MM:SS +8）

这里因为要的是上传时间，所以选择前者

10	哪一个网络地址（IP Address）可追查黑客的位置？E
A.	192.168.7.12
B.	218.255.242.113
C.	218.255.242.117
D.	220.246.55.13
E.	220.246.55.160

之前有得到过一篇日志

这里一共出现了两个IP。218只负责使用工具并且将扫到的数据回传到该服务器上（扫到的数据还全都是内网的地址），所以可以推断其只是另一台攻击机罢了。于是负责上传工具的220就可能是黑客地址了。

11	在C&C服务器中找出从数据库服务器盗取的数据档案，该档案包含多少个数据库?A
A.	1
B.	2
C.	3
D.	4
E.	5

这里开始卡壳了……主要是不清楚盗取来的数据被放到什么位置了

只能知道大概就是这个时间点，或许可以用时间轴看看？

后来才知道是图片隐写……有点意思

12	接上题，从该数据库寻找到受害人林胜“Victor”的顾客资料及交易数据是否存在，以及包含以下属于他的什么数据?（i）电邮地址 （iii）信用卡号码 （iii）身份证号码C
A.	（i）
B.	（ii）
C.	（i）（ii）
D.	（i）（ii）（iii）
E.	没有该数据存在

windows

13	荣科数码（RKD）的笔记本计算机，其操作系统共有多少个可登录用户?B
A.	1
B.	2
C.	3
D.	4
E.	5

14	该笔记本计算机硬盘的第5分区为Bitlocker加密盘，寻找相关的恢复密钥。该密钥最后一组数字为?C
A.	405579
B.	236947
C.	663058
D.	193194
E.	231904

15	该笔记本计算机硬盘的操作系统是什么？D
A.	视窗XP专业版
B.	视窗7 企业版
C.	视窗8 家用版
D.	视窗10 专业版
E.	LinuxUbuntu 18.04LTS

16	黑客是通过什么方式入侵该笔记本计算机的操作系统?A
A.	远程桌面暴力破解（RDPBruteForce）
B.	病毒感染入侵
C.	操作系统漏洞入侵
D.	分布式拒绝服务入侵（DDoS）
E.	SQL注入漏洞入侵

这里仍然只能靠推理。因为在这一小段时间内有大量的rdp访问记录，并且和victor的信息泄露非常接近，所以推测这个是黑客的入侵点。并且根据其登陆强度（一秒2次）和密码策略（不限次数），可以推定是爆破。

17	接上题，黑客是通过哪个网络地址（IP Address）入侵该荣科数码的操作系统？D
A.	192.168.7.11
B.	192.168.7.12
C.	192.168.7.16
D.	192.168.7.102
E.	192.168.7.103

18	接上题，黑客首次成功入侵该操作系统的日期时间?（答案格式—“本地时间”：YYYY-MM-DDHH:MM:SS +8）C
A.	2018-10-25 16:18:44 +8
B.	2018-11-01 15:23:07 +8
C.	2018-11-01 15:31:42 +8
D.	2018-11-01 15:36:51 +8
E.	2018-11-01 17:42:08 +8

19	接上题，黑客用于入侵该操作系统的工作站名称？B
A.	RKD-OFFICE
B.	BLACK-I
C.	WIN-H60USLN5PIH
D.	ANONYMOUS
E.	RKD-GUEST

看一下rdp记录就可以了

20	黑客在该笔记本计算机的Windows资源管理器（Windows Explorer）中曾搜寻过的文字 ?E
A.	Iexplorer, password, login
B.	user, password, security
C.	s, documents, excel
D.	login, password, ipcam
E.	password, iexplorer, s

不知道取证大师抽了什么风，明明其他人的取证都可以出来……
无所谓，我还有弘连

21	入侵该笔记本计算机后，黑客透过命令提示符（cmd）执行某些命令，紧接生成了什么文件?D
A.	ip.txt
B.	arp.txt
C.	netscan.txt
D.	ip.txt，arp.txt
E.	ip.txt，arp.txt，netscan.txt

