第二届獬豸杯wp

合集 - 取证(3)

1.数证杯个人01-27

2.第二届獬豸杯wp02-28

3.2024数证杯决赛团体赛wp03-07

收起

第二届獬豸杯wp

容器密码:}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E

计算机和手机部分已经在第二届 獬豸杯-复现 - 萧瑟迪亲传大弟子 - 博客园这里发过了，服务器部分自己又写了一遍。

打了四个小时，也是混了一个第16名，也是第一次在比赛结束没多久开始写复盘的完整wp，题目总体不难，服务器被卡了一下，然后手机部分很多都是有数证杯团体赛手机取证相同的思路在里面

甚至拿了一个二血，其实好像拿了挺多计算机题目的血，但是很多题都没有记录

签到题

flag{祝大家_在獬豸杯_玩的开心}

分别给主办的三个公众号发flag即可

计算机取证

1.网卡的Mac地址是多少？[标准格式：XX-XX-XX-XX-XX-XX]

00-0C-29-BF-8B-30

在火眼里直接看就行

2.系统内部版本号是多少？[标准格式：12345]

18363

这题主要得搞清楚什么是内部版本号以及为什么只取这个build版本号的整数部分

19045就是这个win10 22H2的内部版本号，而小数点后面的内容是累计更新的编号

3.计算机系统开机密码是多少？[标准格式：根据实际值填写]

WAXD9128@

当时仿真起来直接就是没有密码，看见这题直接懵逼了。结果发现微软便签里面有一个密码

4.分析计算机检材中手机流量包，请问黑客虚拟身份的密码是什么？[标准格式：x123]

a12345678

一般来说，取证题目都会在document文件夹下有题目，然后这次看见了一个夜神模拟器的备份文件，还有一个不知名后缀的dididi.saz文件之外没有东西，然后去搜了一下，发现得用fiddler打开，fiddler类似于wireshark吧，但是感觉平时没有那么常用。

然后直接搜索password，答案就出来了

5.分析计算机检材中手机流量包，请问黑客人员使用的夜神模拟器的手机型号是什么？[标准格式：XX-X123X]

SM-G955N

直接搜yeshen，然后看流量包就能找到，当时比赛的时候直接去火眼里面看的计算机里面的夜神模拟器的手机型号，因为计算机里面也没有第二个夜神模拟器了

6.分析计算机检材中手机流量包，请问黑客看视频的时间是几月份？[标准格式：1]

5

直接搜video，然后发现看的应该是抖音，右边可以看见May，也就是五月份

7.分析计算机检材中手机流量包，请问“天戮宇宙”出自哪个小说平台？[标准格式：番茄小说网]

起点中文网

直接搜book，后面很多流量包格式都是image了

或者比较取巧的办法就是直接百度搜天戮宇宙，也能找到答案

8.请问在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]

340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

在虚拟机里面开启模拟器需要设置cpu虚拟化，要不然打开模拟器虚拟机会卡死。

需要导入在document文件夹下的备份文件，然后打开模拟器之后直接被锁机了，但是很眼熟，想起来是第二届龙信杯的勒索软件，比赛的时候直接秒了

我们把这个模拟器搞出来，然后用火眼分析一下里面的apk文件，发现只有三个apk，最值得怀疑的肯定是这个许羽了

9.接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]

anzhuo.com

代码其实非常简单，就是一个简单的equals

10.signed_xz.exe程序SHA1后6位是多少？[标准格式：524c62]

8955b1

直接搜文件名字，但是发现搜不到名字，但是有个名字相似的，计算之后发现答案对了...

