2020美亚杯团体赛WP
前几天忙软考,好久没更新,为庆祝软考结束+EDG夺冠,三个人安排五小时打了一波团体,小累~
案例背景
你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组织入侵了一个名为Zello的本地网上商店官网,黑客组织也针对另一家网上商店Xeno发动网络攻击,使其系统产生故障。调查期间发现三名男子: 张伟华、冯启礼及罗俊杰疑与该案有关。警方在搜查他们的住宅及公司后扣押了数十台电子设备。请分析电子数据证据并重建入侵痕迹。
题目
1、Zello服务器的哈希值(SHA256)是甚么?
30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9
2、卷组是何时创建的?
磁盘结构概念:
pv:physical volume,物理磁盘,比如一整块固态硬盘
vg:volume group,即卷组,比如Windows里的新建卷
lv:logical volume,逻辑磁盘,比如c盘、d盘
命令
df -h
可以查看文件系统和磁盘空间。
lvdisplay
可以查看lv的相关信息,比如LV-UUID。pvdisplay和vgdisplay同理。一般需要root权限才可以执行。
答案:
2020/09/03 10:22
3、卷组的名称是甚么?
答案:
ubuntu-vg
4、物理卷的PV UUID是多少?
pvdisplay
答案:
IF6neD-j49V-704g-Uugw-X
5、卷组的VG UUID是甚么?
vgdisplay
答案:
XaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW
6、Zello服务器的Linux内核版本是甚么?
仿真:
uname -a
也可以直接分析。
答案:
5.4.0-48-generic
7、Zello服务器的操作系统版本是甚么?
答案:
Ubuntu 20.04.1 LTS
8、Zello服务器的主机名是甚么?
cat /etc/hostname
答案:
zello
9、Zello服务器的主机名是甚么?
cat /etc/machine-id
答案:
ff39cddc1d794eb6888962aafa17ab28
10、Zello服务器中使用的wordpress版本是甚么?
根据bash得到wordpress安装在/var/www/wordpress里
同时根据查阅得到wordpress的配置文件: wp-config,发现include了 wp-settings.php
cat /var/www/wordpress/wp-config.php
cat /var/www/wordpress/wp-settings.php | grep version.php
在wp-settings.php中查询version发现require_once version.php:
在目录下查找version.php然后cat得到版本号
find /var/www/wordpress/ | grep version.php
cat /var/www/wordpress/wp-includes/version.php
答案:
5.5.1
11、Zello服务器与之同步的主机名是甚么?
cat /etc/hosts
也可以查看ntp文件。
cat /etc/ntp.conf
答案:
NTP-server-host
12、Zello服务器的时区是甚么?
timedatectl
或者查看:
cat /etc/timezone
答案:
Asia/*
13、有多少个本地用户已登录到Zello服务器?
last
答案:
1
14、植入网络目录(Webdirectory)的网页壳层(Web Shell)的哈希值(MD5)是甚么?
把/var/www文件夹直接导出来,用D盾扫描,找到123.php后门:
同时查看/var/log/access.log.1可以看到123.php,确定123.php为shell文件
答案:
ECFD5B5E56D56C6BBA6E1BAD595BFC0C
15 、(由于学校给的题目里这题的题号没加,懒得改了,后面的题号就跟着减一)\var\www\html\wordpress\net\2020\Login\ index.php\'有甚么作用?
把index.php导出来,打开小皮,访问网页看一下:
可以看到该网页用来窃取用户账号和密码。
答案:
盗取资料
16、钓鱼网站伪装成甚么网站?
答案:
Netflix
17、下列哪个IP对Zello服务器进行了蛮力攻击?
解压日志文件:
gunzip -d /var/log/apache2/access.log.3.gz
或者用火眼导出来用解压软件解压。
查看access.log.3可以看到中间有大量使用Hydra爆破软件的日志记录(PS:8个日志把人看傻了):
答案:
203.186.94.68
18、Zello Web服务器的URL是甚么?
cat /etc/hosts或者直接打开仿真的firefox会自动跳转到该页面:
答案:
http://zello-onlineshop.sytes.net/
19、LVM2容器的第一个扇区是什么?
取证大师看分区信息,再用扇区512算一下即可。
答案:
2101248
20、Zello服务器中LVM2容器的大小(以字节为单位)是甚么?