时间线配合搜索一起用（其实一个个直接搜过去也可以，看创建时间就可以了）

后面也生成了netscan.txt，但时间上差距挺大，所以不入选。

22	从笔记本计算机中，寻找黑客的命令控制服务器（C&C服务器）的网络位置?A
A.	220.246.55.208
B.	acdn.adnxs.com
C.	3a95a35cd6b35f714120f210c0ac0c10.c1o.footprintdns.com
D.	code.jquery.com
E.	220.246.55.212

和C2的文件结构相近，但时间上感觉不是很对的上……不过也没有更好的选择就是了。

23	黑客在该笔记本计算机系统通过什么形式链接命令控制服务器（C&C服务器）?A
A.	FTP
B.	SSH
C.	TELNET
D.	HTTP
E.	SFTP

24	黑客从命令控制服务器（C&C服务器）下载过什么档案到该笔记本计算机？B
A.	putty-64bit-0.70-installer.msi
B.	iepv.zip
C.	WinSCP-5.13.4-Setup.exe
D.	mimikatz_trunk.7z
E.	以上皆是

25	黑客从笔记本计算机的网络浏览器Internet Explorer下载过什么档案？E
A.	netscan_portable.zip
B.	7z1805-x64.exe
C.	mimikatz_trunk.zip
D.	mimikatz_trunk.7z
E.	以上皆是

26	黑客入侵该笔记本计算机系统后，曾安装过什么软件?A
A.	7-Zip
B.	WinSCP
C.	PuTTY
D.	Mimikatz
E.	SoftPerfectNetwork Scanner

27	在该笔记本计算机中，黑客执行程序\User\Administrator\Desktop\netscan_portable\64_bit\netscan.exe的具体时间?（答案格式—“本地时间”：YYYY-MM-DD HH:MM:SS +8）C
A.	2018-11-01 16:07:12 +8
B.	2018-11-01 16:16:49 +8
C	2018-11-01 16:04:34 +8
D.	2018-11-01 17:25:12 +8
E.	以上皆不是

28	2018年11月1日16:06，在笔记本计算机中有多少个关于网络信息的档案被黑客建立?CB
A.	1
B.	2
C	3
D.	4
E.	5

netscan.txt
iepassword.txt

草，原来图片不算档案吗？

29	在笔记本计算机中，黑客执行程序\User\Administrator\Desktop\iepv\iepv.exe的具体时间?（答案格式—“本地时间”：YYYY-MM-DD HH:MM:SS +8）A
A.	2018-11-01 16:07:12 +8
B.	2018-11-01 16:09:07 +8
C	2018-11-01 16:17:51 +8
D.	2018-11-01 16:18:18 +8
E.	以上皆非

30	接上题，执行程序iepv.exe涉及什么dll文件?E
A.	NTDLL.DLL
B.	MSVCRT.DLL
C	BCRYPTPRIMITIVES.DLL
D.	WINDOWS.STORAGE.DLL
E.	以上皆是

先脱壳

动调，查看程序导入的dll(静态的看得不全面)

31	接上题，紧接程序iepv.exe执行后，有什么档案被建立，该档案的哈希值（MD5）为?C
A.	EDCE37A107A0D661D6B2ABD3449A156E
B.	FE26492B12917DFE1B5A65252B8B4798
C	E23B7F04247A927E6EB98C26200135E1
D.	B3C9312AC745F20F936577D426456AD8
E.	E0836588DA17DA632B82CC2FDDE59E98

32	在笔记本计算机中，黑客曾执行程序\Users\Administrator\Downloads\mimikatz_trunk\x64\mimikatz.exe多少次？A
A.	2
B.	3
C	4
D.	5
E.	6

33	接上题，执行上述mimikatz.exe后，黑客曾经输了什么命令符？C
A.	debug, logonpasswords
B.	logon, passwords
C	privilege::debug, sekurlsA::logonpasswords
D.	privilegE::logon, sekurlsA::passwords
E.	以上皆不是

直接翻日志文件

34	接上题，mimikatz.exe执行上述命令符后，哪项信息可被黑客用作破解该系统其他用户的密码？B
A.	NTLM: e19ccf75ee54e06b06a5907af13cef42
B.	NTLM: 059b6a3134dd40d5543c59da1e10c664
C	SHA1: 9131834cf4378828626b1beccaa5dea2c46f9b63
D.	SHA1: 116f90c6089215de0d7f4f530c9276f75a6c5209
E.	以上皆不是

