1
2
categories: 
- write up

2024盘古石晋级赛

案情简介:

image-20240511091316233

image-20240511091601325

image-20240511091703402

电脑

image-20240511091929371

image-20240511091955419

image-20240511092138601

路由器

image-20240511092451648

image-20240511092513779

image-20240511092541221

image-20240511092552287

image-20240511092606246

image-20240511092712411

image-20240511092728017

GOIP

image-20240511092917649

取证手机

image-20240511094023853

取证电脑

image-20240511094330097

物联网取证

image-20240511094631859

服务器取证

1、分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是

image-20240511101135209

2、分析内部IM服务器检材,该内部IM平台使用的数据库版本是

image-20240511102109406

3、分析内部IM服务器检材,该内部IM平台中数据库的名称是

见题二图

4、分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表

image-20240511104754914

5、分析内部IM服务器检材,员工注册的邀请链接中,邀请码是

找到数据库在docker容器中的ip,用于连接

image-20240514142228439

数据库名和连接用户名、密码见下图:
image-20240514144144341

image-20240514144209447

找到用户表,发现密码为bcrypt加密

image-20240514144615744

先登陆一个人的账号查看一下聊天,发现gxyt这个人因该就是管理员之类的,登陆其账号

image-20240514145631840

image-20240514150733727

6.分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件

两个

image-20240514151321166

7.分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是

image-20240514151543933

8.分析内部IM服务器检材,一个团队中允许的最大用户数是

用管理员账户进入系统控制台查看

image-20240514151844595

9.分析内部IM服务器检材,黑客是什么时候开始攻击

查看服务器日志,看到黑客在爆破gxyt账户的密码

image-20240514152720602

注意2024-04-25 07:33:19.289 Z是协调世界时,需要转换成北京时间。

10、分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统

image-20240511113325637

11、分析网站服务器检材,数据库备份的频率是一周多少次

image-20240511115034825

12、分析网站服务器检材,数据库备份生成的文件的密码是

image-20240511115632625

1
2
[root@wns ~]# echo -n "2828" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt
IvPGP/8vfTLtzQfJTmQhYg==

13、分析网站服务器检材,网站前台首页的网站标题是

image-20240511120158210

14.分析网站服务器检材,受害人第一次成功登录网站的时间是

连接数据库发现为空,找到数据库备份文件,先解码

1
2
3
[root@wns backup]# openssl des3 -d -salt -k  IvPGP/8vfTLtzQfJTmQhYg==  -in 2828.sql.gz -out 28281.sql.gz
[root@wns backup]# tar -xzvf 28281.sql.gz
2828_20240427154000.sql