答案:
31135367168
21、在Zello服务器以及Alice的装置中可以找到甚么共同文件?
Bash可以看到Zello中有R3ZZ.txt。
答案:
R3ZZ.txt
22、2020年8月29日在Xeno服务器中发现的攻击类型是甚么?
查看access.log,里面一堆POST和GET相同的请求(看了wp才知道还有这种攻击)
答案:
HTTP GET/POST Flood
23、哪个IP地址在日志中条目数量最多?
把日志拉一下就看到下面基本都是这条IP
答案:
14.102.184.0
24、这个登录次数最多的IP地址,它访问最多的是哪个页面?
每个选项都带进去搜索,比较匹配次数(比较笨)
尝试使用log paser lizard(很高效),但不知道为什么总是报"cannot find fields directive"错误,很难受
risk.xhtml
25、这个登录次数最多的IP地址来自哪个国家或地区?
查看Meiya Cup 2020\調查報告\互联网服务供货商检查报告_罗俊杰(Daniel).pdf:
*
26、这个登录次数最多的IP地址,合共有多少次成功登录?
不知道搜哪个文件,不会做。。
答案:
18
27、除DDoS之外,还可能涉及其他攻击吗?
搜索:login,发现有多个login.xhtml;jsessionid= ,每个jsessionid都不同,说明是暴力破解session
答案:
暴力破解攻击
28、从该网站下载了多少数据?
日志状态码后面的数字是服务器与客户端传输的数据大小,单位为字节。
把download对印的14个get请求的传输字节总数算了一下,大约为2.5G
答案:
现有资料不足以作推断
29.Bob路由器的型号是甚么?
TL - WR740N
30.Bob家的IP地址是甚么?
27.111.174.91
31.使用路由器的装置的Mac地址是甚么- Alice?
这题没找到答案
31、32、33需要推断身份,在个人赛我们已经知道Bob和Cole是Boss,
Bob的路由器日志
Bob家路由器的MAC——A4:4E:EC:24:00(Bigboss)
从日志可以看出Cole是去过Bob家的,所以Cole肯定是另一个Boss——Moving Boss(38:48:4C:17:9A:OC)
Alice的我还没找到
32.使用路由器的装置的Mac地址是甚么- Cole?
38:48:4C:17:9A:OC
33.谁到访过Bob的家?
Alice 及 Cole
虽然31不会,但是从31题可以看出,Alice是在9月28号用过这个路由器的,所以Alice和Cole都来过
34.他们甚么时候去过Bob的家?
2020/9/28
35.Bob的笔记本计算机的哈希值(SHA-1)是甚么?
5DF01AC2194A74804DEB0F7332532D39711C5770
36.笔记本计算机中安装了甚么电子邮件程序?
Super Email Sender
选项中只有Super Email Sender
37.网络钓鱼电子邮件的接收者是储存在甚么文件?
NETFLIX.htm.dump
38.在Bob的笔记本, 有什么可疑APK及其功能?
检查虚拟货币的价格
看到一堆APK,一个个装进去分析吧
思路可以从40题的题目入手(团队赛就是这样,要纵观全局,一道题卡住了就看看别的题)
我们找到一个APP——bitcoin_ticker(mytracker.apk),他里面有Bitlocker密钥和恢复密钥
39.该可疑APK 从什么网站获取资料?
https://rest.coinapi.io/v1/exchangerate
直接暴力搜索
grep "rest.coinapi.io" ./ -nr
strings ./lib/arm64-v8a/libapp.so | grep "rest.coinapi.io"\n
40.上述APK中发现的Bitlocker密钥是甚么?
741852963
41.网络钓鱼网站的网页寄存的网站地址是甚么?
http://zello-onlineshop.sytes.net/wordpress/net/2020/Login/
42.Bob的桌上计算机的哈希值(SHA-256)是甚么?
86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
打开Desktop.E01的镜像
但是有个分区被BitLocker加密了,BitLocker密钥没用,直接用恢复密钥即可解密成功
仿真
43.Bob的桌上计算机的安装时间是几点?(本地时间)
2020/9/15 3:40:00
44.Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖)
i*t*r.zip (inter.zip)
给仿真的系统整个Everything,爽搜
45.该网络钓鱼脚本的功能是甚么?
收集个人数据
inter.zip解压
PHP代码审下
收集IP和地区
46.在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么?