一般只有NTML（md4）才是用户真正的密码hash

35	接上题，续上述mimikatz的结果，该密码长度为多少字符？B
A.	6
B.	7
C	8
D.	9
E.	以上皆不是

36	在笔记本计算机中，黑客是否使用网络浏览器进入过荣科数码的网络摄像机(IP Camera)进行浏览？如进入过，具体日期及时间为？（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8）C
A.	没有
B.	2018-11-01 16:02:37 +8
C	2018-11-01 16:09:30 +8
D.	2018-11-01 17:17:14 +8
E.	以上皆不是

emmmm，有点时差……

37	在笔记本计算机中，除网络浏览器外，黑客还通过什么软件入侵网络摄像机(IP Camera)？A
A.	WinSCP
B.	FileZilla
C	PuTTY
D.	命令提示符(CMD)
E.	档案总管

38	在笔记本计算机中，黑客从网络摄像机提取了1个档案到该系统硬盘，该档案的哈希值(MD5)为？C
A.	79985D36B7A860473AA19A0B82B4747E
B.	CA47E27329203C266372D04475DB2C57
C	B6C75B8D8C99C35973ECF55C4C345F51
D.	C28983B21CA6558D00806CCBDCA5D502
E.	BBB0C766E5F65DB23F5F317738FDBCB5

笔记本里面很难直接找到这个文件。但是黑客会把重要的文件全部回传到c2服务器上，所以查看一下ftp的日志文件就立马能注意到“cam”。

解压出来之后可以看到是配置文件。

39	接上题，分析上述从网络摄像机提取的档案，除账户admin外还有什么登陆账户发现？D
A.	user
B.	public
C	guest
D.	user，guest
E.	user，public

翻翻配置文件

40	接上题，网络摄像机可以透过什么方式链接多流媒体服务器？D
A.	SFTP
B.	TELNET
C.	SSH
D.	FTP
E.	以上皆不是

CCTV也有监控的意思，应该就是流服务器了

41	在笔记本计算机中，黑客曾经使用系统的记事本(Notepad)最后开启的一个文件名称为?A
A.	config_alarm.ini
B.	config_3thddns.ini
C.	readme.txt
D.	desktop.ini
E.	以上皆不是

没有直接的证据，所以只好根据程勋运行痕迹在时间上进行贴靠了。

42	在笔记本计算机中，黑客最后把被入侵用户桌面的档案全部删除，具体删除的日期时间是？（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8）C
A.	2018-11-01 15:32:46 +8
B.	2018-11-01 15:34:29 +8
C.	2018-11-01 17:32:29 +8
D.	2018-11-01 17:43:09 +8
E.	以上皆不是

回收站没有记录，签名恢复也失败了，看来又只能靠推理了。

首先来看rdp的断开时间，能确定是删除时间在17：34：44之前。

再然后看卷影，能看到16：17的时候桌面上的文件还没有被删除。虽然时间上仍然很粗略，但足以确定答案了。

Streaing Server

43	荣科数码(RKD)的流媒体服务器的主机名称是什么?E
A.	pi
B.	Streaming Service
C.	C&C Server
D.	RKD
E.	raspberrypi

44	黑客首次进入流媒体服务器的时间是什么?（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）C
A.	2018-11-01 16:17
B.	2018-11-01 08:34
C.	2018-11-01 08:17
D.	2018-11-01 01:17
E.	2018-11-01 00:42

45	下面哪一个是流媒体服务器 "eth0" 的网络地址(IP Address)?A
A.	10.0.4.10
B.	10.0.4.15
C.	192.168.7.11
D.	192.168.7.12
E.	192.168.7.103

46	下面哪一个是流媒体服务器 "wlan0" 的网络地址(IP Address)?E
A.	10.0.4.10
B.	10.0.4.15
C.	192.168.7.11
D.	192.168.7.12
E.	192.168.7.103

47	下面哪一个是流媒体服务器曾经同步时间的网络时间协议(NTP)服务器的网络地址(IP Address)?D
A.	192.168.7.1
B.	10.0.4.1
C.	110.115.125.123
D.	203.95.213.129
E.	220.246.55.208