在计算机里面找到vc容器，使用密钥文件解密的方式进行解密

发现就是这个文件，计算后的sha1值和外面的一样。

11.signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少？[标准格式：0c6875c2]

0x4393c0

既然sha1值一样，那么可以直接拿外面这个进行分析。

拖进ida直接搜函数名就行，顺带说一句，写这个格式的人真是个天才，我以为是0c4393c0来当答案。

12.signed_xz.exe程序中节名为.reloc的虚拟地址是多少？[标准格式：0c526n5624]

0x035b5000

直接拿CFF看，在section headers项下面看，直接就出了

13.请分析检材中澳门新葡京APK其包名是？[标准格式：com.abcd.xxx]

com.suijideszzuiji.cocosandroid

直接分析出来了，或者用jadx反编译之后也能看

14.请分析检材中澳门新葡京APK是否加固，加固则说明是什么加固？[标准格式：360加固宝或未加固]

未加固

雷电app智能分析最有用的一集

15.请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据，则该权限的名称是？[标准格式：android.xx.xxx]

android.permission.WRITE_EXTERNAL_STORAGE

直接看就行了，如果没有软件，用jadx也能在AndroidManifest.xml文件里面分析，就是有点麻烦就是了。

16.请分析检材中澳门新葡京APK登录的api地址。[标准格式：https://www.baidu.com/api/login]

https://168js.bvocftd.com/ky188/member/memberManager/login

这题需要抓包，比赛的时候不知道为什么一启动就闪退，直接放弃了这道题，复现试了几次，终于抓到了登录的api地址。

17.请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是？[标准格式：123456790]

1108221663

这题单纯就是找了，我运气好很快就找到了。

真要搜的话，可以去搜运营商的服务留存的qq特征这些

18.请分析Navicat中root用户的密码是什么？[标准格式：@123Aa]

(=3]Zwjt#W**

手机取证

1.登录的直播APP的IDX是什么？[标准格式：25236541]

35248617

首先先看手机里面存在的直播app有什么，发现大概率是这个烟雨直播

直接去找它的数据库，在miao.db这个数据里面找到了idx的值

2.目前直播的等级名称是什么？[标准格式：碌碌无为]

一无所有

这里我本来的思路是注册一个账号，然后看看app里面的等级体系，或者根据idx来搜这个账号的等级。然后能搜到以及等级都有

3.地图中哪座山有绝望坡？[标准格式：太行山]

武功山

比赛的时候直接百度绝望坡的，好像是手机里面有图片可以搜到

4.手机的历史SIM卡中，中国电信卡的IMSI是多少？[标准格式：123456789]

460115143563428

5.1月22日16：40的会议号是多少？[标准格式：xxx-xxx-xxx]

312-118-071

手机里面只有一个会议有关的app，将它导出来，装到模拟器里面，将data文件覆盖进去，然后就能看见历史的会议号

6.网易会议中个人会议号是多少？[标准格式：2523654199]

2679823922

接上题，直接在个人设置里面看

7.记账软件中一共记了几笔？[标准格式：9]

4

和上个会议软件同理，覆盖data

8.谁给了机主100000？[标准格式：某某]

勇哥

稍微翻一翻记账软件就能找到了

9.聊天软件是否需要手机号登录？[标准格式：填写是或者否]

否

比赛的时候不知道哪个是聊天软件，反正就是和否两种可能，然后发现是这个盒子IM

仿真一下apk，发现账号密码都有缓存，发现不用手机号登录

10.机主的给对方的活有多少钱？[标准格式：53100]

30000

只有一个聊天记录，打开翻翻就有了**

11.机主的手机号是多少？[标准格式：13652492155]

17751125237

记账软件和会议软件应该都能看见

12.手机的IMEI1后四位是多少？[标准格式：2536]

1055

这题也许应该放在前面

13.手机上一共有几个地图软件？[标准格式：9]

3

服务器取证

1.该集群主节点操作系统版本是？[标准格式：100.100.100]

7.9.2009

2.该集群创建时间是？[标准格式：0000-00-00T00:00:00Z]

2024-06-24T11:28:12Z

由于之前k8s接触的比较少，这次借着遇到题目的机会，稍微学习一下k8s的相关内容kubectl get namespace default -o yaml，大概就是kubectl get namespace <命名空间名> -o(输出方式) yaml(格式)。

其实有点像docker容器，还可以使输出更精简kubectl get namespace default -o jsonpath='{.metadata.creationTimestamp}'。这两种方法都能输出创建时间。

3.该集群共有多少个命名空间？[标准格式：100]

7

给出两个代码段kubectl get namespaces和kubectl get namespaces --no-headers | wc -l两个原理一样，后面只是将输出的结果进行了变化

4.该集群所有命名空间内总共有多少个pod？[标准格式：100]

