2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元；经询问，昨日

金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进

行敲诈，最终金某不堪重负，选择了报警；警方从金某提供的本人手机中，定向采集到了该“裸聊”软

件的安装包--zhibo.apk（检材一），请各位回答下列问题：（题目中需要通过分析出来的答案对检材

二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例：192.168.100.100-CAB2021）

请计算检材一Apk的SHA256值

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a

直接软件跑一下就出来了

、

该APK的应用包名为

plus.H5B8E45D3

（上题同理）

该APK程序在封装服务商的应用唯一标识（APPID）为

H5B8E45D3  这类似于身份证，AKp包的身份证。

当然也可以去网站源文件里面确认，就是看ID

该APK具备下列哪些危险权限(多选题)：
A.读取短信  B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

软件跑一下，全选

该APK发送回后台服务器的数据包含一下哪些内容(多选题)：
A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息

弘连动态监控很好

该APK程序回传通讯录时,使用的http请求方式为（）

小黄鸟post

该APK程序的回传地址域名为【标准格式：www.abc.com】

这个要用fiddler抓包，我不做手机的，fiddler可以抓包

当然，我水平较差，不会添加代理，所以我用弘连的抓包，简单一点。

网上有人用弘连抓，但是我抓不出来，我太菜了。

www.honglian7001.com

该APK程序代码中配置的变量apiserver的值为【标准格式：www.abc.com/abc】

这个我也不会，可以看其他解析，这个很难，我建议把简单题全部做对，就可以拿一等奖了

分析该APK，发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为【标准格式：w

ww.abc.com/abc】

按道理说，抓包是做得出来了，可以我水平太差，只会一点点静态

还是不会

经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为

不会

经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为

不会

经过掌握的APK程序后台服务器回连地址，警方成功调取该服务器的镜像，请使用第7题的答案对检材二进行

解压进行分析，并回答下列问题：

检材二的原始硬盘的SHA256值为：

这里计算硬盘哈希，必须拖到火眼里面跑一下，外面用hashcale计算的不对，那样计算的是镜像的，不是

硬盘的。

查询涉案于案发时间段内登陆服务器的IP地址为【标准格式：111.111.111.111】

火眼里面有两个，由于这题是解压后面检材的答案，所以可以试一下，得出

192.168.110.203是正确的，有点投机，但是我觉得出题人有暗示

请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（）【格式：文件存储】

接下来几个题目全部是看history命令，然后根据命令再走一遍，来一遍溯源

负载均衡  也不知道说啥，有很多证据说明他是反向代理

焦点就在于后面，写了反向代理，其实答案是负载均衡，就是把东西发到后面三个网址上

也就是说有三台服务器分别接受

这里就有一个分配

上一题中，提到的主要功能对应的服务监听的端口为：80

服务器基本配置

上一题中，提到的服务所使用的启动命令为：

看启动命令，不应该去原文件，看代码不太好，要去历史命令里面看。

就是跟着出题人思路一步一步分析，出题人其实改了很多次，需要对linux命令极其属性，

然后研究出题人制作过程，跟着他猜出来，而且要了解node app.js

经分析，该服务对于请求来源IP的处理依据是：根据请求源IP地址的第（）位进行判断【标准格式：9】

f分析代码

看这个，代码分析，split。其实是分隔符，就是把一个ip分成4块，类似于python代码，。作为一个分隔符，

那么由于是指针，分成了4块，【2】其实是第三位，这里小坑，一个涉及指针，是从0开始

经分析，当判断条件小于50时，服务器会将该请求转发到IP为（）的服务器上【标准格式：111.111.111.111】

答案来源于上192.168.110.111

请分析，该服务器转发的目标服务器一共有几台【标准格式：9】

3台

请分析，受害者通讯录被获取时，其设备的IP地址为【标准格式：111.111.111.111】

这题要嘛找到手机，对手机日记做分析

要吗直接看服务器的日记，然后分析

服务器日记总共是这么多，显然只有4.24是对滴

看到日记后，我发现只有这几个

192.168.110.203

192.168.110.252

192.168.110.142

请分析，受害者的通讯录被窃取之后，经由该服务器转发到了IP为（）的服务器上【标准格式：111.111.111.111】

哈哈哈，题目送了，110必然是第三个。

192.168.110.113

通过对检材二的分析，警方进一步掌握并落地到了目标服务器地址，通过对服务器进行证据固定，

得到服务器镜像--检材三，请使用第21题答案对检材三进行解密并分析，回答下列问题：

检材三的原始硬盘的SHA256值为：火眼算完就好了

SHA256：205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

请分析第21题中，所指的服务器的开机密码为：

由于弘连直接绕过，所以密码我也看不见的，我一下子没想到办法，应该是要去后面的地方看

嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为：hl123

由于提示宝塔面板，所以bt一下就好了

请分析用于重置宝塔面板密码的函数名为

这是百度宝塔修改密码函数

请分析宝塔面板登陆密码的加密方式所使用的哈希算法为

看到这里我可以推断是MD5算法，还有盐值

请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法

.setField('password',public.password_salt(public.md5(password),uid=1))

