2023第七届蓝帽杯初赛取证部分个人复盘(非官方wp，望各位大佬指正)

APK部分

1.【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

 2.【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]

3.【APK取证】涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

这个题雷电app给的调证值但是错误了

 在AndroidManifest.xml中找到了该值（还是不能完全相信取证工具，有时候要看看源码）

4.【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

这题直接模拟器打开该app，有报错显示url

5【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

手机部分

6.【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]

文件名含有leidian

 7【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]

这题主要是将模拟器还原，添加模拟器，备份还原

 选择system.vmdk

发现与你app是聊天软件

 8【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]

我当时是直接在网上下载了一份

9【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]     查看历史聊天记录

10【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]

这个题要结合后面的服务器取证

根据聊天记录：介绍人名字有个“华”，并且是对方的下线

 在后面服务器取证中找yang88下线名字中带华的，发现只有这一个

计算机部分

11【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

12【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

X-ways中查看

13【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

仿真后直接打开IE，也可以在控制面板查看

14【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

 15【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

16【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写] 

17【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#] 

18【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

在程序列表发现了该服务的控制器

19【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

我只能做到这了。有一个思路就是本地有一个passwords.txt文件。可以利用重复密码验证进行爆破，也可以自己生成字典爆破。可以看出密码为12位。

20【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

仿真后在f盘发现一个特别大的txt文件怀疑是加密容器就用VC打开然后把上面获取vc的密码输入

内存部分

21【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

22【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

23【内存取证】提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

24【内存取证】请给出用户yang88的LMHASH值？[答案格式：字母小写]

25【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00] 

26【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00 

27【内存取证】分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

2023-06-20 16:56:57 UTC+0是北京时间 2023-06-21 0:56:57 左右

 28【内存取证】请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

服务器部分

29【服务器取证】分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

执行bt发现网站有宝塔

30【服务器取证】分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

31【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

32【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

登录phpmyadmin

云数据库备份文件恢复教程：阿里云“.xb”数据库物理备份文件本地重建 – 悟夜叉个人博客

网站本地重建过程：

把云数据库数据转到本地

把服务器上网站的源代码下载到本地（很像上次盘古石杯就是数据库用的是云数据库）

数据库：

小皮面板重新下载mysql5.7（有重要数据请备份）

把云数据库的data文件粘贴到本地mysqldata文件

根据ico、index.php、robots.txt文件可以判断网站的运行目录在public

伪静态配置

伪静态配置

Options +FollowSymlinks -Multiviews
RewriteEngine onRewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]

改hosts文件

127.0.0.1 pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

127.0.0.1 v9.licai.com

127.0.0.1 vip.licai.com

服务器中的网站日志获取后台地址（也可以通过27题）（可是后台管理员密码，我不知道怎么解密后面的题涉及到后台的都是用数据库解的）

 33【服务器取证】请给出嫌疑人累计推广人数？[答案格式：100]

34【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

35【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%] 

36【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8] 

37【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

在用户表中对等级计数3为vip2

38【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

39【服务器取证】分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00] 

40【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

受害人为陈昊民

邀请人的邀请码为513935

41【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

对邀请人汇总

61-1=60

42【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

43【服务器取证】分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！