取证之2021年第三届长安杯电子数据取证竞赛

2021年第三届长安杯电子数据取证竞赛

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元；经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警；警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包--zhibo.apk（检材一），请各位回答下列问题：（题目中需要通过分析出来的答案对检材二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例：192.168.100.100-CAB2021）

手机

1 请计算检材一Apk的SHA256值

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a

2 该APK的应用包名为
plus.H5B8E45D3

3 该APK程序在封装服务商的应用唯一标识（APPID）为

H5B8E45D3

4 "该APK具备下列哪些危险权限(多选题)：
A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信"

ABCDE

5 "该APK发送回后台服务器的数据包含一下哪些内容(多选题)：
A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息"

ACDE
从网站后台中可以看到，做不出来的题可以先放下，或许答案就在后面

6 该APK程序回传通讯录时,使用的http请求方式为（）

POST

7 该APK程序的回传地址域名为【标准格式：www.abc.com】 www.honglian7001.com

8 该APK程序代码中配置的变量apiserver的值为【标准格式：www.abc.com/abc】 www.honglian7001.com/api/uploads/api

1、首先使用APK Messenger 工具查看apk是否加壳

没有加壳，直接使用jadx打开,通过搜索app首页信息找到登录页面文件。

查看该文件，是app的首页，且对首页的js代码进行了混淆。

在这个网站中https://ctf.bugku.com/tools进行sojson解密

发现apiserver的值

发现上次短信接口

发现上传了定位数据

9 分析该APK，发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为【标准格式：www.abc.com/abc】
www.honglian7001.com/api/uploads/apisms

10 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为 test.db

11 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为 c74d97b01eae257e44aa9d5bade97baf

APP后台服务器（负载均衡服务器）

经过掌握的APK程序后台服务器回连地址，警方成功调取该服务器的镜像，请使用第7题的答案对检材二进行解压进行分析，并回答下列问题：

12 检材二的原始硬盘的SHA256值为：
E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589

检材二的镜像是E01会对原始硬盘的空白部分进行压缩，因此需要用取证软件计算原始硬盘的sha256
而dd镜像是不会压缩的，可以直接计算。
这点儿从检材的大小就可以看出，一般硬盘都是整数，

13 查询涉案于案发时间段内登陆服务器的IP地址为【标准格式：111.111.111.111】

192.168.110.203
题目给出的是北京时间UTC+8，服务器是世界协调时间UTC,所以需要减去8，题意是：受害者金先生2021年4月25日，上午8点左右报警，说昨天被裸聊诈骗了，所以应该是24日

14 请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（）【格式：文件存储】 负载均衡服务器

找到网站源码/opt/，在REDEME.TXT文件中发现配置文件chronusNode/const.js，查看配置文件，发现该服务器的角色。

15 上一题中，提到的主要功能对应的服务监听的端口为：

80

16 上一题中，提到的服务所使用的启动命令为：

node app.js
history查看历史命令，发现在配置完负载均衡文件ADProxy.js后，通过node app.js启动了服务

17 经分析，该服务对于请求来源IP的处理依据是：根据请求源IP地址的第（）位进行判断【标准格式：9】

3
查看ADPoxy.js文件

18 经分析，当判断条件小于50时，服务器会将该请求转发到IP为（）的服务器上【标准格式：111.111.111.111】

192.168.110.111

如上

19 请分析，该服务器转发的目标服务器一共有几台【标准格式：9】 3

3

20 请分析，受害者通讯录被获取时，其设备的IP地址为【标准格式：111.111.111.111】 192.168.110.252

发现源码下有logs文件里面存放着日志，由于存在8个小时的时差，推测出日志为：

查看该日志：

21 请分析，受害者的通讯录被窃取之后，经由该服务器转发到了IP为（）的服务器上【标准格式：111.111.111.111】
192.168.110.113
如上

网站服务器

通过对检材二的分析，警方进一步掌握并落地到了目标服务器地址，通过对服务器进行证据固定，得到服务器镜像--检材三，请使用第21题答案对检材三进行解密并分析，回答下列问题：

22 检材三的原始硬盘的SHA256值为：
205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

23 请分析第21题中，所指的服务器的开机密码为：
honglian7001

24 嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为：
hl123

25 请分析用于重置宝塔面板密码的函数名为
set_panel_pwd

1、根据提示信息，在宝塔目录搜索存在该信息的文件

2、发现修改面板密码的代码，如果输入5，先判断是python2还是3，2用raw_input获取用户输入,只会将用户的输入设置为字符串类型，3用input()可自动判断数据类型，然后判断新密码长度是否小于5，全部满足带入set_panel_pwd()函数重置密码。

3、发现该函数的定义竟然就在本文件内
之前分析过 我就不分析了

从下方函数看到，在进行一次MD5加密后凭借字符串“_bt.cn”再进行一次加密，再拼接salt的值，再进行一次MD5加密。
salt = M('users').where('id=?',(uid,)).getField('salt')从这行代码中可以看出salt的值是从数据库users表中获取的。

