盘古石2023晋级赛
盘古石2023晋级赛(手机和计算机取证部分)
题目&答案
/%E6%99%8B%E7%BA%A7%E8%B5%9B%E9%A2%98%E7%9B%AE%E7%AD%94%E6%A1%88.jpg)
解析
1.涉案应用刷刷乐的签名序列号:
11fcf899
/1.png)
2.涉案应用刷刷乐是否包含读取短信权限#
否
xml中没有,java源码似乎也没有动态授予,只是在定义类中出现
/2.png)
说明一下,AndroidManifest.xml是用来声明app的权限的;app的权限可以主要分为一般权限,危险权限,在Android6.0以上,一般权限会由安卓直接读取xml文件自动授予;而危险权限的话,则要在动态调用,就是调用前要经过用户的许可;如果是Android5.1一下,危险权限在安装的时候会问用户的许可,如果用户拒绝,应用将不会被安装,常见的危险权限如下:(图片来自:android6.0动态权限申请的正确流程 | jianyu的博客 | 每天进步一点点 (rain9155.github.io))
/2-1.png)
3.涉案应用刷刷乐打包封装的调证ID值为
A6021386163125
/3.png)
4.刷刷乐服务器的地址域名
vip.shuadan.com
这个直接在敏感信息里搜索.com或者http://都可以找到,注意格式
/4.png)
5.涉案应用刷刷乐是否存在录音行为#
是
这个在xml里没有,但是貌似源码中有动态调用录音权限(抱歉米娜桑,我的java学的不好,错了直接喷)
/5.png)
6.涉案应用未来资产的包名
plus.H5CE4B30D
/6.png)
7.涉案应用未来资产语音服务调证key值
53feacdd
/7.png)
8.未来资产的服务器域名是
vip.usdtre.club
同刷刷乐
/8.png)
9.涉案应用未来资产打包封装的调证ID值为
H5CE4B30D
/9.png)
10.容恨寒的安卓手机蓝牙物理地址是
这个不知道为什么火眼没分析出来,直接进/Basic/deviceinfo.json看看
A9:8B:34:8B:04:50
/10.png)
11.容恨寒的安卓手机SIM的ICCID是
89014103211118510720
同上图,在最后一行有
12.团队内部沟通的聊天工具应用程序是
Potato
这里也是手动分析出来的,首先看嫌疑人容恨寒装了什么聊天app,我这里有个思路,虽然不是做的时候的
先看Basic\appinfo.db
找他的聊天软件,然后,根据包名翻data\data\下的包名文件夹,进数据库看聊天记录,就可以确定
他的聊天软件有微信,陌陌,Potato
/12.png)
↑当时我先翻的potato,找到了如下
/12-1.png)
/12-2.png)
base64解密后是
/12-3.png)
这些信息足够确定嫌疑人在Potato沟通工作,所以答案出来了
13.团队内部沟通容恨寒收到的最后一条信息是
收到
在Potato最大的数据库文件中,找到两个表,如上解密base64发现都是聊天记录,但是不同的是一个表有TONAME列,因此合理推测这个表是单人聊天的数据,另一个则是群聊,找到群聊的表,根据时间排序,最后一条记录解密后为“收到”
/13.png)
14.刷单.rar的MD5值为
dc52d8225fd328c592841cb1c3cd1761
既然手工这么多了,那我继续:首先手机的根目录有一个是storage文件夹,一个data文件夹,其中data是手机本机储存的文件,另一个storage是sd卡之类的,在\storage\emulated\0\Android\data\com.qim.imm\files\Potato\Attachment下发现rar,计算MD5即可;
15.刷单.rar的解压密码为
wlzhg@3903@xn
/15.png)
在这个表里找到的,压缩包密码规则,或者区去聊天记录的表里面批量解密base64也可以找到,那么由图知道容恨寒是西南区所以压缩包密码为wlzhg@?d?d?d?d@xn,只差了四位数字不知道,这里爆破一下,不知道为什么archpr用不了,用hashcat爆破吧,先rar2john计算哈希,再根据其hash爆破
/15-1.png)
爆出来那四位数字是3906
16.发送刷单.rar的用户的手机号码为
18969939616
/16.png)
这个表似乎包含了聊天中发送的文件,还有文件发送记录的ID,复制ID去聊天记录表里面找一下,最后发现是ID对应的聊天记录是容恨寒的,再这个记录了用户信息的表中找他电话就可以
/17.png)
17.发送多个报表的用户来自哪个部门#
西南分区
前文有提到容恨寒是西南分区的
18.MAC的开机密码是
apple
这个也是在火眼找了半天找不着,然后想起来之前看到的应用包名里面有备忘录,猜测可能记录在那里,
在 坚果pro3\data\data\com.lq.bwljsb\databases下的runs发现了这些,妙哉!这下18和19都搞定了
/18.png)
19.苹果手机备份密码的前四位是
1976
20.魏文茵的苹果手机IMEI是
这回火眼能用了hhh
/20.png)
21.魏文茵可能使用过的手机号不包括#
/21-1.png)
不知道为什么只搜到了1和3是用过的
22臧觅风的微信ID
/22.png)
23臧觅风在什么地方使用过交友软件
要放开思路,他的交友APP不一定直接显示登陆地点,但是他使用APP的时间可以和其他信息关联起来推断所在地,比如说照片
/23-1.png)
臧在4月12日九时左右使用交友软件疑似要果聊或者月抛,但是探探和其他软件均未显示其地点信息,但是在相册可以发现晚上8:40左右拍摄的照片
因此根据照片推断人在西安
/23.png)
24.臧在购买源码的账户是?