19

kubectl get pods --all-namespaces列出所有命名空间下面的pod，然后一个个数吧

5.请给出该集群所使用的cni网络插件及其版本？[标准格式：abc-V1.1.1]

flannel-V1.0.0

kubectl get pods -n kube-system -o wide | grep -E 'cni|calico|flannel|cilium|weave'列出 kube-system 中的网络组件

发现cni网络插件是flannel，需要知道它的版本，火眼搜插件名字可以直接出来

也可以通过查看pod的镜像，查看它的版本号kubectl describe pod <pod-name> -n kube-system | grep "Image:"

6.其中打金平台的后台登录地址跳转文件是？[标准格式：abc.php]

WIdbdgd1Us.php

打开宝塔面板，发现里面有两个网站，首先得确定哪个是打金平台，这里有个大坑，需要打开面板下的nginx服务，要不然打开网页就是会是hello centos

还有这里需要改hosts文件，让url被解析到指定ip上，才能打开网页。打开网页查看后发现，其中一个网页是什么jinrui coin，可以推测是某虚拟币，然后另外一个是菲华国际，应该就是打金平台了。hosts文件位置在C:\Windows\System32\drivers\etc目录下面

然后看看网站日志，搜索login，尝试第一个，发现就进入后台登录界面了，所以我们可以全局搜第一个的内容，看看能不能搜到包含这个内容的文件

也是直接搜到了，下面都是日志，第一个就是php文件

7.其中打金平台密码加密算法是？[标准格式：abc]

sha1

直接全局搜password，发现两个比较可疑的文件

打开看看具体内容，两边的意思大概就是给password用sha1和md5加密后，与数据库里面的对比，其实看上面两张图可以看出东西，没有index111的页面，但是有systemlogined这个界面，然后看看index页面的这个php文件

发现也是sha1算法，所以可以下定论了

8.其中打金平台中"13067137585"用户的累计产量有多少？[标准格式：100.00]

43853.21

查看发现是thinkphp架构，也是很快找到了配置文件，知道了数据库名和数据库密码，

需要先ssh连接到服务器，再从服务器本地访问数据库

在表ds_member里面发现了用户数据库，直接搜手机号

尝试看能不能查到密码明文，要付费...

直接改了好了，直接登录进来看，可以看见产量

9.其中打金平台会员组最高溢价比例是多少？[标准格式：10.00]

1.70

在ds_user表里看见后台用户数据库，查一下密码，发现可以查到，那就不用改

稍微找找就能找到了，发现最高是1.70

10.其中打金平台会员推广人数最多的会员其姓名是？[标准格式：名字]

李奕欣

用户表里面存在parent_id，可以对其进行统计

写个sql语句，主要是统计parent_id出现的次数

找到id为2309的人的真名，这里数据比较少，其实可以直接看表

11.其中打金平台最早一次备份数据库的时间（Asia/Shanghai）是？[标准格式：2024-01-01-01:01:01]

2019-05-06-22:27:57

全局大搜备份，可以找到两个表有，可能性比较大的是这个表

有两个时间，它说要最早的时间，那就是1557152877这个时间戳，转化一下

12.其中金瑞币（JINRUI COIN）平台图片上传平台是哪种类型？[标准格式：腾讯云ABC]

阿里云OSS

直接全局搜upload的php文件，直接就搜出来了AliyunOss.php

13.其中金瑞币平台手机直充接口是什么？[标准格式：http://xxx.xxx.xxx/xxx]

http://op.juhe.cn/ofpay/mobile/onlineorder

首先需要先尝试登录进网站，先改hosts文件，然后找找配置文件，看看密码的加密规则，发现是加盐md5，就是先将密码加盐之后进行md5与数据库里面存储的哈希进行对比

我们构造一个新密码，替换密码，进入平台看看

发现用户端好像找不到端口，在网站日志里面发现了后台地址，翻看配置文件，发现加密规则一样，但是管理员密码本来好像就是123456

进了后台也没找到...尝试直接爆搜了，第一个oil应该是油卡充值，第二个recharge应该是话费充值，

14.其中金瑞币平台后台登录地址是？[标准格式：http://xxx/xxx/xxx.xxx]

http://www.gsjksu2kig.com/admin.php/login/index.html

上一题已经把后台进了，这里贴一张关键截图

15.其中金瑞币平台中密码加密盐值是？[标准格式：AbC1d]

