0x00 手机取证

1. iPhone手机的iBoot固件版本号:[iBoot-1.1.1][手机取证][★☆☆☆☆]

iBoot-7429.62.1

2. 该手机制作完备份UTC+8的时间(非提取时间):[答案格式:2000-01-01 00:00:00][手机取证][★★★★☆]

2022-01-11 18:47:38

0x01 exe分析

1. 文件services.exe创建可执行文件的路径是:[答案格式:C:\Windows\a.exe][exe分析][★☆☆☆☆]

C:\Program Files\Common Files\Services\WmiApSvr.exe

2. 文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库:[答案格式:是/否][exe分析][★★☆☆☆]

是

3. 文件aspnet_wp.exe执行后的启动的进程是什么:[答案格式:qax.exe][exe分析][★★★☆☆]

svchost.exe

4. 文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:[答案格式:勒索][exe分析][★★☆☆☆]

挖矿

5. 文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:[答案格式:美国][exe分析][★★★★☆]

韩国

0x02 APK分析

1. 受害人手机中exec的和序列号是:[答案格式:0xadc][APK分析][★☆☆☆☆]

0x936eacbe07f201df

2. 受害人手机中exec关联服务器地址是:[答案格式:asd.as.d][网络流][★★☆☆☆]

ansjk.ecxeio.xyz

3. 受害人手机中exec加载服务器的函数是:[答案格式:asda][APK分析][★★★☆☆]

loadUrl

4.受害人手机中exec的打包ID是:[答案格式: adb.adb.cn][APK分析][★★★☆☆]

__W2A__nansjy.com.cn

5.受害人手机中exec的是否有安全检测行为:[答案格式:是/否][APK分析][★★★☆☆]

是

6.受害人手机中exec的检测方法的完整路径和方法名是:[答案格式:a.a.a()][APK分析][★★★☆☆]

d.a.a.c.a.a()

7.受害人手机中exec有几个界面:[答案格式:2][][★★★☆☆]

3

8.受害人手机中红星IPA的包名是:[答案格式:a.s.d][IPA分析][★★☆☆☆]

com.dd666.hongxin

9.受害人手机中红星IPA的APIKEY是:[答案格式:asd][IPA分析][★★☆☆☆]

d395159c291c627c9d4ff9139bf8f0a700b98732

10.受害人手机中红星IPA的权限有:[答案格式:as d a][IPA分析][★★☆☆☆]

相册 定位 摄像头 麦克风

11.嫌疑人手机中红星APK的服务器地址是:[答案格式:ass.a.d:11][网络流][★☆☆☆☆]

www.nansjy.com.cn:8161

12.嫌疑人手机中红星APK的程序入口是:[答案格式:a.v.b.n][APK分析][★☆☆☆☆]

com.example.weisitas526sad.activity.SplashActivity

13.嫌疑人手机中分析聊天工具，服务器的登录端口是:[答案格式:12][APK分析][★★☆☆☆]

6661

14.嫌疑人手机中分析聊天工具，用户归属的机构是:[答案格式:太阳][APK分析][★☆☆☆☆]

红星

15.结合手机流量分析聊天工具的登录账号和密码是:[答案格式:1212311/12312asd][APK分析][网络流][★★★★☆]

17317289056/b12345678b

0x03 服务器取证

1、服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容，不算脚本注释部分。[答案格式:/abcd/tmp www.windows.com\]\[服务器取证\]\[★★★★☆\]

答案：/usr/sbin/ntpdate time.nist.gov

执行命令 vi etc/rc.local 找到该脚本

查看该脚本，发现有一关键词“$gztmpdir”出现多次

确认该脚本是经过压缩的，执行命令 gzexe -d time.sh对脚本进行解密

2、服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。[答案格式：2022年第六届蓝帽杯][服务器取证][★★★★☆]

答案：#台北下着雪你说那是保丽龙

执行命令 crontab -l查看计划任务

发现脚本后缀为sh.x，这个一般为shc加密，使用unshc.sh脚本进行解密

界面完成后执行命令 vi backup.sh查看脚本内容

3、使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。[答案格式：e10adc3949ba59abbe56e057f20f883e][服务器取证][★★★☆☆]

答案：25b9447a147ad15aafaef5d6d3bc4138

宝塔面板的密码加密方式存放在文件“/www/server/panel/class/users.py”下

使用该加密方式对字符串lanmaobei加密

4、写出服务器中第一次登录宝塔面板的时间。[答案格式：2022-02-02 02:02:02][服务器取证][★★☆☆☆]

