龙信2023

手机取证

1.请分析涉案手机的设备标识是_。（标准格式：12345678）

2.请确认嫌疑人首次安装目标APP的安装时间是__。（标准格式：2023-09-13.11:32:23）

3.此检材共连接过__个WiFi。（标准格式：1）

4.嫌疑人手机短信记录中未读的短信共有__条。（标准格式：12）

查看手机短信数据库
mmssms.db 是 Android 系统中用于存储短信和多媒体信息的数据库文件，主要用于管理和存储短信（SMS）和多媒体消息（MMS）。该文件通常位于 Android 系统的内部存储中，并通过系统自带的短信应用或其他第三方应用进行访问和管理。

其read列应该为是否读取

数一下有17个

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_。（标准格式：http://www.baidu.com/admin/index.html）

搜索海报可以得到背景网址

6.请分析涉案海报的推广ID是__。（标准格式：123456）

打开文件分类中的图片，可以找到背景与下载海报相同的

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

只收到了一条运营商的信息，所以应该是一条

8.通过分析，嫌疑人推送的微信账号是__。（标准格式：Lx20230916）

有开始为同活的微信后面的为个人微信

9.请校验嫌疑人使用的“变声器”APK的包名是__。（标准格式：com.baidu.com）

10.号商的联系人注册APP的ID是_。（标准格式：12345678）

在我的好友处可以找到

11.嫌疑人于2022年11月份在城市。（标准格式：成都）

聊天记录中可以看到其发送了个人位置的图片

因为在发送过程中会产生缩略图和压缩，所以我们直接找最大的图片就是原图

在属性中可以得到位置经纬度

12.嫌疑人共购买_个QQ号。（标准格式：1）

8个之前还有3个

apk

1.分析手机镜像，导出涉案apk，此apk的md5值是__。（标准格式：abc123）

2.分析该apk，apk的包名是__。（标准格式：com.qqj.123）

3.分析该apk，apk的包名是__。（标准格式：com.qqj.123）

4.分析该apk，请问该apk最高支持运行的安卓版本是_。（标准格式：11）

查看AndroidManifest.xml可以找到其运行api的版本访问如下是不同api对应的安卓版本


32对应安卓12

5.分析该apk，app的主函数入口是_。（标准格式：com.qqj.123.MainActivity）

AndroidManifest.xml的activity标签可以找到主函数入口，当然雷电直接取好了

6.分析该apk，请问窃取短信的权限名称是__。（标准格式：android.permission.NETWORK）

7.APP使用的OPPO的appkey值是__。（标准格式：AB-12345678）

直接看第三方服务

8.分析apk源码，该APK后台地址是__。（标准格式：com.qqj.123）

在敏感信息处可以看出网站

反编译后直接搜也可以

9.分析apk源码，APP 后台地址登录的盐值是_。（标准格式：123abc=%$&）

反编译直接搜salt

10.分析apk源码，该APK后台地址登录密码是__。（标准格式：longxin123）

反编译在192.168.5.80/login可以看到密码

11.对 APP 安装包进行分析，该 APP打包平台调证值是__。（标准格式：HER45678）

12.此apk抓包获取到的可访问网站域名IP地址是_。（标准格式：192.168.1.1）

敏感信息里可以直接看到，当然也可以用模拟器打开后网络代理改为192.168.20.1:8888然后直接用bp抓包

13.分析apk源码，该apk的加密方式key值是__。（标准格式：12345678）

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是_。（标准格式：123456）

Longxin360004

2.涉案计算机最后一次正常关机时间_。（标准格式：2023-1-11.11:11:11）

2023-09-16 18:20:34

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_。（标准格式：1小时1分1秒）

把这几个加起来，不要忘记夹0-9.42的

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

在分析里可以找到密钥解密后可以看到我的密码

base64编码
Mimi1234

6.接上题，请问该嫌疑人10月份工资是_元。（标准格式：123）

我们能在微信传输文件找到应该工资条但是那不是真的，真的在加密分区的回收站里

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是__。（标准格式：Longxin0924）

在浏览器中保存的密码中可以看到其密码为LongXin@2023