这里使用通过报错信息的方式，将salt值带出

没有成功，我不弄了，直接从default.db数据库中读取salt的值

26 请分析宝塔面板登陆密码的加密方式所使用的哈希算法为
md5

27 请分析宝塔面板对于其默认用户的密码一共执行了几次上题中的哈希算法
3
28 请分析当前宝塔面板密码加密过程中所使用的salt值为【区分大小写】
v87ilhAVumZL

29 请分析该服务器，网站源代码所在的绝对路径为 /www/wwwroot/www.honglian7001

30 请分析，网站所使用的数据库位于IP为（）的服务器上（请使用该IP解压检材五，并重构网站）【标准格式：111.111.111.111】
192.168.110.115

找网站配置文件，然后就得到了数据库IP地址

31 请分析，数据库的登陆密码为【区分大小写】
wxrM5GtNXk5k5EPX

32 请尝试重构该网站，并指出，该网站的后台管理界面的入口为【标准格式：/web】
/admin

通过重组raid镜像仿真，网站已重组好
查看网盘nginx配置文件，发现日志路径

查看日志发现后台地址

33 已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】

lshi4AsSUrUOwWV
同34题

34 请分析该网站的管理员用户的密码为：

security

1、根据报错信息”用户名不存在“，找到登录代码

2、找password()这个函数

加密挺复杂的，看来不能通过编写脚本进行爆破了。
发现网站运行目录下的有网站运行日志，搜索出2个密码，验证一下得到正确的密码。

35 在对后台账号的密码加密处理过程中，后台一共计算几次哈希值

3
据上分析，一共分计算了3次

36 请统计，后台中，一共有多少条设备记录
6002

37 请通过后台确认，本案中受害者的手机号码为
18644099137
见45题，根据时间推断

38 请分析，本案中受害者的通讯录一共有多少条记录
34

PC

通过对检材二和三进行分析，警方通过IP落地，警方掌成功抓获犯罪嫌疑人，现将嫌疑人的PC机和手机进行了取证，分别制作了镜像，请使用第13题的答案对检材四进行解密，并回答下列问题

39 请计算检材四-PC的原始硬盘的SHA256值

E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B

40 请分析，检材四-PC的Bitlocker加密分区的解密密钥为
511126-518936-161612-135234-698357-082929-144705-622578

41 请分析，检材四-PC的开机密码为

12306
根据登陆信息，确定用户及密码

42 经分析发现，检材四-PC是嫌疑人用于管理服务器的设备，其主要通过哪个浏览器控制网站后台

Chrome

43 请计算PC检材中用户目录下的zip文件的sha256值

0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3
（这个加密压缩包太大了，从后面题目得知是个虚拟机文件夹）

手机

44 请分析检材四-phone，该手机的IMEI号为
868668043754436 或者 868668044204431

45 请分析检材四-phone，嫌疑人和本案受害者是通过什么软件开始接触的【标准格式：支付宝】
伊对

46 请分析检材四-phone，受害者下载恶意APK安装包的地址为
文件下载-奶牛快传 Download ｜CowTransfer

47 请分析检材四-phone，受害者的微信内部ID号为
wxid_op8i06j0aano22

48 请分析检材四-phone，嫌疑人用于敲诈本案受害者的QQ账号为
1649840939

49 请综合分析，嫌疑人用于管理敲诈对象的容器文件的SHA256值为：

9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608
43题发现的压缩包过大，有点不合适

导出文件，解压发现需要密码。

使用HA_Advanced Archive Password Recovery 4.54工具对压缩包进行爆破，推测密码不是很难，首先尝试使用4到6为数字密码进行尝试。

解压后发现是虚拟机文件，首先通过仿真软件获取到用户名和密码

进去后发现什么都没有，但是有快照，那就恢复快照。题意要求容器文件的哈希值，恢复快照后在桌面发现了VeraCrypt文件，recent查看近期访问文件发现两个可疑文件。

一个名字可疑 一个大小可疑

50 请综合分析嫌疑人检材，另外一受害者“郭先生”的手机号码为
15266668888
小白鼠作为加密容器，key为密钥文件，加载虚拟容器后出现：

51 通过嫌疑人检材，其中记录了几位受害者的信息：
5

52 请使用第11题的密码解压“金先生转账.zip”文件，并对压缩包中的文件计算SHA256值

cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510

53 请综合分析，受害者一共被嫌疑人敲诈了多少钱（转账截图被隐藏在多个地方）
6600
手机镜像3笔
伊对：1000元

微信：2000元

QQ：600元 还提示有另外两笔转载记录。

虚拟机里面的虚拟机加密压缩包还有一张：

数据库里有一张：

导出为txt文件，然后base64解密后，保存为图片

>