第三届长安杯解析(2次修订版)镜像+具体解析+个人详细解题过程,涉及多个模块,我会努力把所有写好,可以做一下题目,提升很明显。
第一次写的太烂了,看到其他大佬写的我很羞愧,所以努力修订。
长安杯链接:
链接:https://pan.baidu.com/s/1PIJpKRpn5H94_bxbOJIO0w?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V3的分享
先讲讲我的感悟:我目前没有参加过比赛,暑假做了第二届,解析写的我奔溃了,现在做第三届我和队友一起的,所以压力小一点,主要涉及服务器,网站重构,手机分析几个模块,我啥都不太擅长,所以写博客来督促自己努力学习,也与各位一起分享。
说一下镜像,总共有五个检材,密码只知道前几个,然后其他密码藏在题目里。
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日 金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进 行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该“裸聊”软 件的安装包--zhibo.apk(检材一),请各位回答下列问题:(题目中需要通过分析出来的答案对检材 二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021) |
||
1 |
请计算检材一Apk的SHA256值 3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a 直接软件跑一下就出来了 、 |
|
2 |
该APK的应用包名为 plus.H5B8E45D3 (上题同理) |
|
3 |
该APK程序在封装服务商的应用唯一标识(APPID)为 H5B8E45D3 这类似于身份证,AKp包的身份证。 当然也可以去网站源文件里面确认,就是看ID |
|
4 |
该APK具备下列哪些危险权限(多选题): 软件跑一下,全选 |
|
5 |
该APK发送回后台服务器的数据包含一下哪些内容(多选题): 弘连动态监控很好 |
|
6 |
该APK程序回传通讯录时,使用的http请求方式为() 小黄鸟post |
|
7 |
该APK程序的回传地址域名为【标准格式:www.abc.com】 这个要用fiddler抓包,我不做手机的,fiddler可以抓包 当然,我水平较差,不会添加代理,所以我用弘连的抓包,简单一点。 网上有人用弘连抓,但是我抓不出来,我太菜了。 www.honglian7001.com |
|
8 |
该APK程序代码中配置的变量apiserver的值为【标准格式:www.abc.com/abc】 这个我也不会,可以看其他解析,这个很难,我建议把简单题全部做对,就可以拿一等奖了 |
|
9 |
分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为【标准格式:w ww.abc.com/abc】 按道理说,抓包是做得出来了,可以我水平太差,只会一点点静态 还是不会 |
|
10 |
经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为 不会 |
|
11 |
经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为 不会 |
|
经过掌握的APK程序后台服务器回连地址,警方成功调取该服务器的镜像,请使用第7题的答案对检材二进行 解压进行分析,并回答下列问题: |
||
12 |
检材二的原始硬盘的SHA256值为: 这里计算硬盘哈希,必须拖到火眼里面跑一下,外面用hashcale计算的不对,那样计算的是镜像的,不是 硬盘的。 |
|
13 |
查询涉案于案发时间段内登陆服务器的IP地址为【标准格式:111.111.111.111】 火眼里面有两个,由于这题是解压后面检材的答案,所以可以试一下,得出 192.168.110.203是正确的,有点投机,但是我觉得出题人有暗示 |
|
14 |
请对检材二进行分析,并回答该服务器在集群中承担的主要作用是()【格式:文件存储】 接下来几个题目全部是看history命令,然后根据命令再走一遍,来一遍溯源 负载均衡 也不知道说啥,有很多证据说明他是反向代理 焦点就在于后面,写了反向代理,其实答案是负载均衡,就是把东西发到后面三个网址上 也就是说有三台服务器分别接受 这里就有一个分配 |
|
15 |
上一题中,提到的主要功能对应的服务监听的端口为:80 服务器基本配置 |
|
16 |
上一题中,提到的服务所使用的启动命令为: 看启动命令,不应该去原文件,看代码不太好,要去历史命令里面看。 就是跟着出题人思路一步一步分析,出题人其实改了很多次,需要对linux命令极其属性, 然后研究出题人制作过程,跟着他猜出来,而且要了解node app.js |
