2024电子取证“獬豸杯”WP

简介：

竞赛为个人赛，工具自备，只发证书（还没用，公告这么写的哈）竞赛选手们将对模拟的案件进行电子数据调查取证，全面检验参赛选手电子数据取证的综合素质和能力。

检材链接： https://pan.baidu.com/s/1t_6Fwl6RgmEtF0UXRfVD1A?pwd=j583

密码：都考100分

参赛对象:

电子数据取证分析从业人员

高校学生，CTF爱好者，相关专业老师

电子数据取证爱好者

计算机部分

基本信息- 1、计算机系统的安装日期是什么时候。（标准格式：20240120）

系统痕迹- 1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

数据库分析- 2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

数据库分析- 3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

数据库分析- 4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

邮箱服务器- 1、请问邮箱服务器的登录密码是多少。（标准格式：admin）

邮箱服务器- 2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

邮箱服务器- 3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

邮箱服务器- 4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

1.计算机系统的安装日期是什么时候（标准格式：20240120）

仿真需要Bitlocker，在手机图片里有记录——Longxin@123

放火眼分析

FLAG：20240112

2.请问机主最近一次访问压缩包文件得到文件名称是什么（标准格式：1.zip）

FLAG：data.zip

3.还原数据库，请分析root用户最后一次更改密码的时间是什么时候（标准格式：2024-01-20.12:12:12)

解密仿真的D盘后，可以打开FoxMail查看消息

导出data.zip，算MD5发现符合，但是加密打不开

根据提示要找到尾号555的电话号码

掏出ARCHPR爆破zip文件

电话号码固定为11位，开头为1，结尾为555，设置好就可以爆破了

密码：15566666555

也可以使用Passware Kit的掩码攻击

shit，要我购买，下次装个破解版，密码和上面一样的

解压结果，发现都是mysql环境的文件

启动小皮，搭建Mysql环境，后面尝试用navicat连接

在MySQL配置文件my.ini的[mysqld]块下加入skip-grant-tables设置免密登录

将data文件夹替换

启动MySQL，用Navicat连接

翻找即可

FLAG：2021-03-17.15:49:52

4.请问mysql数据库中共存在多少个数据库（标准格式：阿拉伯数字）

FLAG：5

5.员工编号为204200的员工总工资为多少元（标准格式：阿拉伯数字）

SELECT sum(salary) FROM `salaries_list` where emp_no = 204200;

FLAG：488313

6.Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名（标准格式：阿拉伯数字）

筛选的条件——dept_no和from_date

SELECT COUNT(*)FROM `hiredate`

where dept_no ='d002'and from_date >='1999-01-01'

FLAG：1486

7.请问邮箱服务器的登录密码是多少（标准格式：admin）

FLAG：900110

8.邮件服务器中共有多少个账号（标准格式：阿拉伯数字）

弘连只有2个，美亚取证大师恢复数据后可以找到3个

FLAG：3

9.邮件服务器中共有多少个域名（标准格式：阿拉伯数字）

可以在文件里直接找

FLAG：3

10.请问约定见面的地点在哪里（标准格式：太阳路668号）

猜测图片隐写

修改jpg高度，ctrl+f搜索’FFC0’

改成08FF

FLAG：中国路999号

APK部分

1、APP包名是多少。（标准格式：com.xxx.xxx）

2、apk的主函数名是多少。（标准格式：comlongxin）

3、apk的签名算法是什么。（标准格式：xxx）

4、apk的应用版本是多少。（标准格式：1.2）

5、请判断该apk是否需要联网。（标准格式：是/否）

6、APK回传地址？（标准格式：127.0.0.1:12345）

7、APK回传数据文件名称是什么。（标准格式：1.txt）

8、APK回传数据加密密码是多少。（标准格式：admin）

9、APK发送回后台服务器的数据包含以下哪些内容？（多选） A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