将sql文件导入数据库

image-20240514155114251

导入成功后查询一下

image-20240514162842443

15分析网站服务器检材,前台页面中,港澳数字竞猜游戏中,进入贵宾厅最低点数是

用受害人的账号登录一下,密码一眼md5,但发现账户冻结了

image-20240514163057435

image-20240514163324748

将status改成1就行了

image-20240514180825799

点击贵宾厅会显示要求点数

image-20240514180941538

16分析网站服务器检材,受害人在平台一共盈利了多少钱

查找一下后台登录地址

image-20240514164715023

密码为123456

image-20240514164805829

绕过安全码验证

image-20240514165226146

image-20240514165310918

手动重定向一下就能进入后台了

image-20240514165718628

image-20240514165758260

17分析网站服务器检材,网站根目录下,哪个路径存在漏洞

image-20240511120550432

18分析网站服务器检材,黑客通过哪个文件上传的木马文件

查看日志,发现上传con2.php之前上传了tmpugklv.php

image-20240514182000090

发现是一个上传文件的接口

image-20240514182207187

19、分析网站服务器检材,网站使用的数据库前缀是

image-20240511130427335

20、分析网站服务器检材,木马文件的密码是

image-20240511130652916

手机取证

1.分析伏季雅的手机检材,手机的安卓ID是

image-20240514193742492

2.分析伏季雅的手机检材,手机型号是

image-20240514193835933

3.分析伏季雅的手机检材,其和受害人视频通话的时间是

image-20240514194130592

4.分析伏季雅的手机检材,手机中安装了一款记账APP,该记账APP存储记账信息的数据库名称是

image-20240514194238322

image-20240514194423472

5.接上题,该记账APP登录的邮箱账号是

image-20240514194717777

6.接上题,该记账APP中记录的所有收入金额合计是

数据库里查一下

image-20240514200515368

7.接上题,分析该记账APP中的消费记录,统计从2022-3-1(含)到2023-12-1(含)期间,用于交通的支出费用合计是

image-20240515142615319

8.分析毛雪柳的手机检材,手机中有一个记账APP,该APP的应用名称是

image-20240515144249236

9.分析义言的手机检材,手机中登录的谷歌邮箱账号是

image-20240515145128545

10.分析义言的手机检材,手机的MTP序列号是

image-20240515150439612

11.分析义言的手机检材,除系统自带的浏览器外,手机中安装了一款第三方浏览器,该浏览器的应用名称是

image-20240515152211752

12.接上题,上述浏览器最后一次搜索的关键字是

image-20240515152514521

13.接上题,该浏览器最后一次收藏的网址是

image-20240515152714699

14.分析义言的手机检材,其所购买的公民信息数据,该数据提供者的手机号码是

image-20240515153303852

15.接上题,卖家的收款地址

image-20240515153512726

16.接上题,购买上述公民信息,义言一共支付了多少钱

image-20240515154324495

17.接上题,该笔交易产生的手续费是多少

image-20240515154430960

计算机取证

1.分析伏季雅的计算机检材,计算机最后一次错误登录时间是

image-20240515165618083

2.分析伏季雅的计算机检材,计算机中曾经浏览过的电影名字是

image-20240515165719193

3.分析伏季雅的计算机检材,计算机中团队内部即时通讯软件的最后一次打开的时间是

image-20240515171210033

4.分析伏季雅的计算机检材,计算机中有一款具备虚拟视频功能的软件,该软件合计播放了多少个视频

image-20240515173305038

5.接上题,该软件的官网地址是

image-20240515173348964

6.接上题,该软件录制数据时,设置的帧率是

image-20240515173430288

7.分析伏季雅的计算机检材,在团队内部使用的即时通讯软件中, 其一共接收了多少条虚拟语音

服务器中可以查看

image-20240514151321166

8.分析毛雪柳的计算机检材,计算机插入三星固态盘的时间是

image-20240515173740637

9.分析毛雪柳的计算机检材,计算机操作系统当前的Build版本是

image-20240515173822540

10.分析毛雪柳的计算机检材,团队内部使用的即时通讯软件在计算机上存储日志的文件名是

image-20240515174821098

11.分析毛雪柳的计算机检材,伏季雅一月份实发工资的金额是

excel表密码在其手机里

image-20240515180134480

image-20240515180251851

12.分析毛雪柳的计算机检材,该团伙三月份的盈余多少

image-20240515180333476

13.分析义言的计算机检材,计算机连接过的三星移动硬盘T7的序列号是

image-20240515193246461

14.分析义言的计算机检材,计算机的最后一次正常关机时间是

image-20240515193411855

15.分析义言的计算机检材,曾经使用工具连接过数据库,该数据库的密码是

image-20240516133051747

IPA取证

1 分析毛雪柳的手机检材,记账APP存储记账信息的数据库文件名 称是

通过爆搜.plist文件找到应用的文件夹

image-20240516143939855

image-20240516144113466

image-20240516144205870

可以用Realm Studio打开数据库

image-20240516145441994

2 分析毛雪柳的手机检材,记账APP中,2月份总收入金额是多少

image-20240516150533566

3 分析毛雪柳的手机检材,手机中团队内部使用的即时通讯软件 中,团队老板的邮箱账号是

看服务器题

4 接上题,该内部即时通讯软件中,毛雪柳和老板的私聊频道中, 老板加入私聊频道的时间是

image-20240516153820076

5 接上题,该私聊频道中,老板最后一次发送聊天内容的时间是

image-20240516160938284

image-20240516160815314