|
17 |
经分析,该服务对于请求来源IP的处理依据是:根据请求源IP地址的第()位进行判断【标准格式:9】 f分析代码 看这个,代码分析,split。其实是分隔符,就是把一个ip分成4块,类似于python代码,。作为一个分隔符, 那么由于是指针,分成了4块,【2】其实是第三位,这里小坑,一个涉及指针,是从0开始 |
|
18 |
经分析,当判断条件小于50时,服务器会将该请求转发到IP为()的服务器上【标准格式:111.111.111.111】 答案来源于上192.168.110.111 |
|
19 |
请分析,该服务器转发的目标服务器一共有几台【标准格式:9】 3台 |
|
20 |
请分析,受害者通讯录被获取时,其设备的IP地址为【标准格式:111.111.111.111】 这题要嘛找到手机,对手机日记做分析 要吗直接看服务器的日记,然后分析 服务器日记总共是这么多,显然只有4.24是对滴 看到日记后,我发现只有这几个 192.168.110.203 192.168.110.252 192.168.110.142 |
|
21 |
请分析,受害者的通讯录被窃取之后,经由该服务器转发到了IP为()的服务器上【标准格式:111.111.111.111】 哈哈哈,题目送了,110必然是第三个。 192.168.110.113 |
|
通过对检材二的分析,警方进一步掌握并落地到了目标服务器地址,通过对服务器进行证据固定, 得到服务器镜像--检材三,请使用第21题答案对检材三进行解密并分析,回答下列问题: |
||
22 |
检材三的原始硬盘的SHA256值为:火眼算完就好了 SHA256:205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF |
|
23 |
请分析第21题中,所指的服务器的开机密码为: 由于弘连直接绕过,所以密码我也看不见的,我一下子没想到办法,应该是要去后面的地方看 |
|
24 |
嫌疑人架设网站使用了宝塔面板,请问面板的登陆用户名为:hl123 由于提示宝塔面板,所以bt一下就好了 |
|
25 |
请分析用于重置宝塔面板密码的函数名为 这是百度宝塔修改密码函数 |
|
26 |
请分析宝塔面板登陆密码的加密方式所使用的哈希算法为 看到这里我可以推断是MD5算法,还有盐值 |
|
27 |
请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法 .setField('password',public.password_salt(public.md5(password),uid=1)) 我稍微解释一下,uid1是账号,用来MD5加密,然后有一个public下的盐值 所以具体用到几次要去看pubilc下的盐 为了找到盐值位置,分析前面的代码 +class 其实就是进入class文件夹 可以看到这里两次加密 然后加上一开始一次MD5,所以总共是三次 |
|
28 |
请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】 盐值可以分析,但是在面板里面看更加好 |
|
29 |
请分析该服务器,网站源代码所在的绝对路径为 根目录就好 |
|
30 |
请分析,网站所使用的数据库位于IP为()的服务器上(请使用该IP解压检材五,并重构网站)【 标准格式:111.111.111.111】 根据历史命令,找到数据库信息 |
|
31 |
请分析,数据库的登陆密码为【区分大小写】 wxrM5GtNXk5k5EPX(答案在上) |
|
32 |
请尝试重构该网站,并指出,该网站的后台管理界面的入口为【标准格式:/web】 /admin 这个可以猜测是admin,试一下 然后也可以去看其他设备的浏览记录 |
|
33 |
已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】 可以看到,这里网站也是3次加密,盐值如下 一般网站,找admin ,然后去看网站文件 |
|
34 |
请分析该网站的管理员用户的密码为: 数据库在115上,应该是在后面的建材里面,所以我现在做不了,比赛的时候也要注意思维连贯度 涉及到raid重组,我喜欢用R-studio,中文版简单一点 systemctl restart mysqld 发现无法启动 数据库就是开启不了,这里要密码绕过,暴力一点 vi /etc/my.cnf 进入编辑文件 加一句skip-grant-tables 后面那个就很好 如何绕过mysql密码验证,忘记密码及mysql不慎将自己修改在登录权限之外的解决方法_边吃番茄边敲代码的博客-CSDN博客_mysql跳过密码验证 |
|
35 |
在对后台账号的密码加密处理过程中,后台一共计算几次哈希值3 我修改了网站后台绕过密码,如果想知道怎么绕过的,可以私我 |
|