File List\User File List\Applications/Group/group.net.WhatsApp.shared/ChatStorage.sqlite
Table:ZWAMESSAGE(ZCHATSESSION:4)
首先,在udf配置文件能找到备份密码1234
与Alice和Cole的谈话都在85263762546@s.whatsapp.net群组中
导出来连接sqlite,85263762546@s.whatsapp.net 的 ZCHATSESSION=4
47.Bob的iPhone的苹果ID是甚么?
bobcheung123@gmail.com
48.Bob的iPhone的IMEI是甚么?
13421004458835
49.Bob iPhone的时区设置是甚么?
UTC +8
grep搜下
香港时区
50.文件“ VIP.txt”的完整路径是甚么?
Bob/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef-7bf5accc52f0.txt
火眼全局搜索
50.在Bob iphone, 谁是“ 85262547937-1600392878@g.us”的聊天群组中的管理员?
Alice
聊天记录推断
52.“85262547937-1600392878@g.us”聊天群组中有多少个附件?
4个
53.Bob iPhone的Airdrop ID是甚么?
火眼取不出来
54.Bob的iPhone的操作系统版本是甚么?
55.Bob在2020-09-17的1451时访问的连结是甚么?(UTC + 0)
https://www.softwaretestinghelp.com/ddos-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))
2020-09-17的2051历史记录
56.Bob的Samsung S2的Android ID是甚么?
72af229d1da3b3cd
火眼全局搜索“Android ID”
57.Bob的Samsung S2的操作系统版本是甚么?
4.1.2
58.Bob Samsung S2的时区设置是甚么?
Asia/Hong_Kong
59.“ bitcoin.PNG”的储存位置是甚么?
userdata (ExtX)/Root/media/DCIM/
60.bitcoin.PNG的哈希值(SHA-256)是甚么?
479AADBA030B9F1B0165760881EAEED48330CB3DCCC807FE482985A8370B0D5B
61.Bob的Samsung S2的wifi mac地址是甚么?
60:21:C0:4B:75:11
mac.info
62.“ userdata(ExtX)/ Root / media / Download / APK Testing”中的有多少APK檔?
10
63.Messagesecure.apk的哈希值(SHA-256)是甚么?
ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf
64.私钥已在bitcoin.PNG中加密。私钥是甚么?
KzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG
发现是用这个App解密的,密钥Aa654321
65.apk文件“ flash_chat”的哈希值(SHA-256)是甚么?
041a731249fa7bbaebd88651e0f5d2c4c3069c6ff8924b80579a2b160e387340
这个题要去Alice的手机找的,全局搜索,只有这个是完整的apk
算一下SHA-256
66.哪个文件包含“ flash_chat”聊天记录?
B
67.从“ flash_chat”找到的Bob的Windows密码是甚么?(某些字符被刻意用*遮盖)
112233
navicat连接上题的sqlite
68.消息的消息号码(Message ID)是甚么?
0x04CM9o69pmKByxwnRj
刚才消息的ID,同一行
69.“ flash_chat”消息ID“ aGqBnI5Bxutv24SQvrBL”中的密码是甚么?(某些字符被刻意用*遮盖)
helloworld
直接找aGqBnI5Bxutv24SQvrBL的消息ID
helloworld
70.从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖)
3KHtnfnLp7P8Vu7EA4uUJzkngnXxGMZWwo
可以把Wallet.dat放Winhex里正则搜索,或者把MAC中bitcoin的软件下到本地也可以跑出来
71.从Wallet.dat档案中取得的比特币地址,那一个有接收及传送过比特币?(某些字符被刻意用*遮盖)
3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w
可以从https://www.blockchain.com/地址查询验证
72.以下那一个比特币接收或传送交易的哈希值与上述的比特币地址有直接关系?(某些字符被刻意用*遮盖)
1f9f0f61e1b80cc1086445c4d9159a8ec9bde6500e2850fc134860b82c97288e
73.上述的比特币交易中所涉及多少比特币?
0.01455279BTC
74.Bob iMac数据磁盘的哈希值(SHA-256)是甚么?
F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7.
75、Cole桌上计算机的哈希值(SHA-1)是甚么?
答案:
0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2
76、Cole桌上计算机的用户名是甚么?
答案:
COLE
77、在Cole的桌上计算机中发现了多少潜在的受害者?