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

这里开启火眼的耗时任务中的文本索引。
搜索114092可以找到如下文件

这样就可以得到这个海报了

C:\Program Files (x86)\Tencent\WeChat\2.png
把两个文件拖到010可以发现2.png有隐写

隐写内容就是银行卡号

9.请找出嫌疑人的2022年收入共_。（标准格式：123）

我们打开仿真可以找到容器和挂载容器的工具。
直接使用2.png当密钥可以成功挂载

但是直接挂载是无法看到被删的文件的索引需要使用R-studio挂载

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6523365008214741321

搜索海报

虚拟币分析

1.分析涉案计算机，正确填写中转地址当前的代币种类__。（标准格式：BNB）

前面容器得到了应该容器，这个容器内有个夜神模拟器的npbk文件

2.分析涉案计算机，正确填写中转地址当前的代币余额数量_。（标准格式：1.23）

3.根据中转地址转账记录找出买币方地址。买币方地址：_（标准格式：0x123ABC)

4.根据中转地址转账记录统计买方地址转账金额。转账金额：__ ETH.（标准格式:12.3）

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

raw sausage art hub inspire dizzy funny exile local middle shed primary
raw sausage art hub inspire dizzy funny middle shed primary
raw sausage art funny exile local middle shed primary

选A

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

流量分析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

通过分析tcp会话可以发现10.5.0.19对116.211.168.203进行了大量的tcp连接，且时间极短，且只有这个ip有这种行为判断其为DOS攻击(单机子)。DDOS(多对一)
选B

2.分析“数据包1.cap”，出问题的服务器IP地址是_。（格式：127.0.0.1）

出问题的ip就是杯dos的ip即116.211.168.203

116.211.168.203

3.分析“数据包1.cap”，文件下发服务器的IP地址是_。（标准格式：127.0.0.1）

120.210.129.29返回了java.log文件

且该文件是ELF开头的可执行文件

4.分析“数据包1.cap”，攻击者利用_漏洞进行远程代码执行。（标准格式：小写，无中文）

我们可以看到其向222.186.21.154发送了请求如下

其进行了攻击行为

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_。(标准格式:abcd)

提取出之前的java.log文件

6.分析“数据包2.cap”，其获取文件的路径是__。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是_。（标准格式：123）

admin:passwd

8.分析“数据包2.cap”，其下载的文件大小有__字节。（标准格式

导出直接看就可以了

服务器取证

1.服务器系统的版本号是_。（格式：1.1.1111）

2.网站数据库的版本号是_。（格式：1.1.1111）

3.宝塔面板的“超时”时间是_分钟。（格式：50）

仿真后通过ssh连接。打开宝塔面板登陆后会发现其需要进行验证我们可以通过如下命令来关闭验证

bt default && bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5 && bt default

而后会发现其需要手机验证，这时后我们可以选择降版本到7.7，然后删除
rm -f /www/server/panel/data/bind.pl即可绕过

4.网站源码备份压缩文件SHA256值是_。（格式：64位小写）

我们在/www/backup/site可以找到备份文件。可以直接在仿真下进行导出，也可以用火眼，但是我用火眼导出的好像有点小问题

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_。（格式：abcd）

在源码里搜password，可以找到登陆的加密逻辑

6. 分发网站sb.wiiudot.cn一共存放了_条通讯录数据。（标准格式：1234）

这个题我们需要重构宝塔服务器，

重构数据库

我们先登陆一下mysql
我们可以通过修改/etc/my.cnf来进行绕过登陆
使用systemctl stop mysqld关闭mysql，
在/etc/my.cnf的[mysqlid]skip-grant-tables
然后systemctl start mysqld打开mysql就能无密码登陆