36 |
请统计,后台中,一共有多少条设备记录 6002 |
|
37 |
请通过后台确认,本案中受害者的手机号码为 18644099137 |
|
38 |
请分析,本案中受害者的通讯录一共有多少条记录 搜索 |
|
通过对检材二和三进行分析,警方通过IP落地,警方掌成功抓获犯罪嫌疑人,现将嫌疑人的PC机和手机进行了取证,分别制作了镜像,请使用第13题的答案对检材四进行解密,并回答下列问题 | ||
39 |
请计算检材四-PC的原始硬盘的SHA256值 检材四的电脑有bitlocker密码 所以先用火眼分析,等下再仿真 |
|
40 |
请分析,检材四-PC的Bitlocker加密分区的解密密钥为 在我没办法的时候,搜索一下竟然发现了 511126-518936-161612-135234-698357-082929-144705-622578 |
|
41 |
请分析,检材四-PC的开机密码为 我发现有密码火眼也看不出来,就是可能加密分区后就傻了,最后还是出来啦 确实检测时间超长,不过最后还是出来啦 |
|
42 |
经分析发现,检材四-PC是嫌疑人用于管理服务器的设备,其主要通过哪个浏览器控制网站后台 谷歌,看记录看得到 |
|
43 |
请计算PC检材中用户目录下的zip文件的sha256值 也比较送分,拖出来看看就好了 0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3 |
|
44 |
请分析检材四-phone,该手机的IMEI号为 两个都要 |
|
45 |
请分析检材四-phone,嫌疑人和本案受害者是通过什么软件开始接触的【标准格式:支付宝】 看记录就好了,比较无脑 |
|
46 |
请分析检材四-phone,受害者下载恶意APK安装包的地址为 |
|
47 |
请分析检材四-phone,受害者的微信内部ID号为 |
|
48 |
请分析检材四-phone,嫌疑人用于敲诈本案受害者的QQ账号为 |
|
49 |
请综合分析,嫌疑人用于管理敲诈对象的容器文件的SHA256值为 接下来,包括这个就比较恶心,要快照,在快照里面才能看到,知道狗,不过下次也要注意,怎么解决这个 脑洞稍微大一点 而且这个容器,不要思维定式,一定是linux的docker ,其实虚拟机也可以称为容器,向这里我做的时候就是找docker,但是找不到docker,后面我才知道其实我的赚钱工具就是容器,所以ZIP的sha256不是叫我白求的。 我这里解释一下为什么虚拟机有两个快照,因为改密码的时候,就算作一次了,所以用火眼仿真做的虚拟机去人为快照一次是没什么意义的,所以推测其实pc的快照多半是存在容器里面的文件,那种备份文件,当然当快照有3个的时候,那说明可能真的有快照,但是也有例外,就是2个快照,前面一个是真的有的。 我基本检索了文件夹文件,基本没有,除了联系方式,所以只有我的赚钱工具,由于存在密码,就去passware爆破,发现这个密码和开机密码是一致的 现在我发现老毛桃绕过不如火眼来得快 直接打开什么都看不到,然后快照是有东西的,说明精华都在快照里面。 但是我发现无论如何,我都不能看到快照,就直接做了。 这题仿真出来,很多东西都是没有的,应该在快照里面,只有这小白鼠,应该是受害人信息 所以回到火眼去算哈希值 |
|
50 |
请综合分析嫌疑人检材,另外一受害者“郭先生”的手机号码为 还是虚拟机里面分析,因为显示文件没有,所以可以猜测文件都在快照里面,但是我死命做不出,所以我对火眼快照理解加深,两个快照其实就是没有东西,前面就是一个没有密码的账户。所以之后对火眼建的快照,两个就不要做文章了。 这里有一个小白鼠,然后又youvercrypt加密,所以可以猜测key,密钥一开始我就是去解压压缩包,希望能把密码爆破出来,没想到那个压缩包就是密钥解锁,压缩包key就是密钥,虽然思路离谱,但是操作起来觉得好有道理。 解压后顺利看到 郭先生手机点进去看不到,其实文件名就是手机号 |
|
51 |
通过嫌疑人检材,其中记录了几位受害者的信息 5 |
|
52 |
请使用第11题的密码解压“金先生转账.zip”文件,并对压缩包中的文件计算SHA256值 说实话,这个是11题的奖励选项,我不做手机所以做不出来 |
|
53 |
请综合分析,受害者一共被嫌疑人敲诈了多少钱(转账截图被隐藏在多个地方) 多图分析,最后是6600,但是我真的做不出来,数据库+多个检材,说实话我觉得到6600很难,我退下了。 |
第三届长安杯解析(2次修订版)镜像+具体解析+个人详细解题过程,涉及多个模块,我会努力把所有写好,可以做一下题目,提升很明显。相关推荐
- kali linux 2020虚拟机镜像的安装(详细安装过程及安装包百度云连接)
由于kali的安装包在官网下载速度极慢,这里提供了一个kali 2020.2的安装包的百度云连接,希望可以帮助大家: kali-linux-2020-W20-installer-amd64.iso 链 ...