打开文件C:/secrets/vips.txt可以看到
答案:
200
78、潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖)
答案:
Partition 3\secrets\vips.txt
79、预设浏览器何时安装?
仿真右键edge快捷键,查看内容
答案:
2019-12-07
80、Cole桌上计算机上预设安装了甚么浏览器?
答案:
Internet Explorer
81、上述储存浏览记录的默认浏览器,该文件档案的类型是什么?
用火眼查看Edge历史记录,然后右键跳转到源文件:
答案:
dat
82、入侵Zello的证据文件是甚么?
证据文件包括浏览记录
答案:
WebCacheV01.dat
83、受感染网站的网址是什么?
(感觉像是前面服务器的题目乱入)
答案:
http://zello-onlineshop.sytes.net
84、Cole桌上计算机上的DDoS勒索字条是甚么?(某些字符被刻意用*遮盖)
仿真桌面上可以看到
答案:
Ransome Note of DDOS.txt
85、在Cole桌上计算机上发现的DDoS勒索字条中,比特币钱包地址是甚么?
答案:
1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1
86、Cole笔记本计算机的哈希值(SHA-1)是甚么?
答案:
9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5
87、Cole笔记本计算机有多少个用户帐户?
分析看一下:
答案:
3
88、当前登录用户帐户的用户名是甚么?
仿真登录
答案:
Cole
89、在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件?
有些低版本的volatility在下面96题的dlllist里无法解析出应有的dll文件,这里分享一下个人用的volatility以及bench:百度网盘链接 提取码:luks
cmd:
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem imageinfo
答案:
Win7SP1x64
90、用户密码的前5个字符是甚么?
火眼仿真可以直接看到
答案:
78945
91、计算机中可疑的txt文件的名称是甚么?
查看最近打开文档(个人觉得costomer.txt也蛮可疑的,不过被删了)
答案:
vips.txt
92、可疑txt文件曾经出现在哪个路径?
答案:
C:/Users/Cole/Desktop/
93、是否有任何证据表明该文件已执行?
答案:
是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件
94、以下哪个与上述可疑txt文件相关的发现是正确的?
发现costomer.txt和vips.txt,但对于costomer.txt火眼和取证大师都无法显示创建时间,乃正哥 是看$extend/$UsnJrnl里的$J查看的,但取证大师和火眼都显示该文件夹为空,没有X-Ways。。。就盲猜了
答案:
在创建可疑txt文件之后,创建/访问了另一个txt文件
95、根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么?
注意使用的UTC+0000,火眼里时间得要再加8h
火眼时间线可以看到这个时间他调用了Eraser.exe进程
答案:
他删除了一些文件
96、FTK Imager.exe的PID是甚么?
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 pslist
答案:
2456
97、FTK Imager.exe的父应用程序是甚么?
PPID为父进程ID
答案:
660
98、FTK Imager.exe使用甚么DLL?
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 dlllist
拖到最下面
答案:
sensapi.dll
99、MpCmdRun.exe的PID是甚么?
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 psscan
psscan命令可以看到隐藏进程MpCMdRun.exe,而pslist看不到
答案:
1288
100、以下哪个与MpCmdRun.exe相关的项目是正确?
看psscan内容
或者也可以用timeliner:
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 timeliner
搜索进程名称即可
答案:
该过程于2020-09-18 01:20:57 UTC + 0000终止
101、上次启动后,笔记本计算机连接的外部IP是甚么?
netscan发现都是内部地址
volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 netscan
答案:
未连接/未连接到任何外部IP
102、上次启动后,笔记本计算机连接的网络驱动器路径是甚么?
见上题
答案:
未连接/未连接到任何外部IP
103、一位客户有一封电子邮件mb@ms.z.**.tw,可以在Cole的笔记本计算机中找到此数据吗? (某些字符被故意用*遮盖)
取证大师找不到,数据恢复也找不到这个邮件,只能先放了
答案:
是
104、收到上述电子邮件的客户名称是甚么?
105、属于上述客户的电话号码是甚么? (某些字符被故意用*遮盖)
106、上述客户可能居住的区域是甚么?
107、Cole的PI的哈希值(SHA-256)是甚么?
答案:
EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556
108、Cole PI 装置的操作系统是甚么?
答案:
Ubuntu24
109、操作系统是甚么版本?
答案:
20.04.1 LTS (Focal Fossa)
110、装置的文件系统是甚么?