GWwRbMOPJYZCvE5gembG

随便翻翻，还是比较好找的

16.其中金瑞币平台中交易手续费是百分之多少？[标准格式：100]

36

在后台里面，直接看就行

17.其中金瑞币平台中目前有几种充值方式？[标准格式：100]

3

直接在后台里面看就行

18.二号集群节点有源代码的网站目录有几个？（正在运行的除外）[标准格式：1]

5

这里参考一下官方wp，使用find命令find / -name index.html在/opt目录下面找到大量未使用的源码

在/opt目录下面有5个网站，可以检查一下有没有源代码

19.二号集群节点memcached端口是？[标准格式：100]

11211

直接看端口，好像说memcached存在默认的端口号就是11211

20.盲盒平台中余额最多的用户是？[标准格式：AbC1d]

ZrAuyMT1tyo

连接数据库看

21.盲盒平台可选二级域名有多少个？[标准格式：100]

13

继续从日志里面找后台地址，然后去找密码加密方式，md5(用户名+密码)的加密方式

或者这里可以参考这个师傅的wp，思路可以，让返回值就是输入的用户名和密码的md5值，然后可以直接改2025年獬豸杯WriteUp-CSDN博客

后台可以直接看，其实数据库里面也能看，也挺清晰的

22.盲盒平台的支付密钥是？[标准格式：AbC1d]

LDAWIucAQQGQp7rEE4nSlvzQMKZxTxopqNSwjL8PcAIBbVLJkh

这里数据库里面也能看

23.盲盒平台中拥有分站的用户名是？[标准格式：123abc]

5432ef

后台可以直接看，数据库也能看

24.借贷平台（www.jiedai0rmr.com）中验证码发送接口域名是？[标准格式：http://xxx.xxx.xxx/]

http://api.smsbao.com/

好像也没有什么好的办法，就是先搜关键词多翻翻，或者可以尝试抓包看看

25.借贷平台后台登录密码的加密算法中共使用了多少次hash函数加密？[标准格式：10]

4

这道题说是在登录验证的地方indexaction类有继承的commonaction类，index这个里面没有讲密码加密逻辑，所以我们去common那里看看

可以在commonaction类里发现对密码进行了处理

26.接上题，借贷平台中后台登录的密码额外加密字符串？[标准格式：123ABc+]

26XBAmVMs+n_

额外字符串就是上文的cfg_adminkey，相当于盐值吧。可以直接去搜

27.借贷平台中一共有多少借款订单？[标准格式：100]

43

知道了加密方式，直接就可以算密码了，然后进后台。发现共43条记录

28.借贷平台中"包玉莲"的收款卡号是？[标准格式：1000]

6227001756030083140

用户不多，可以在后台直接翻。用户多的话还是数据库里面搜吧

29.借贷平台中贷款最大限额是多少？[标准格式：100]

350000

30.请综合该集群一共有多少个网站数据库？[标准格式：100]

7

原来直接一个root密码就能连上所有的数据库，我还一个个去连。打开的数据库都是网站数据库

总结

吐槽一下用的平台，这平台感觉只适合打CTF这种，取证的题目无限制提交，未免太变态了点。然后就是主办方飘忽不定的wp提交时间，一开始是说有人咸鱼交易，只给一个小时提交wp时间，这对我这种只顾猛猛做题，不截图写wp的人很不友好，我一个小时简略赶完了wp，然后告诉我说又延迟了一个小时提交wp。最后感觉所有题目一个分数也不合理啊，难题应该多给点分，简单题少点分。

抛去以上这些不说比赛的题目还是不错的，考了一个fiddler流量包，长见识了；计算机部分关于逆向的部分也不难；手机部分让我将数证杯学到的内容用起来了，算是比较好的复习吧；服务器的题目让我知道了bt面板还有nginx启动选项，给坑麻了；服务器的题目感觉就有点机械重复在里面，不过对新手熟悉服务器的基本打法还是很可以的。