- 2021第三届长安杯
检材一 2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元.经询问,昨日金某被嫌疑人诱导裸聊,下载了某"裸聊"软件,导致自己的通讯录和裸聊视频被嫌疑人 ...
- 2021第三届长安杯检材三复盘
22.检材三的原始硬盘的SHA256值为: 205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF 23请分析第21题中,所指 ...
- 2022第四届长安杯检材一wp
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 "H ...
- 2022第四届长安杯复盘(WP)
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 " ...
- 2020第二届长安杯电子数据竞赛试题(二次修改版),本人亲解,尽量做到细致仔细,镜像百度网盘奉上,建议大家联系一下,弘连题目还是很好的(强烈推荐)
百度云链接 链接:https://pan.baidu.com/s/1iEItwBUZx6X4_oe_ZfQlvw?pwd=ybww 提取码:ybww -来自百度网盘超级会员V2的分享 如果链接失效了, ...
- 2019年第一届长安杯解析,深入科普,理清思路,流量部分不太会,其他部分基本有详细解。
镜像可以官网下载,这里不给链接. 1 / 12 长安杯 第一届电子数据取证竞赛 题目 案情简介 在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为 自己在一个 P2P 网站中 ...
- 蓝桥杯c语言复赛试题,第三届蓝桥杯复赛题解析
第三届蓝桥杯复赛题原题: http://www.cnblogs.com/AkQuan/archive/2012/04/10/2440370.html 第一题: 1 #include 2 intmain ...
- 21美亚杯团队赛,镜像+解析,只做了pc+恶意+内存,希望与大家一起学习进步。
这是镜像,题目也在镜像里面. 链接:https://pan.baidu.com/s/1WMWUWd1M-7HINIWafr7oCg?pwd=ybww 提取码:ybww --来自百度网盘超级会员V3的分 ...
最新文章
- android系统二次开发,Andorid系统二次开发界面
- 基于redis分布式锁实现“秒杀”
- 报名 | 清华大学大数据能力提升项目开始报名啦!(2021秋)
- Synchronized同步的考虑
- Libra教程之:数据结构和存储
- IOS开发UI篇之──自定义加载等待框(MBProgressHUD)
- 生命游戏c语言代码easy,c++生命游戏源码
- Spring Cloud Spring Boot mybatis分布式微服务云架构(一)快速入门
- 计算器算贝塞尔公式_我不是灯光设计师,但是我会算空间的平均照度
- python列表找大写字母_使用Python实现将list中的每一项的首字母大写
- B站黑马Python笔记,打卡day3
- 使用 Python 和 Bitly 缩短您的 URL
- APISpace 预热开启
- FTP服务器获取文件,并解析GRB2文件获取数据
- 2022年必读的10本经管好书
- 作为元宇宙里的潮人,怎能不穿上时髦的数字服装呢?
- python协程实现一万并发_python进阶:服务端实现并发的八种方式
- 三台机器安装zookeeper集群
- python华为corba接口_CORBA接口用戶手册.doc
- solr之使用IKAnalyzer配置同义词,停止词,扩展词。