48	在流媒体服务器中，根据账户"pi"的指令记录，黑客首次输入指令 "cat /etc/shadow" ，他从中获得了什么信息?E
A.	流媒体服务器内的用户名称
B.	流媒体服务器内的用户密码
C.	流媒体服务器内的用户密码更换日期
D.	流媒体服务器的网络位置
E.	因没有权限，什么信息也得不到

黑客在正常cat之后转用sudo，说明原先的权限不足，需要提权。

49	在流媒体服务器中，账户"pi"曾在流媒体服务器安装了什么软件?(i) nmap(ii) arp-scan(iii) bind9 D
A.	（i）
B.	（ii）
C	（iii）
D.	（i）（ii）（iii）
E.	（ii）（iii）

50	为什么黑客在流媒体服务器安装 "bind9"?D
A.	为取得流媒体服务器 "root" 的权限
B.	为记录键盘的记录
C.	为截取网络上的数据包
D.	为提供域名系统服务(DNS)
E.	为扫描网络中其他计算机的网络位置

51	黑客把C&C服务器下载的档案sys.c放置在数据库服务器哪一个位置?E
A.	/
B.	/home/
C.	/home/root/
D.	/home/rongke/
E.	/home/auxsup/

52	为什么黑客能够连接网路 10.0.4.0/24 ?C
A.	因为此网路连接了互联网
B.	因为路由器中的访问控制列表(Access Control List)没作出限制
C.	因为流媒体服务器同时接驳了互联网及上述网路
D.	因为网络摄影机同时接驳了互联网及上述网路
E.	以上皆不是

BIND9也是为了将数据库服务器内网穿透。

53	黑客在流媒体服务器加入了多少条防火墙规则?DB
A.	0
B.	1
C	2
D.	3
E.	4

可恶，这边没注意到第二条的iptables输错了

54	在流媒体服务器中，黑客何时在删除档案 "HACK.jpg"?（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8）C
A.	2018-11-01 09:09:15 +8
B.	2018-11-01 17:12:40‌ +8
C	2018-11-01 17:15:02 +8
D.	2018-11-02 09:09:15 +8
E.	2018-11-02 17:15:02 +8

Database

55	荣科数码(RKD)的数据库服务器有多少个磁盘冗余数组(RAID)的虚拟块设备Multiple Devices(md)?D
A.	0
B.	1
C	2
D.	3
E.	4

56	该数据库服务器设有多少个卷组（VG）、逻辑卷（LV）？C
A.	一个卷组、两个逻辑卷
B.	两个卷组、两个逻辑卷
C	两个卷组、三个逻辑卷
D.	三个卷组、三个逻辑卷
E.	三个卷组、四个逻辑卷

57	该数据库内，挂载"/home"分割所在的卷组（VG）的UUID为？D
A.	YaPmrx-aWuN-jB9F-bK6V-5mrf-qDD1-RKttcS
B.	zd02XF-jjsB-Nelp-RhA3-Xesv-PbXZ-FbVYsv
C.	6tPmv1-CHhY-3Th3-d1ZO-NkCE-JH3k-zp4dtA
D.	CHFrqt-VMqH-eTcq-6khn-k8MC-UO4i-zZwuWN
E.	MOHN39-Ly2p-5km1-d2mi-3SeN-fTVu-y0PF58

58	该数据库内，"/boot"所在的虚拟块设备(Multiple Devices)总阵列大小(ARRAY SIZE)？A
A.	3900416 (3.72 GiB 3.99 GB)
B.	6831104 (6.51 GiB 7.00 GB)
C.	10218496 (9.75 GiB 10.46 GB)
D.	5109248 (4.87 GiB 5.23 GB)
E.	3415552 (3.26 GiB 3.50 GB)

md0

59	根该数据库服务器的时区设定为？E
A.	Asia/Macao
B.	Asia/Hong_Kong
C.	Hongkong
D.	GMT
E.	Etc/GMT+8

西八……

东八……

不能理解为什么会不一样。所以还是干脆直接看配置文件好了。

60	根据串流服务器的记录, 黑客入侵后曾横向登入数据库服务器，其登入方式包括:(i)ftp(ii)ssh2(iii)telnet B
A.	（i）
B.	（ii）
C.	（iii）
D.	（i）（ii）
E.	（ii）（iii）