/24.png)
5768224669
25臧购买源码花费多少BTC?
最后成交价0.08
/25.png)
26接受源码的邮箱是?
/26.png)
molihuacha0072hotmail.com
27.容恨寒苹果手机的IMEI?
29容恨寒微信的ID?
检材清单中并没有提到容恨寒有苹果手机,只说了他有坚果pro3和一个macbook,因此合理推断他的苹果手机在电脑里面有备份,备份密码前面有提到过,但是不知道为什么我的数据库没有完整的密码,问了别人说他们的数据库直接可以找到是19760908,因此这里直接将备份文件作为新的检材让火眼分许,输入备份密码,最后可以找到IMEI和微信ID
/27.png)
/29.png)
28.问容恨寒苹果手机“易信”的唯一标识符
这个指的是,容恨寒的苹果在登录易信的时候,易信给苹果手机分配的,用来标识它的唯一标识符,在文件系统中搜索yixin
在login_device_id_v1这里可以看到
/28.png)
30.嫌疑人魏文茵计算机操作系统版本
/30.png)
按照答案的格式,应该是Windows 10 Professional 14393,14393是build版本号,后面的2189则是修订号
31.默认浏览器是
/31.png)
Google Chrome
32.以下哪个不是嫌疑人最近打开的文档
/32.png)
/32-1.png)
掠夺攻略,选1
33.魏文茵电脑有几个加密分区
1个
/33.png)
34魏文茵装了什么第三方加密软件
/image-20240927214906389.png)
仿真之后看了只有truecrypt,vera找不到
35TrueCrypt的加密容器是哪个?
这里火眼分析不出来,但是看文件的大小可以发现,Users/Documents下的《穿越六十年代小知青》这个txt大小不正常,足有1G左右,因此就是它了
36BitLocker密钥是
这个要用取证大师搜索原始检材的功能,笔者没有license
答案放这里
000649-583407-395868-441210-589776-038698-479083-651618
37.攻略.docx有几种诈骗方式
38种
/37.png)
38华中组的诈骗收益
/38.png)
100万
39.魏文茵电脑的print.exe的PID
这个用火眼自带的内存分析工具,是728
/39.png)
40.臧觅风电脑E01检材的SHA-1
813fc904eca559b2dcfce2802ae87e013daaa81f
41.臧觅风电脑的总扇区数
火眼没有计算扇区的功能,用取证大师看是536,870,912
42哪个文件不是技术员用浏览器下载的
/42.png)
/42-1.png)
4不是
43好东西.zip的解压密码是?
/43.png)
/43-1.png)
打开臧觅风的手机检材,微信账号处获取其手机号信息
44.臧觅风曾经远程连master.k8s.com,端口是?
