2023年第七届蓝帽杯初赛wp

取证检材容器密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

案情介绍

2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目。

1.【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

雷电秒做
com.vestas.app

2.【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

jadx-gui打开

0x563b45ca

3.【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]
jadxgui找到AndroidManifast.xml，搜索即可

2147483647

4.【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]
打开app，可以看到

https://vip.licai.com

5.【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

io.dcloud.PandoraEntry

6.【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

雷电模拟器

日志里也能看到

7.【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]
火眼分析

8.【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]
应用列表

9.【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

5万

10.【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

华哥

11.【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]
23F861B2E9C5CE9135AFC520CBD849677522F54C

12.【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]
取证大师分析

pgs

13.【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

14.【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

直接看记录

15.【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

16.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

搜c盘搜不到，搜.bat

1c7f65c0d218632be9684f88e72fa0e8463ad796

17.【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

3w.qax.com!!@@

18.【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]
在嫌疑人计算机中发现starwind软件

3261

19.【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

这里只能看到账号，尝试去配置文件里找找密码

于是找找。。

20.【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

1019

在嫌疑人D盘发现一个disk.img

尝试刻录但是好像无效，导出用取证大师试试

找到记录

21.【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 01:02:27 +0800

22.【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]
前面火眼做过了

23.【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

24.【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

aad3b435b51404eeaad3b435b51404ee

25.【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 00:29:16

26.【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]
法一：火眼

法二：美亚小工具

3、我尝试用timeliner做但是好像不太准

27.【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

UTC +0 就是我们的6.21 00：56：57

看了很多师傅的回答也不知道正确答案是哪个/(ㄒoㄒ)/~~

28.【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

最后一次！

2456

pslist也可以
29.【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

3.10.0-957.el7.x86_64

30.【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

在火眼看到宝塔面板登录后发现密码看不了！不过起码知道了账号

还有个好办法就是查看配置文件.env

APP_NAME=LaravelGlobalBonus
APP_ENV=local
APP_KEY=base64:+90gHlNsoj6J0G9OepRfOkW/9IJHiK+bGS1Lt+wzn+M=
#APP_DEBUG=false
APP_DEBUG=true
APP_URL=http://localhost

LOG_CHANNEL=stack

DB_CONNECTION=mysql
DB_HOST=pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
DB_PORT=3306
DB_DATABASE=viplicai
DB_USERNAME=root
DB_PASSWORD=ff1d923939ca2dcf

BROADCAST_DRIVER=log
CACHE_DRIVER=file
QUEUE_CONNECTION=sync
SESSION_DRIVER=file
SESSION_LIFETIME=120

REDIS_HOST=127.0.0.1
REDIS_PASSWORD=null
REDIS_PORT=6379

MAIL_DRIVER=smtp
MAIL_HOST=smtp.mailtrap.io
MAIL_PORT=2525
MAIL_USERNAME=null
MAIL_PASSWORD=null
MAIL_ENCRYPTION=null

AWS_ACCESS_KEY_ID=
AWS_SECRET_ACCESS_KEY=

PUSHER_APP_ID=
PUSHER_APP_KEY=
PUSHER_APP_SECRET=
PUSHER_APP_CLUSTER=mt1

MIX_PUSHER_APP_KEY="${PUSHER_APP_KEY}"
MIX_PUSHER_APP_CLUSTER="${PUSHER_APP_CLUSTER}"
Edition=LC.V5

RoutePrefix=AdminV9YY
Template=hui
#起始推荐码
StartCode=513566
#随机推荐码
RanDomCode=369
#分红返利时间设定
BonusHours=H
BonusMinutes=30

31.【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

DB_HOST=pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

法一：配置文件中有
法二：宝塔

32.【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]
先修改密码

登录查看版本

select @@version；

33.【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

检材给了个xb文件，首先还原数据库

#下载qoress 包，解压给予权限
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"

tar xvf qpress-11-linux-x64.tar

chmod 775 qpress

cp qpress /usr/bin

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

用xftp把xb文件传过去

使用xbstream处理qp.xb文件

cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /www/server/data

进入/www/server/data进行解压

cd /www/server/data

innobackupex --decompress --remove-original /www/server/data

innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data

chown -R mysql:mysql /www/server/data

修改mysql配置文件

vim /etc/my.cnf#在[mysqld]块下添加lower_case_table_names=1

并加上跳过登陆验证skip-grant-tables

重启mysql服务器后进入数据库

给网站一个ip域名

登录有报错

改配置文件

进去了

我们需要尝试登陆后台先修改源码

火眼可以找到后台登录地址

寻找登录源码位置

/www/wwwroot/v9.licai.com/app/Http/Controllers/Admin

修改登录逻辑

尝试登录

成功！

可以开始做题了

34.【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

可以看到还有个root用户，我们直接切换到root用户登录

root
35.【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

4.00%
36.【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

183.160.76.194

37.【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20
38.【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

navicat连接

找到关于用户的表menber

新建查询

39.【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

128457.00

40.【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

根据上题上线ID为513935 查询即可

41.【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]
sql查询，共查到60条

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

42.【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

其实很明显就是嫌疑人

但是还是翻一下数据库

SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` ORDER BY inviter_count DESC

SELECT realname FROM `member` WHERE invicode = 617624

43.【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

可以写爬虫爬网页

但我比较懒/(ㄒoㄒ)/~~

数据库里有表moneylog

把表导出用excel查看

正的加起来负的加起来

14,978,796.38

over 拿下！