只能找到ssh……事实上也够了。

61	接上题,首次成功登入数据库服务器的时间及账户为?（答案格式 － 账户名称 日期时间 “依第59条时区设定作答＂：YYYY-MM-DD HH:MM)B
A.	rkdadm 2018-11-01 16:33
B.	auxsup 2018-11-01 16:33
C.	auxsup 2018-11-02 08:33
D.	root 2018-11-01 16:33
E.	root 2018-11-01 16:31

时刻注意log的时间比实际时间快16小时……但似乎没啥问题？

62	接上题，该账户在数据库服务器属于以下哪些用户组?(i)root(ii)www-data(iii)sudoE
A.	（i）
B.	（ii）
C.	（i）（ii）
D.	（ii）（iii）
E.	以上皆不是

63	在该成功远程登录数据库服务器前曾经被多次登入失败，登入的用户名称包括：(i)root(ii)admin(iii)pi C
A.	（i）
B.	（ii）
C.	（i）（iii）
D.	（ii）（iii）
E.	以上皆是

64	接上题，该账户登入数据库服务器后，使用了哪一个CVE的漏洞进行提权？C
A.	CVE - 2015 - 1328
B.	CVE - 2015 - 8660
C.	CVE - 2017 - 1000112
D.	CVE - 2017 - 0358
E.	CVE - 2017 - 16995

黑客在这里编译并执行了shellcode。正好我们手上就有sys.c，可以进行代码审计。

好吧，看起来不用审了……

65	接上题，黑客在数据库服务器进行提权中曾使用哪些工具？E
A.	exec
B.	javaw
C.	msfvenom
D.	psexe
E.	gcc

虽然很不想承认，但是黑客在终端记录确实只用了gcc……但是gcc本身只是个编译器罢了，不能算提权工具吧。

66	黑客在数据库服务器成功提权后，紧接进行了什么动作？CD
A.	使用另一账户登入
B.	制作后门
C.	截取数据包
D.	建立新账户
E.	安装软件

emmmm，下次得翻得仔细点

67	除首次被黑客登入的帐户外，还有什么账号被不当地登入使用？A
A.	rkduser
B.	rkduser1
C.	rkduser2
D.	rkduser3
E.	rkduser4

1234都是黑客后期自己加的，没有不当登入的说法

68	该数据服务器经哪个IP得到连接互联网功能？B
A.	10.0.4.1
B.	10.0.4.10
C.	10.0.4.16
D.	192.168.7.103
E.	10.0.4.17

直接将10.0.4.10 变为路由了

69	黑客在数据库服务器设定了一个反向shell(reverse shell)后门，请找出该连接使用什么端口(Port) ？E
A.	5251
B.	5140
C.	40
D.	51
E.	5152

70	接上题，该数据库服务器的后门何时会执行?E
A.	管理员登入
B.	系统开机时
C.	数据库被存取时
D.	每一天
E.	每一分钟

71	黑客在该数据库服务器中进行了内网扫描，其扫描范围是：B
A.	10.0.4.0 / 22
B.	10.0.4.0 / 24
C.	192.168.7.0 / 24
D.	192.168.7.103 / 24
E.	10.0.4.15 / 24

72	接上题，在该内网中有一台主机名名称为"RKDSERVER1"，黑客曾由数据库试图登入该主机，其登入方式为：(i)ftp(ii)ssh2(iii)telnet C
A.	(i)
B.	(ii)
C.	(iii)
D.	(i)(ii)
E.	(ii)(iii)

73	黑客在登入期间，曾经尝试登入数据库服务器的MYSQL数据库，总共失败多少次？(MYSQL的记录文件时间设定较实际时间快4小时）C
A.	6
B.	8
C.	10
D.	12
E.	14

直接去翻mysql的error日志就可以了。

74	在数据库服务器中，档案路径 ＂\home\rkduser\t＂ 是什么类型的档案？A
A.	tcpdump capture file
B.	ELF 64-bit LSB executable, x86-64
C.	ASCII text
D.	UTF-8 Unicode text
E.	Bourne-Again shell script

之前可以看到黑客使用了tcpdump，所以很容易猜到文件类型。

75	在数据库服务器中，黑客使用什么指令工具对数据包进行截取？D
A.	arp-scan
B.	nmap
C.	fgdump
D.	tcpdump
E.	wireshark

