最近打完蓝帽杯 现在进行复盘

re

签到题

直接查看源代码

输出的内容就是 变量s + 变量 number 而这都是已经设定好了的

 所以flag就出来了

WhatisYourStory34982733

取证

案件介绍

取证案情介绍： 2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目

取证检材容器密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

取证案情介绍： 2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目

【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

jadx查看即可

com.vestas.app

【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

这道题我使用 GDA查看

0x563B45CA

 【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

直接去 jadx搜索 DCLOUD_AD_ID

2147483647

 【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

这题我们做错了 因为http 没有加上s

我们apk查看一下 发现发现直接显示了

 或者直接进去 雷电查看自动分析结果

【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

沙箱什么都可以看

GDA

在线检测

 io.dcloud.PandoraEntry 

【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

 发现有日志 进去看看

发现雷电模拟器字样 暂时不能确定

我们打开取证工具看看

直接将一个文件拿进去取证

雷电模拟器

 【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]

与你

【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]

com.uneed.yuni

【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

5万

 【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

华哥

【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

23F861B2E9C5CE9135AFC520CBD849677522F54C

【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

这个要使用其他的取证工具查看  火眼无法查看 我们多试试 看看就行了

pgs

有疑问【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

通过仿真看看

通过打开注册表 regedit

进入

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

查看里面 的 start page的值

或者直接打开浏览器查看

http://global.bing.com

但是好像是错误的

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

直接去取证查看

 

yang88/3w.qax.com

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

仿真查看

2023春季更新(14309)

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

首先要找到这个文件 我们去翻一翻文件

打开D盘 看看

很大的文件 不知道是什么 我们拖出去放取证看看

找到了c盘清理

24CFCFDF1FA894244F904067838E7E01E28FF450

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

3w.qax.com!!@@

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

比赛没有做出来 后面发现存在一个StarWind

答案是

3261

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

将整个starwind导出

user/panguite.com

【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

这个 2GB txt 就很像vc

我们上题 有vc的密码

出现了

查看体现文件

1019

【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 01:02:27

【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

直接上插件

        

py -2 vol.py -f F:\计算机\memdump.mem --profile=Win7SP1x64  mimikatz

 3w.qax.com

【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 01:01:25

 【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

直接hashdump

aad3b435b51404eeaad3b435b51404ee

 【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 00:47:41

【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

2456

【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

火眼直接看

【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

直接仿真

打开宝塔

这里存在两个密码 一个是root 一个远程服务器 那我们怎么知道我们找的是什么呢

我们看看日志

发现root的密码是被修改过的 并且

 .env很像环境文件我们去看看这个文件

发现账号密码

我们去上面那个远程服务器看看

发现也是 所以确定了答案

ff1d923939ca2dcf

【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

数据库的地址 就是阿里云服务器地址 在上面就已经给出来了

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

这里存在阿里云的备份 .xb后缀的恢复

阿里云Mysql5.7 数据库恢复 qp.xb文件恢复数据_菜鸟入行的博客-CSDN博客

安装文件

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin

wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpmyum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

 接下来就是数据恢复了

#将hins261244292_data_20230807143325_qp.xb文件放置/opt目录下
cd /opt
#创建/home/mysql/data/文件夹
mkdir -p /home/mysql/data
#使用xbstream处理qp.xb文件
cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /home/mysql/data
#进入/home/mysql/data进行解压 显示 completed OK! 即正常
cd /home/mysql/data/
innobackupex --decompress --remove-original /home/mysql/data
innobackupex --defaults-file=/home/mysql/data/backup-my.cnf --apply-log /home/mysql/data
chown -R mysql:mysql /home/mysql/data

然后修改mysql配置文件

vim /home/mysql/data/backup-my.cnf
#添加如下参数
lower_case_table_names=1
#注释如下不支持的参数：
#innodb_checksum_algorithm=crc32
#innodb_log_checksum_algorithm=strict_crc32
#innodb_data_file_path=ibdata1:200M:autoextend
#innodb_log_files_in_group=2
#innodb_log_file_size=1572864000
#innodb_fast_checksum=false
#innodb_page_size=16384
#innodb_log_block_size=512
#innodb_undo_directory=./
#innodb_undo_tablespaces=0
#server_id=1291154917
#redo_log_version=1
#server_uuid=dbd99726-2585-11eb-9ae1-78aa82d27dc0
#master_key_id=0
#innodb_encrypt_algorithm=AES_256_CBC

然后https://www.cnblogs.com/black-fact/p/11613361.html

绕过密码直接进入数据库

这里还记得要在宝塔里设置一下

修改到我们恢复的文件夹

然后再phpadmin就可以发现存在了数据库

5.7.40

【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

重构网站

首先我们在之前 存在 viplicai 数据库 我们导出

然后重新启动一个数据库

导入数据库

然后记得修改一下网站的配置文件

然后访问

ip:8083/login.html

这里因为我们要进入后台 所以我们访问另一个网站

ip:8083/AdminV9YY/Login

这里管理员账号我们可以去数据库看

但是无法登入 存在加密 这里很简单

就是先回刚刚开始的网站 注册一个普通账户

我们去数据库看看

随便找一个

然后我们去 数据库 member找我们刚刚注册的名字

把这两个值复制到admin中

然后通过刚刚注册的账号密码登入后台

这里要找嫌疑人的推广人数

这里70 是因为我注册也是使用 这个邀请码 所以要注意一下

69

【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

这里使用了 2022蓝帽杯半决赛的网站

4.00%

【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

 	183.160.76.194

【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

这里就是回到数据库进行sql语句的查询

select count(username) from member where amount>0 and `bankaddress` like "%上海%" order by count(username); 

【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

128457.00

【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

SELECT count(username) FROM `member` where inviter="513935"; 

这里是18 是因为 我也是通过这个邀请码注册的账号

17

【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

select count(a.b) from (SELECT count(*)b,inviter FROM `member`GROUP by inviter HAVING count(*)>2)a; 

【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

select count(username),inviter from member group by inviter ORDER BY `count(username)` DESC 

SELECT * FROM `member` WHERE invicode="617624" ORDER BY `member`.`invicode` ASC; 

骆潇原

【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

select c.d-a.h from (SELECT sum(moneylog_money)d FROM `moneylog` where moneylog_status='+')c,(SELECT sum(moneylog_money)h FROM `moneylog` where moneylog_status='-')a; 

15078854.38