/44.png)
搜索域名,发现臧用VanDyke连接,该文件夹下都是远程连接的配置文件,找到这个域名的,端口为000008ea,转成十进制是2282
45接着上题,问服务器的密码
这个在账号密码.doc文件里,老实说,我以为是要接着推断上图Password的算法,解密,谁知道在这里
/45.png)
46.臧的电脑有了装了各种各样密码的txt,计算MD5
/46.png)
c1934045c3348ea1ba618279aac38c67
47.臧的计算机使用过反取证技术,指出加密容器的盘符
仿真后在D盘找到了一个5g大小的word”资料.doc”,这个就是容器了,在火眼里搜索容器发现
/47.png)
合理推测这个doc挂过F盘;
48.臧的计算机keepass的master password是什么?
keepass是密码管理器,而master password是进入keepass用的密码;
上一题提到了容器,新知识点,passware可以用来解密bitlocker和加密容器,
直接加载内存镜像到passware,然后passware会将容器变成未保护状态,将其加载到火眼,以镜像文件的形式,翻找得到
/48.png)
这题补充一些东西:1.passware在全盘加密那里加载内存镜像然后解密容器,建议改后缀为.tc
2.这题也可以用volatility2完成
首先:
1 | vol.py -f memoryfile --profile=correct_profile truecryptmaster -D ./ |
这个实际上利用了truecrypt的一个漏洞,就是主密钥必须存在RAM中
获取主密钥文件后,用MKDecrypt挂载解密tc容器,
1 | sudo python MKDecrypt.py -m mounting_point -X encrypted_tc_container master_key |
挂载点一般在/mnt/目录之下,可以自己创一个,不想挂载了就回车取消
3.如果想挂载到windows,用xwf先将镜像转换为磁盘,在专业工具栏,然后再用ftk挂载
49.臧的电脑用的爬虫软件叫什么
后羿采集器
/48.png
/49.png)
50.臧用采集器猜了多少人的数据?
这里没做出来,臧觅风用采集器采集数据后用Potato发给了容恨寒
文件都在坚果pro3\storage\emulated\0\Android\data\com.qim.imm\files\Potato\Attachment里
51以下哪个是不使用采集器采集的信息
/51.png)
/51-1.png)
答案是3
53接上题,臧觅风一共采集了多少条人员数据?
依照上图逐个表统计有
100+17+18970+96+29+16=19228
54臧的计算机曾经访问阿里云的webdav,端口是?
webdav相当于一个虚拟的文件系统,基于HTTP 1.1
首先搜索webdav,搜到了其ip地址;然后以ip为线索继续找,找到了端口
/54-1.png)
/54-2.png)
55.臧的计算机的代理软件的端口是?
7890/55.png)
56.接上题,代理软件订阅的token是什么?
/56.png)
57内部通联工具的地址和端口:
首先,手机部分分析可知,通联工具为potato;
题目的地址是这样的意思:Potato这个软件的公共群组功能是通过发布链接并登陆链接的形式实现的
所以我们找这个链接,在臧的电脑potato的设置就有
/57.png)
58.内存镜像的创建时间(北京时间)?
首先/58.png)
创建系统时间给了,但是这个是utc时间;北京时间是utc+8所以09改成17
59.哪个不是chrone.exe的动态链接库?
/59-1.png)
一开始以为是题目错误,找了半天。。。
这个直接在内存分析可以看到/59-2.png)
60
61.“账号信息.docx”的最后访问时间?
/61.png)
62.61中文档的储存路径是?
/62.png)
63.容恨寒苹果电脑操作系统版本是?
/63.png)
12.6
64操作系统的安装时间是?
/64.png)
65.内核版本是?
/65.png)
66.电脑中正在运行的后台程序的数量
1 | ps aux|wc -l |
表示以用户有好的形式列出所有没有终端控制的进程(后台进程),统计行数,注意,去掉标题,减去1
284
/66.png)
67.容的电脑最后一次关机时间是?
/67.png)
这里要注意了,这个登陆时间是基于用户显示的时间,是utc+8,gmt是utc+0所以减去8h,跟内存那个题的系统时间是不一样的;
68.嫌疑人执行过多少次查询主机的命令?/68.png)
69.陆文杰提现了多少钱?
首先我们在apple桌面发现了华南流水的rar,估计陆文杰的信息就在这里,但是加密了
之前提到的密码规则在这里适用,但是不知道为什么archpr不行,那就用passware看看
/69.png)
解密后打开xlsx
/69-2.png)
答案为10
70.容恨寒上午上班时长
/70.png)
3.5小时
71.万便的邮箱
/71.png)
72.容恨寒小孩的年龄是?
电脑废纸篓有一个八年级奥数教程,所以是14岁
补充:\REGISTRY\MACHINE\SYSTEM在内存镜像中的地址是?
这个是属于注册表的,所以用volatility的hivelist
1 | ┌──(kali㉿kali)-[~/Desktop] |
0xffffab861963e000