我稍微解释一下，uid1是账号，用来MD5加密，然后有一个public下的盐值

所以具体用到几次要去看pubilc下的盐

为了找到盐值位置，分析前面的代码

+class 其实就是进入class文件夹

可以看到这里两次加密

然后加上一开始一次MD5，所以总共是三次

请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】

盐值可以分析，但是在面板里面看更加好

请分析该服务器，网站源代码所在的绝对路径为

根目录就好

请分析，网站所使用的数据库位于IP为（）的服务器上（请使用该IP解压检材五，并重构网站）【

标准格式：111.111.111.111】

根据历史命令，找到数据库信息

请分析，数据库的登陆密码为【区分大小写】

wxrM5GtNXk5k5EPX（答案在上）

请尝试重构该网站，并指出，该网站的后台管理界面的入口为【标准格式：/web】

/admin

这个可以猜测是admin，试一下

然后也可以去看其他设备的浏览记录

已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】

可以看到，这里网站也是3次加密，盐值如下

一般网站，找admin ，然后去看网站文件

请分析该网站的管理员用户的密码为：

数据库在115上，应该是在后面的建材里面，所以我现在做不了，比赛的时候也要注意思维连贯度

涉及到raid重组，我喜欢用R-studio，中文版简单一点

systemctl restart mysqld 发现无法启动

数据库就是开启不了，这里要密码绕过，暴力一点

vi /etc/my.cnf   进入编辑文件

加一句skip-grant-tables

后面那个就很好

如何绕过mysql密码验证，忘记密码及mysql不慎将自己修改在登录权限之外的解决方法_边吃番茄边敲代码的博客-CSDN博客_mysql跳过密码验证

在对后台账号的密码加密处理过程中，后台一共计算几次哈希值3

我修改了网站后台绕过密码，如果想知道怎么绕过的，可以私我

请统计，后台中，一共有多少条设备记录

6002

请通过后台确认，本案中受害者的手机号码为

18644099137

请分析，本案中受害者的通讯录一共有多少条记录

搜索

请计算检材四-PC的原始硬盘的SHA256值

检材四的电脑有bitlocker密码

所以先用火眼分析，等下再仿真

请分析，检材四-PC的Bitlocker加密分区的解密密钥为

在我没办法的时候，搜索一下竟然发现了

511126-518936-161612-135234-698357-082929-144705-622578

请分析，检材四-PC的开机密码为

我发现有密码火眼也看不出来，就是可能加密分区后就傻了，最后还是出来啦

确实检测时间超长，不过最后还是出来啦

经分析发现，检材四-PC是嫌疑人用于管理服务器的设备，其主要通过哪个浏览器控制网站后台

谷歌，看记录看得到

请计算PC检材中用户目录下的zip文件的sha256值

也比较送分，拖出来看看就好了

0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3

请分析检材四-phone，该手机的IMEI号为

两个都要

请分析检材四-phone，嫌疑人和本案受害者是通过什么软件开始接触的【标准格式：支付宝】

看记录就好了，比较无脑

请分析检材四-phone，受害者下载恶意APK安装包的地址为

请分析检材四-phone，受害者的微信内部ID号为

请分析检材四-phone，嫌疑人用于敲诈本案受害者的QQ账号为

请综合分析，嫌疑人用于管理敲诈对象的容器文件的SHA256值为

接下来，包括这个就比较恶心，要快照，在快照里面才能看到，知道狗，不过下次也要注意，怎么解决这个

脑洞稍微大一点

而且这个容器，不要思维定式，一定是linux的docker ，其实虚拟机也可以称为容器，向这里我做的时候就是找docker，但是找不到docker，后面我才知道其实我的赚钱工具就是容器，所以ZIP的sha256不是叫我白求的。

我这里解释一下为什么虚拟机有两个快照，因为改密码的时候，就算作一次了，所以用火眼仿真做的虚拟机去人为快照一次是没什么意义的，所以推测其实pc的快照多半是存在容器里面的文件，那种备份文件，当然当快照有3个的时候，那说明可能真的有快照，但是也有例外，就是2个快照，前面一个是真的有的。

我基本检索了文件夹文件，基本没有，除了联系方式，所以只有我的赚钱工具，由于存在密码，就去passware爆破，发现这个密码和开机密码是一致的

现在我发现老毛桃绕过不如火眼来得快

直接打开什么都看不到，然后快照是有东西的，说明精华都在快照里面。

但是我发现无论如何，我都不能看到快照，就直接做了。

这题仿真出来，很多东西都是没有的，应该在快照里面，只有这小白鼠，应该是受害人信息

所以回到火眼去算哈希值

请综合分析嫌疑人检材，另外一受害者“郭先生”的手机号码为

还是虚拟机里面分析，因为显示文件没有，所以可以猜测文件都在快照里面，但是我死命做不出，所以我对火眼快照理解加深，两个快照其实就是没有东西，前面就是一个没有密码的账户。所以之后对火眼建的快照，两个就不要做文章了。

这里有一个小白鼠，然后又youvercrypt加密，所以可以猜测key，密钥一开始我就是去解压压缩包，希望能把密码爆破出来，没想到那个压缩包就是密钥解锁，压缩包key就是密钥，虽然思路离谱，但是操作起来觉得好有道理。

解压后顺利看到

郭先生手机点进去看不到，其实文件名就是手机号

通过嫌疑人检材，其中记录了几位受害者的信息

5

请使用第11题的密码解压“金先生转账.zip”文件，并对压缩包中的文件计算SHA256值

说实话，这个是11题的奖励选项，我不做手机所以做不出来

请综合分析，受害者一共被嫌疑人敲诈了多少钱（转账截图被隐藏在多个地方）

多图分析，最后是6600，但是我真的做不出来，数据库＋多个检材，说实话我觉得到6600很难，我退下了。