76	接上题，黑客共截获多少个数据包项目？C
A.	1041
B.	2825
C.	6070
D.	4032
E.	5484

77	接上题，截取数据包过程中，有多少次上述反向shell(Reverse shell)后门的成功连接？A
A.	0
B.	14
C.	1
D.	15
E.	7

反弹shell的端口是5152.这边可以看到所有5152端口上的通讯不知道为什么都失败了，相反pureftp还能正常运行。

78	接上题，黑客从数据包中获得的MYSQL数据库密码长度是多少个字符?E
A.	4
B.	6
C.	9
D	12
E.	15

79	黑客登入上述MYSQL数据库后，曾在CLI界面使用MYSQL命令进行了多少个数据库及数据表(Table)的浏览？CB
A.	一个数据库内的两个数据表
B.	两个数据库内的两个数据表
C.	一个数据库内的三个数据表
D.	两个数据库内的三个数据表
E.	三个数据库内的三个数据表

数据库：business

表：payments/orders/customers

后记：这不是流量题吗？怎么又变成日志审计了？

在.mysql_history文件里面有详细的命令记录

80	80.数据库服务器中，黑客曾连接过哪一个FTP服务器?A
A.	220.246.55.208
B.	10.0.4.10
C.	10.0.4.16
D.	192.168.7.103
E.	220.246.55.13

81	接上题，该FTP服务器的上载账号名称及密码是：B
A.	upioad, 123456
B.	upload, 123456
C.	upload, 12345
D.	admin, 123456
E.	admin, abcdef

82	黑客在数据库服务器注销前，进行了什么动作？B
A.	传送数据库数据
B.	删除命令痕迹
C.	汇出数据库
D.	卸除软件
E.	设置后门

root账户怎么可能就这么点命令记录……肯定是删了啊。nano本身就是编辑器，在其之前没有任何记录，可以判断黑客使用它来删除了命令痕迹。

83	在数据库服务器中，恢复inode值为258177的档案，计算其SHA1哈希值（无解？）
A.	42323B19952CF79D626AD51FF14A5F201CFE969C
B.	B151D2CCE44D80AB860879C0FE5BB7326C5A7F3D
C.	EA4A616DF97B59F7672865DC1FB449DD8E4DF3E2
D.	8C3A07CC7E594E696F3C7A79EDB9C762905839A1
E.	B3CDCEABD7B672603F9D6F63D037053C63D5F5B6

这个有点麻烦了……

首先需要连上网，然后下载extundelete

然后找到节点所在目录及所属卷组

然后无论全部恢复还是指定inode恢复都失败了，说空间已经被占用

反复恢复快照，尽可能减少无关的操作，但仍然覆盖了inode。取证大师的深度恢复也失败了……真是走投无路。

84	在数据库服务器中，路径"/usr/sbin"内有多少个系统文件被不当替换?E
A.	1
B.	2
C.	3
D.	4
E.	以上皆不是

这边我直接翻的修改时间

内存

85	从内存镜像档案的数据显示，该镜像档案的建立日期是?（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC）B
A.	2018-11-02 08:31:12 UTC
B.	2018-11-02 10:31:12 UTC
C.	2018-11-02 14:31:12 UTC
D.	2018-11-02 18:31:12 UTC
E.	2018-11-02 20:31:12 UTC

86	在内存镜像中，就进程javaw.exe而言，它的进程id是?A
A.	2364
B.	2616
C.	26
D.	459
E.	8003975b30

87	接上题，javaw.exe 是经以下哪个方法在系统上执行 ？C
A.	利用命令提示符(cmd)执行
B.	利用psexec软行
C	于Windows资源管理器上双击档案执行
D.	于运行中执行
E.	于系统启时自动执行

这题我最开始想着直接memdump然后手撸数据，但实际情况是数据太混乱，很难直接分析。后来想到可以通过进程之间的关系来判断。

首先就是在进程关系上，javax是资源管理器的子进程，再然后就是两者开启的时间非常接近，所以推测是在资源管理器里面打开的。

但这种方法说到底只能算推理，没啥直接的证据……得研究一下破解方法。

88	接上题，根据javaw.exe 的进程，它首先执行了下列哪个指令D
A.	C:\Program Files\Java\jdk1.8.0_191(2)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
B.	C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
C.	C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar
D.	C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
E.	C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar

把进程内存导出来后直接手撕

89	接上题，javaw.exe的进程在执行时会呼叫了多少个动态链接函式库(Dynamic Linked Library)?B
A.	79
B.	80
C.	81
D.	82
E.	83

90	接上题，javaw.exe的进程曾连接至哪一网络地址(IP Address)？C
A.	119.188.13.180
B.	192.168.72.128
C.	220.246.55.13
D.	120.241.102.156
E.	23.41.99.52

用正则扫了一遍dump，感觉效果不是很好。不过全部试过一遍之后就能知道只出现过220.246.55.13（192.168.72.128是本机地址）

91	接上题，javaw.exe的进程曾连接至上述网络地址的哪个端口(port)？D
A.	1505
B.	1506
C.	49290
D.	1505&1506
E.	1505&49290

92	从内存镜像中提取Victor计算机感染的"Adwind RAT"病毒的配置文件(XML格式)并作分析，该病毒档案与C&C服务器连接所使用的密码为?A
A.	1234
B.	5555
C.	2468
D.	0000
E.	9999

哈希爆出来1234

93	接上题，上述"Adwind RAT "病毒具备了屏幕截图的功能。从内存镜像中分析，黑客是何时对系统进行屏幕截图呢?(以截图显示时间作答)C
A.	2018年11月2日18时27分至18时28分
B.	2018年11月2日18时28分至18时30分
C.	2018年11月2日18时29分至18时30分
D.	2018年11月2日18时29分至18时31分
E.	2018年11月2日18时28分至18时29分

直接foremost javaw的memdump就可以了

但是截图的时间全是29分……如果想要确定区间的话，难道还有其他截图吗？

94	取证人员是使用"Magnet RAM Cap"获取该内存镜像，你能找到该档案属于哪个版本吗?B
A.	0.90
B.	1.00
C.	1.01
D.	0.91
E.	1.50

proc导出之后就可以查看详细信息了

95	从内存镜像中，你能读取多少个操作系统的用户登入密码?
A.	0
B.	1
C.	2
D.	3
E.	4

七个三种密码，结果答案说是1……
哦，有可能问的是几种操作系统？太逆天了。

手机

(该文件是由CellebritePhysical Extraction采集而来的。)

96	检测“三星SM-N9005 Galaxy Note 3＂的手机镜像文件并找出系统分区。请问系统分区(system partition)的大小是多少？B
A.	1.2 GB
B.	2.2 GB
C.	4.6 GB
D.	12.2 GB
E.	15 GB

97	接上题，在手机镜像文件中，系统分区(system partition)的文件系统类型是什么？D
A.	YAFFS
B.	YAFFS2
C.	Ext3
D.	Ext4
E.	以上皆不是

98	检测手机镜像文件并找出用户数据的分区。请问用户数据分区(userdata partition)的大小是多少？E
A.	3.1 GB
B.	2.9 GB
C.	4.6 GB
D.	12.2 GB
E.	11.9 GB

99	接上题，在手机镜像文件中，请问该用户数据分区(userdata partition)的文件系统类型是什么？D
A.	YAFFS
B.	YAFFS2
C.	Ext3
D.	Ext4
E.	FAT

100	如果手机安装了应用程序，你会在哪个位置找寻该应用程序的“apk＂文件？BA
A.	/root/app/
B.	/system/apps/
C.	/system/media/apk/
D.	/system/application/
E.	以上皆不是

看来root路径下面的信息的信息会更加全面啊

101	该手机显示设备的时区是什么？C
A.	Europe/London
B.	Europe/Amsterdam
C.	Asia/Hong_Kong
D.	Asia/Bangkok
E.	以上皆不是

102	在手机镜像文件中，找出“com.android.email＂文件夹，数据库中设置的电子邮件地址是什么？C
A.	digitalrongke@gmail.com
B.	victorlam@gmail.com
C.	rongkedigital@mail.com
D.	kedigital@hotmail.com
E.	以上皆不是

103	接上题，上述数据库共有多少条电子邮件记录？E
A.	9
B.	10
C.	21
D.	50
E.	5

104	接上题，谁是首个电子邮件的接收者？B
A.	kedigital@hotmail.com
B.	jc266575@gmail.com
C.	rongkedigital@mail.com
D.	digitalrongke@gmail.com
E.	以上皆不是

