2023全国网络安全职业技能大赛决赛

本人主要做服务器和计算机,手机等可能不太专业,欢迎加v交流:xyaxxya

电子数据取证分析师

操作技能赛题

项目介绍

简介

电子数据取证分析师项目需要选手对各类电子数据的现场及在线提取固定,如不同的存储介
质、智能终端、服务器及数据库、物联网和工程控制系统等,恢复基于物理修复或数据特征
等的电子数据,并进行分析。项目旨在测评参赛选手在电子数据的提取、固定、恢复、分析
等一系列理论知识和技术技能。

任务描述

本项目需要运用不同的电子数据取证技术,任务有以下部分:

  • 电子数据提取与固定
  • 电子数据恢复
  • 电子数据分析

任务目标

第一部分:电子数据提取与固定(30%)

总体要求:根据提供的检材,完成指定电子数据提取

任务 1:检材 1.rar 上的任务(14 分)
检材是一个手机备份,请通过技术手段提取以下信息。

1. 提取名称为“陈伦国”的联系人的手机号码,以此作为 flag 提交。(答案格式如:
13012345678)(2 分)
13800620796
notepad++
image

2. 提取最早卸载的软件的包名称,以此作为 flag 提交。(答案格式如:com.abc.dd)(3
分)

3. 提取以“HUAWEI_”开头的 WIFI 连接的密码,以此作为 flag 提交。(答案格式
如:abcd1234)(2 分)
HUAWEI_3251
notepad++
image

4. 提取嫌疑人预约的看牙医的时间,以此作为 flag 提交。(答案格式如:2020-01-01
(到日即可))(4 分)

5. 提取爱聊应用中用户 id 以 4503 结尾的用户的昵称,以此作为 flag 提交。(答案格式
如:nihao 上海 1234)(3 分)
百度搜到爱聊包名
image
image
image

SELECT * FROM "tab_user_detial" WHERE user_id like '%4503'

image

任务 2:检材 2.rar 上的任务(16 分)
检材是一个电脑制作的镜像,请根据该镜像文件回答以下内容(以下答案都采用英文半角):

1. 提取本地网口 ens33 的 IP 地址,并以此作为 flag 提交。(答案格式:XX.XX.XX.XX)(1
分)
image

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:52:22:38 brd ff:ff:ff:ff:ff:ff
    inet 172.16.120.113/24 brd 172.16.120.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::b51b:84e4:6d27:d7a7/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

2. 提取操作系统 root 用户的登录密码,并以此作为 flag 提交。(答案格式:abcd1234)
(2 分)
查看账号

[trimps@localhost ~]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
libstoragemgmt:x:998:996:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
colord:x:997:995:User for colord:/var/lib/colord:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
saned:x:996:993:SANE scanner daemon user:/usr/share/sane:/sbin/nologin
saslauth:x:995:76:Saslauthd user:/run/saslauthd:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
setroubleshoot:x:994:991::/var/lib/setroubleshoot:/sbin/nologin
rtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin
pulse:x:171:171:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
chrony:x:993:988::/var/lib/chrony:/sbin/nologin
unbound:x:992:987:Unbound DNS resolver:/etc/unbound:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
geoclue:x:991:985:User for geoclue:/var/lib/geoclue:/sbin/nologin
qemu:x:107:107:qemu user:/:/sbin/nologin
gluster:x:990:984:GlusterFS daemons:/run/gluster:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
gnome-initial-setup:x:989:983::/run/gnome-initial-setup/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
trimps:x:1000:1000:jie40:/home/trimps:/bin/bash
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

查看密码

[root@localhost ~]# cat /etc/shadow
root:$6$oTvm7KyyFnjvBkzR$pqCk.i36J50315Zn8neXeNntX6Q4Lwifd66EsTPImpjVmBNIuPw.PuiIV8MtyNuHY2AAiQROjunpd5jNSM/Sc/:19716:0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
halt:*:18353:0:99999:7:::
mail:*:18353:0:99999:7:::
operator:*:18353:0:99999:7:::
games:*:18353:0:99999:7:::
ftp:*:18353:0:99999:7:::
nobody:*:18353:0:99999:7:::
systemd-network:!!:19038::::::
dbus:!!:19038::::::
polkitd:!!:19038::::::
libstoragemgmt:!!:19038::::::
colord:!!:19038::::::
rpc:!!:19038:0:99999:7:::
saned:!!:19038::::::
saslauth:!!:19038::::::
abrt:!!:19038::::::
setroubleshoot:!!:19038::::::
rtkit:!!:19038::::::
pulse:!!:19038::::::
chrony:!!:19038::::::
unbound:!!:19038::::::
radvd:!!:19038::::::
tss:!!:19038::::::
usbmuxd:!!:19038::::::
geoclue:!!:19038::::::
qemu:!!:19038::::::
gluster:!!:19038::::::
gdm:!!:19038::::::
rpcuser:!!:19038::::::
nfsnobody:!!:19038::::::
gnome-initial-setup:!!:19038::::::
sshd:!!:19038::::::
avahi:!!:19038::::::
postfix:!!:19038::::::
ntp:!!:19038::::::
tcpdump:!!:19038::::::
trimps:$6$oTvm7KyyFnjvBkzR$pqCk.i36J50315Zn8neXeNntX6Q4Lwifd66EsTPImpjVmBNIuPw.PuiIV8MtyNuHY2AAiQROjunpd5jNSM/Sc/::0:99999:7:::
mysql:!!:19038::::::