答案：2021-05-17 16:10:40

先登录到宝塔面板中 执行命令 bt 11 && bt 12 && bt 13 && bt 23 关闭一些登录限制

这个文件没有权限删除，执行命令 lsattr /www/server/panel/config/basic_auth.json

这个i是代表不可修改权限，执行命令 chattr -i /www/server/panel/config/basic_auth.json && rm -rf /www/server/panel/config/basic_auth.json 和bt 23就可以关闭限制了

然后修改宝塔面板密码进行登录，查看宝塔面板日志，发现被清空

于是执行命令 cd /www/server/panel/logs/request/ 该目录里保存了所有访问宝塔面板的get或者post请求记录

执行命令gunzip -d 2021-05-17.json.gz 然后执行 vi 2021-05-17.json

成功登录宝塔面板的post和ger请求是连续的，且后接内容分别为“/login?”和“/?”

5、写出宝塔面板的软件商店中已安装软件的个数[答案格式：2][服务器取证][★★☆☆☆]

答案：6

6、写出涉案网站（维斯塔斯）的运行目录路径。[答案格式：/root/etc/sssh/html][服务器取证][★★☆☆☆]

答案：/www/wwwroot/v9.licai.com/public

7、写出最早访问涉案网站后台的IP地址。[答案格式：111.111.111.111][服务器取证][★★☆☆☆]

答案：183.160.76.194

先在配置文档里找到网站日志文件

在日志文件里找到后台地址及最早访问的IP地址

8、写出涉案网站（维斯塔斯）的“系统版本”号。[答案格式：6.6.6666][服务器取证][★★★☆☆]

答案：1.0.190311

查看管理员表，使用admin登录

执行命令 find /www/wwwroot/v9.licai.com/ -name *.php* |xargs grep '密码不正确'

vi /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php

修改该文件，然后登录网站

9、分析涉案网站的会员层级深度，写出最底层会员是多少层。[答案格式：66][服务器取证][★★★★☆]

答案：10

在数据库中member表中，先找出上下级关联字段inviter,invicode,然后通过脚本实现递归，算出层级表

10、请写出存放网站会员等级变化制度的网站代码文件的SHA256值。[答案格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92][服务器取证][★★★☆☆]

答案：18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78

执行命令 find /www/wwwroot/v9.licai.com/ -name *.php* |xargs grep '会员等级'

使用SA加载然后计算该文件哈希

11、计算向网站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。[答案格式：666.66] [服务器取证][★★★★☆]

答案：25178.59

开启general_log，去充值界面捕获sql语句，得知其充值表为memberrecharge，且当status=1时，为已处理。

执行sq语句 SELECT userid,sum(amount) FROM memberrecharge where type = '用户充值' and status = 1 group by userid order by sum(amount) desc limit 5

得到充值前五用户id

执行sql语句 select sum(moneylog_money) from moneylog where moneylog_type like '%下线%' and moneylog_userid in (7,2,12,11,168)

12、统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。[答案格式：6][服务器取证][★★★☆☆]

答案：2

13、统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。[答案格式：6666.66][服务器取证][★★★★☆]

答案：9805957.00

用户成功总充值金额（不包括平台赠送）-用户成功总提现金额

执行sql语句 select b.a-d.c from (SELECT sum(amount) a FROM memberrecharge where type = '用户充值' and status = 1 and updated_at < '2021-07-01 23:59:59' ) b,(SELECT sum(amount) c FROM memberwithdrawal where status = 1 and updated_at < '2021-07-01 23:59:59') d

14、统计涉案网站哪一天登录的会员人数最多。[答案格式：1999-09-09][服务器取证][★★★★★]

答案：2021-07-14

执行sql语句 SELECT COUNT(DISTINCT(userid)),date_format(updated_at,'%Y-%m-%d') FROM memberlogs GROUP BY date_format(updated_at,'%Y-%m-%d') ORDER BY COUNT(DISTINCT(userid)) DESC

15：写出涉案网站中给客服发送“你好，怎么充值”的用户的fusername值。[答案格式：lanmaobei666][服务器取证][★★★★★]

答案：hm688

思路一：将备份的数据库恢复，查看layims表

执行cd /root/db-bak/v9_licai_com && unzip db-v9_licai_com-20210714030001.sql.zip

执行 mysql -uroot -p138663b195816d72 < -

思路二，将备份的数据库导出，直接进行关键词搜索

本文转载自公众号盘古石取证