然后使用Navicat打开

当然以为没有外连所以我们还有打开ssh隧道

我们可以直接在数据库里查看到通信录数据

查询app_mobile的所有列即可
但这并不一定是真实的数据。我们还需要打开网站来查看

重构网站

先将数据库修改为localhost

然后我们将解析的域名解析修改

我看网上都是修改host解析地址，但是我懒，所以我们就直接在宝塔里加了一个新的地址

这样网站就可以正常访问了

我们在admin路径来进行登陆
![
我们通过回显的信息可以定位到登陆的源码

我们直接改鉴权
然后就可以随便登陆后台了

我去实际上竟然是67096

7.全部网站一共有_名受害人。（格式：xxx。不去重,不进行数据恢复）

我们可以看到器userid应该就代表着受害者。那么我们只有查所有网站数据库不同的userid即可

其他网站的数据库名称可以通过源码来看

加起来就是506

8.分发网站tf.chongwuxiaoyouxi.com里面一共有_位“组员级别”的管理员。（格式：数字）

查看app_admin_cate可以知道当cate_id为22时为普通成员

当然可以通过登陆网站来进行。和前面的一样，只是我们还需要改一下器伪静态规则，直接将之前网站的伪静态规则复制过来就行了

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_。（格式：xxx）

1">

10.分发网站sb.wiiudot.cn本地数据库用户sbwiiudotcn的密码是_。（格式：xxx）

我们能找到两个密码在宝塔中的是lSfXN770ZPjte9m在备份文件中的是KE5f3xnFHYAnG5Dt，而题目问的是本地的数据库密码，而宝塔中的密码是远端服务器的mysql密码所以这个题的答案应该是KE5f3xnFHYAnG5Dt

服务器取证2

1.请分析宝塔面板中默认建站目录是_。（标准格式：/etc/www）

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_。（标准格式：int(11)）

和前面的一样，我们直接通过修改配置来登陆mysql，然后通过Navicat来查看
但是我不知道为什么不能通过Navicat来看这个数据库，好怪，但是我们可以通过火眼来看

Char(128)

3.请分析“乐享金融”网站绑定的域名是_。（标准格式：www.baidu.com）

我们打开会看不到网站栏，我们可以点卡菜单来开启显示
我们可以发现只有一个网站那这个就应该是绑定的域名了

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_。（标准格式：abcdefghijklmnopqrstuvwsyz）

因为我们后面的题目都要看源码和修复网站，所以我们把宝塔的源码压缩后下载下来，看到会更清楚一点

题目问我们加密结果,其实就是考加密逻辑

我们找一下数据库的utime

得到结果

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_。（标准格式：爱金融）

网站重构方法

我们可以看其mysql地址是127.0.0.1即不用修改,而其网站运行方式竟然是静态的,所以我们将其改为php,且php版本要稍微高点,因为低版本并不适配__DIR__会倒置报错

然后是修改器运行目录,我们可以发现其运行目录是public应该为网站根目录才对

其叫睿文化,真难看阿

6.分发网站sb.wiiudot.cn一共存放了_条通讯录数据。（标准格式：1234）

可以看到pcid为5的为外汇,且我们要主要杯删除的商品

可以找到两个

7.全部网站一共有_名受害人。（格式：xxx。不去重,不进行数据恢复）

8.分发网站tf.chongwuxiaoyouxi.com里面一共有_位“组员级别”的管理员。（格式：数字）

在字段名中存在备注.

我们需要查看变化金额即account大于582402的和title为充值.

再使用SUM函数求和

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_。（格式：xxx）

但不是张教瘦

通过uid可以再userinfo里找到叫kongxin

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_。（标准格式：1888.668）

数据库查着查着get到一个小骚招，我们可以先使用如下语句来导出数据库的所有注释

SELECT TABLE_NAME, COLUMN_NAME, COLUMN_COMMENT 
FROM information_schema.COLUMNS 
WHERE TABLE_SCHEMA = 'sjp' 

然后就可以利用题目的关键性进行快速定位，当然了如果没定位到也就要自己慢慢找了
也可以直接再全局搜，这样效率会比一个个找块很多

当然这只是定位很多地方还是得需要sql语句的

我们可以发现其建仓和平仓的时间为时间戳。转换运行使用sql语句查询

2896.924

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_。（标准格式：2022-1-11.1:22:43）

一查好家伙啥也查不到。

我们可以看到宝塔有备份，我们把宝塔备份导入试试

导入后就可以查到了

2021-12-09 09:52:23

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

宝塔的日志再/www/server/panel/logs/文件夹下
再火眼里只有几个文件，所以我直接再仿真的服务器里将文件导出

然后压缩到同一个文件夹下进行搜索

其UA头的版本为NT 6.3

13.请分析该服务器镜像最高权限“root”账户的密码是_。（标准格式：a123456）

在火眼中查看etc/shadow
然后使用hashcat来爆破

hashcat  -a 0 '$1$kmYU/aog$fKIF3ugewwCTuPWOSksjD/' /usr/share/wordlists/rockyou.txt --force --self-test-disable 

一般liunx下的加密方法为sha512crypt $6$, SHA512 (Unix)即 -m 1800。而win一般为 1000。当然这题就是普通的md5