查看加密方式

[root@localhost ~]# authconfig --test | grep hashing
password hashing algorithm is sha512

解密(破解过程略)
3. 数据库中存放了大量用户的信息,请找到该表,提取手机号码为“13604329317”的用户
的名称,并以此作为 flag 提交。(答案格式:写出名称)(2 分)

4. 已知电脑中有一个抓包文件,请对该文件进行分析,给出流量包中可以获取的最大的图
片的大小(单位字节),并以此作为 flag 提交。(答案格式: 12345)(3 分)
5. 请从抓包文件中找到“组织架构.zip”文件,计算其 MD5(128 位)值,以此作为 flag
提交。(答案格式:C4CA4238A0B923820DCC509A6F75849B,字母大写)(3 分)
6. 请给出“高柳”的上线的上线的名称,并以此作为 flag 提交。(例如:赵二的上线是张
三,张三的上线是李四,则赵二的上线的上线就是李四)(5 分)

第二部分:电子数据恢复(30%)

任务 3:检材 3.rar 上的任务(14 分)

1. 对磁盘进行修复并加载成功后,计算磁盘的 MD5 值,并以此作为 flag 提交。(答案格式:
69271864341AA3B2C1E6F2DCA5E90666)(2 分)
2. 对磁盘进行修复并加载成功后,磁盘共计有多少个扇区。(答案格式:1)(2 分)
3. 给出磁盘中的数据库 root 用户最后一次修改密码的时间,并以此作为 flag 提交。(答
案格式:2022-12-12 12:01:11)(3 分)
4. 磁盘中的数据库里有一张表记录了发布的通知,给出最后一次通知创建的时间,并以此
作为 flag 提交。(答案格式:2022-12-12 12:01:11)(3 分)
5. 磁盘中的数据库里有一张表记录了管理员账号,给出这张表里记录的密码的密文,并以
此作为 flag 提交。(4 分)

任务 4:检材 4.rar 上的任务(16 分)

1. 对虚拟机进行分析,并找出其中“李真宝”的身份证号,并以此作为 flag 提交。(2
分)
2. 对虚拟机进行分析,并找出其中“黄季恬”的身份证号,并以此作为 flag 提交。(2
分)
3. 对虚拟机进行分析,并找出其中“王达离”的手机号,并以此作为 flag 提交。(3 分)
4. 对虚拟机进行分析,并找出其中“陈右绮”的手机号,并以此作为 flag 提交。(4 分)
5. 对虚拟机进行分析,并找出其中“杜春玟”的手机号,并以此作为 flag 提交。(5 分)

第三部分:电子数据分析(40%)

任务 5:检材 5.rar 上的任务(17 分)**
获取了一个服务器镜像,服务器镜像中包含了 1 个集群和网站服务,请通过技术手段进行

分析。
1. 提取系统中容器名称为 namenode 节点的容器 ID,并以此作为 flag 提交。(答案格式如:
取前 12 位即可,12345678abcd) (2 分)
2. 获取集群中的名称为“tom-xiao”的用户的 card-id,并以此作为 flag 提交。(答案格
式如:110123456789023456)(2 分)
3. 数据库的备份数据以扩展名为 zip 的文件存储在系统中,找到该 zip 文件计算其 MD5
(128 位)校验值,并以此作为 flag 提交。(答案格式如:
C4CA4238A0B923820DCC509A6F75849B,字母大写)(3 分)
4. 找到网站连接数据库的密码,并以此作为 flag 提交。(答案格式如:123456abcdef)
(3 分)
5. 给出数据库中存储网站的后台管理员的数据表的名称,并以此作为 flag 提交。(答案格
式如:abctable)(3 分)
6. 给出编号为 10100 的商户的资金交易变动后,最终的金额,并以此作为 flag 提交。(答
案格式如:100.100)(4 分)

任务 6:检材 6.rar 上的任务(23 分)**

1. 请分析手机模拟器中的即时通讯 APP,计算该 APK 的 MD5,并以此作为 flag 提交。(答
案格式:69271864341AA3B2C1E6F2DCA5E90666)(2 分)
2. 给出该 APP 后台服务器的域名,并以此作为 flag 提交。(答案格式:仅包含域名)(2
分)
3. 给出该 APP 当前账号加密聊天记录数据库时使用的密钥,并以此作为 flag 提交。(4 分)
4. 给出该 APP 中与“谭永”聊天最后一条消息的时间,并以此作为 flag 提交。(答案格式:
2022-02-02 11:11:11)(3 分)
5. 给出该 APP 中用户发给“谭永”的压缩包文件的 MD5,并以此作为 flag 提交。(3 分)
6. 对上述 APP 进行分析,找出“吴延凡”的身份证号,并以此作为 flag 提交。(4 分)
7. 已知上述压缩包中的文件中包含了银行卡余额信息,请分析该压缩包,并按照省份进行
统计,余额最多的省份共计余额有多少,并以此作为 flag 提交。(5 分)

posted @ 2024-01-25 22:02  P1ggy  阅读(95)  评论(0编辑  收藏  举报