105	接上题，服务器的时间戳显示的第一个电子邮件的发送日期／时间是什么？（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC）E
A.	2018-10-29 21:30:18 UTC
B.	2018-10-26 06:21:02 UTC
C.	2018-10-29 21:33:54 UTC
D.	2018-10-31 07:26:51 UTC
E.	2018-10-31 08:26:11 UTC

106	在手机镜像文件中，哪一个文件包含日历记录？D
A.	calendar.base.db
B.	database_calendar.db
C.	calendar_record.db
D.	calendar.db
E.	ddcalendar.db

107	在手机镜像文件的下载文件夹中，该手机用户下载了哪个“apk＂文件？D
A.	Evernote.apk
B.	kodi.apk
C.	CloudAgent.apk
D.	channel_71067978_1005035_1539597843180.apk
E.	以上皆不是

108	在手机镜像文件中，哪个文件用于存储“微信”记录？E
A.	chatmessages.db
B.	msgstore.db
C.	mm.sqlite
D.	chatstorage.db
E.	EnMicroMsg.db

109	接上题，检查“微信＂数据库，请问Leo和Jason在2018年10月31(UTC+8)日共有多少条通讯记录？A
A.	7
B.	20
C.	30
D.	5
E.	9

原来不算上已被删除的记录吗……

110	在手机镜像文件中，用户在2018-10-31(UTC+8)截取了多少个截图？D
A.	5
B.	20
C.	7
D.	2
E.	8

111	接上题，该截图的文件名是什么，请选择最早的一个档案？A
A.	Screenshot_2018-10-31-16-08-57.png
B.	Screenshot_2018-10-31-12-08-12.png
C.	Screenshot_2018-10-31-17-02-51.png
D.	Screenshot_2018-10-28-15-00-10.png
E.	Screenshot_2018-10-30-09-08-17.png

112	在手机镜像文件中，安装了哪种黑客软件？B
A.	Hack-it
B.	Ethicalhacking
C.	I Hack You
D.	LUCKY HACK PATCHER
E.	以上皆不是

113	接上题，该应用程序是什么时候安装的？（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC）A
A.	2018-10-31 09:05:26 UTC
B.	2018-11-01 22:21:08 UTC
C.	2018-10-26 23:37:34 UTC
D.	2018-10-31 17:05:26 UTC
E.	2018-10-31 09:21:01 UTC

114	在手机镜像文件的用户媒体文件夹中，有涉及枪支的照片／图片，档案的名称是什么？C
A.	20181101_160634.jpg
B.	20181031_153537.jpg
C.	20181031_170633.jpg
D.	20181031_091635.jpg
E.	20181031_070813.jpg

115	在手机镜像文件中，哪个文件记录了联系人（电话簿）？D
A.	contact1.db
B.	database.contacts.db
C.	contacts1.db
D.	contacts2.db
E.	contact.db

116	接上题，有多少个现有联系人记录？A
A.	7
B.	13
C.	9
D.	15
E.	8

现有的……

117	在手机镜像文件中的联系人数据库中，共有多少个电子邮件帐户？A
A.	1
B.	6
C.	7
D.	3
E.	2

118	接上题，在联系人数据库的已删除记录中，以+852 6__________开头的电话号码是什么？请填写空格.D
A.	+852 66253737
B.	+852 67486468
C.	+852 63873984
D.	+852 61810641
E.	+852 67645745

119	在手机镜像文件中，曾使用过的无线网络名称(SSID)是？C
A.	WPA-PSK
B.	RKD-WPA
C.	RKD_guest
D.	PSK-RKD
E.	以上皆不是

120	该手机存有苹果手机备份密码，这个密码是？C
A.	Sgydgd
B.	6152jHD
C.	Os156871
D.	$RFV5tgb
E.	Trey123$%^

总结

做得比较难受的一次——取证软件犯了不少毛病。不过倒也提醒了我不能太依赖取证软件，练习手搓对于那些难以自动取证的镜像还是帮助很大的。

题目本身质量不错，尤其是渗透路径上的设计，环环相扣，还是很有意思的，比往年好不少。