答案:
Ext 4
111、操作系统的时区是甚么?
查看/etc/timezone
Asia/Shanghai
112、哪个文件包含儿童色情物品内容?(某些字符被故意用*遮盖)
查看bash_history:
cp \'/media/user/D260-8BA9/pthc1.jpg\' \'/media/user/D260-8BA9/pthc2.jpg\' \'/media/user/D260-8BA9/pthc3.jpg\' /var
答案:
"Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg"
113、Cole PI装置中的儿童色情物品的创建时间是甚么?
答案:
2020/09/15 17:21
114、Cole NAS的哈希值(SHA-256)是甚么?
答案:
5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
115、儿童色情数据存放在哪里?
取证大师会自动恢复动态磁盘,有一个RAID-1,火眼目前分析不出来
答案:
Partition 3\cole-shared\media
116、设备中现有多少儿童色情数据?
答案:
3
117、Cole NAS装置中的儿童色情物品的创建时间是甚么?
答案:
2020/09/15 16:51
118、在Cole手机, 谷歌的用户个人资料是甚么?
火眼分析(正确的手机bin文件在补充文件里)查看Chrome浏览器账号信息即可
答案:
colefung909@gmail.com
119、Cole的手机上有社交媒体帐户吗?如有,那是甚么?
WhatsApp账户信息
答案:
85263766465@s.whatsapp.net
120、Cole与Bob和Alice在同一个小组中进行过交流吗?它是甚么?
答案:
是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.us
121、Cole手机的Android ID是甚么?
美亚手机大师V4Bob的解析出来了,Cole的却没解析出来。火眼全局搜索,搜索 android id 也没搜到
想要用盘古石呜呜
答案:
626a98cb2bb965ec
122、已安装的WhatsApp APK文件的哈希值(SHA-256)是甚么?
查看分区31/app/,搜索Whatsapp,然后计算文件夹内的apk
答案:
B31806FA2CCE80923DE8646F835B72D1FB06A97343A5B7242BC3972627C78E1B
123、列出Chrome的五个“关键词搜索”。
查看搜索历史:
至于为什么选这五个而排除了其他的关键字,比如apple,个人认为还是要根据嫌疑人作案目的来选择
答案:
"bulk mailer, ddos creator, fortress online, parknshop, GitHub malware"
124、在哪里可以找到“Cole的电话”的通话记录?
火眼分析里查看通话记录,随便点一个跳转到源文件,导出db文件查看
Navicat查看:
答案:
Table:calls
125、2020-09-01至2020-09-30之间,“Cole”收到了多少条SMS讯息?
查看短信,排除被删除的信息
答案:
2
126、在Cole的“ whatsapp”联络人中,有多少用户正在使用“ whatsapp”?
有三个联系人,加上Cole自己
答案:
4
127.Daniel的桌上计算机的哈希值(SHA-256)是甚么?
07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5
128.该桌上计算机操作系统储存在哪个分区上?
C盘
129.在桌上计算器机中找到Daniel的电子邮件地址是甚么?
daniellaw43346@gmail.com
仿真后进入outlook邮箱
130.该恶意软件感染源是甚么?
未知
131.在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖)
video_viewer_3.1.2.4.exe
132.该恶意软件的哈希值(SHA-256)是甚么?
72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089
133.该恶意软件的功能是甚么?
特洛伊木马
134.Daniel的MacBook 计算机的哈希值(SHA-1)是甚么?
C71C21730461FC901FD99F76C3679C3FED0DFAB9
135.Daniel的MacBook 计算机中有多少个分区?
2个
136.Daniel的iPhone的操作系统是甚么版本?
12.4.7
/iPhoneBackup/Lockdown/device_values.plist
137.Daniel的iPhone的wifi mac地址是甚么?
64:9a:be:c4:99:7d
/iPhoneBackup/Lockdown/device_values.plist
138.Daniel的iPhone的IMEI是甚么?
356977063078512
检材照片
139.iPhone上次连接WIFI的SSID是甚么?
Netgear24_5G
140.根据调查结果,以下哪项关于Daniel的选项是正确的?
Cole 入侵了 Daniel 的计算机
总结
这次从Satan哥那偷了一手Grep暴力搜索,效果显著,玩爽了。但不建议大家学,只能算做题的一个小trick,也不好拿这个方法答辩,平常学习的话还是按正常思路耐心寻找比较好。