1.APP包名是多少（标准格式：com.xxx.xxx）

工具分析结果

Manifest文件也可找到

FLAG：com.example.readeveryday

2.apk的主函数名是多少（标准格式：comlongxin）

FLAG：StartShow

3.apk的签名算法是什么（标准格式：xxx）

用雷电直接分析，答案有点问题。直接jadx打开apk分析

找出的答案最原始

FLAG：SHA1withRSA

4.apk的应用版本是多少（标准格式：1.2）

FLAG：1.0

5.请判断该apk是否需要联网（标准格式：是/否）

jadx也可以找到

FLAG：是

6.APK回传地址？（标准格式：127.0.0.1:12345）

jadx定位checkAndUpload函数，找到ip信息

FLAG：10.0.102.135:8888

7.APK回传数据文件名称是什么（标准格式：1.txt）

jadx找upload关键词，可以结合第6题找到checkAndUpload函数，定位文件

FLAG：Readdata.zip

8.APK回传数据加密密码是多少（标准格式：admin）

爆搜password，第一个就是

FLAG：19_08.05r

9.APK发送回后台服务器的数据包含以下哪些内容？（多选）

A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

contact对应通讯录，sms对应短信，app对应手机应用列表

FLAG：ABE

手机部分

手机基本信息- 1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

手机基本信息- 2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

手机基本信息- 3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

手机基本信息- 4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

地图数据- 1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

浏览器- 1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

浏览器- 2、手机机主计划去哪里旅游。（标准格式：苏州）

即时通讯- 1、手机机主查询过那个人的身份信息。（标准格式：龙信）

即时通讯- 2、请问机主共转多少费用用于数据查询。（标准格式：1000）

即时通讯- 3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

1.IOS手机备份包是什么时候开始备份的（标准格式：2024-01-20.12:12:12)

解压后的log文件可以找到备份时间

火眼里也可以定位存放备份时间信息的文件，时间差不多2024.01.15-14:19:45

FLAG：2024-01-15.14:19:44

2.请分析，该手机共下载了几款即时通讯工具（标准格式：阿拉伯数字）

这种题要摸清出题人的思路，一般出题是在离比赛时间最近的一定时间范围内出的，而且大多数是外部下载的apk。所以可以通过时间排序的方法，或者关键词筛选找出所有出题人设计的内容

比如这题，应用列表里肯定要找非预装的app

即可找到3个通讯app——QQ 陌陌 小西米

3.手机机主的号码得ICCID是多少（标准格式：阿拉伯数字）

FLAG：89860320245121150689

4.手机机主登录小西米语音的日期是什么时候（标准格式：20240120）

FLAG：20240115

5.请问嫌疑人家庭住址在哪个小区（标准格式：松泽家园）

FLAG：天铂华庭

6.Safari浏览器书签的对应数据库名称是什么（标准格式：sqltie.db)

先问AI

爆搜关键词：Bookmarks

定位源文件即可

FLAG：Bookmarks.db

7.手机机主计划去哪里旅游（标准格式：苏州）

FLAG：拉萨

8.手机机主查询过哪个人的身份信息（标准格式：龙信）

从这一题开始难度较大，8-10是同一个主题，猜测要找到数据库，使用SQL语句统计

图片里有一个查询聊天记录，查询对象的号码为：17712680573

针对电话号码直接爆搜定位数据库即可，数据库为im5db

FLAG：龙黑

9.请问机主共转多少费用用于数据查询（标准格式：1000）

FLAG：1100

10.机主查询的信息中共有多少男性（标准格式：阿拉伯数字）

通过查询，身份证排列顺序从左至右依次为: 六位数字地址码，八位数字出生日期码，三位数字顺序码和一位数字校验码。 中国大陆居民身份证第十七位数字表示性别:奇数表示男性，偶数表示女性。

然后整理了一下，里边有4个，有2个身份证不全

所以第十题答案为：4

FLAG：4

总结

这次獬豸杯难度较低，个人认为难度排行为：计算机>手机>APK

apk可以使用jadx工具找到对应信息，差不多都能做。手机难点在定位小西米app的数据库文件，并结合各种信息找到答案。手机给计算机提供了很多线索，手机备忘录的密码正好是计算机D盘的Bitlocker密码。计算机部分的难点在于掩码爆破和数据库搭建，这也是我较为空白的一部分，可以说和CTF与网站重构结合的比较多。另外数据库语句的筛选也较难，之前在数据分析里有遇到过。后面有图片改长度隐写，也学到了一点文件结构的知识。

珍惜每分每秒！