做外贸企业网站,开设一个网站的费用,个人简历制作视频教程,wordpress文章 模板案件介绍 2021 年 5 月#xff0c;公安机关侦破了一起投资理财诈骗类案件#xff0c;受害人陈昊民向公安机关报案称其在微信上认识一名昵称 为 yang88 的网友#xff0c;在其诱导下通过一款名为维斯塔斯的 APP #xff0c;进行投资理财#xff0c;被诈骗 6 万余万元。接警…案件介绍 2021 年 5 月公安机关侦破了一起投资理财诈骗类案件受害人陈昊民向公安机关报案称其在微信上认识一名昵称 为 yang88 的网友在其诱导下通过一款名为维斯塔斯的 APP 进行投资理财被诈骗 6 万余万元。接警后经过公 安机关的分析锁定了涉案 APP 后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑经过多次摸排 后公安机关在杨某住所将其抓获并扣押了杨某手机 1 部、电脑 1 台据杨某交代其网站服务器为租用的云服务 器。上述检材已分别制作了镜像和调证假设本案电子数据由你负责勘验请结合案情完 成取证题目。 解开检材 【APK取证】
【APK取证】涉案apk的包名是[答题格式:com.baid.ccs] 【APK取证】涉案apk的签名序列号是[答题格式:0x93829bd] 【APK取证】涉案apk中DCLOUD_AD_ID的值是[答题格式:2354642]
直接看是错的要打开源码分析中的jadx反编译中查看AndroidManifest.xml中搜索DCLOUD_AD_ID 【APK取证】涉案apk的服务器域名是[答题格式:http://sles.vips.com]
源码分析中分析敏感信息分析完后查看服务器域名一般都是.com/.cn结尾的后面还接着端口号 【APK取证】涉案apk的主入口是[答题格式:com.bai.cc.initactivity] 【手机取证】
【手机取证】该镜像是用的什么模拟器[答题格式:天天模拟器] 【手机取证】该镜像中用的聊天软件名称是什么[答题格式:微信]
在data.vmdk的镜像文件中 【手机取证】聊天软件的包名是[答题格式:com.baidu.ces]
分析data镜像 com.uneed.yuni 【手机取证】投资理财产品中受害人最后投资的产品最低要求投资多少钱[答题格式:1万] 【手机取证】受害人是经过谁介绍认识王哥[答题格式:董慧] 【计算机取证】
【计算机取证】请给出计算机镜像pc.e01的SHA-1值[答案格式字母小写] 【计算机取证】给出pc.e01在提取时候的检查员[答案格式admin] 【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址[答案格式http://www.baidu.com]
找到开机密码打开镜像 【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码[答案格式root/admin] 【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号[答案格式xxxx(xx)]
开启WPS的设置 【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1[答案格式字母小写]
勾选文件进行哈希值计算但是这个算出来是错的我也不知道为什么 后来在火眼中实现了 【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码[答案格式admin!#] 【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号[答案格式8080]
通过netstat -ano查看端口 【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码[答案格式root/admin]
在配置文件里找到密码 C:\Program Files\StarWind Software\StarWind\StarWind.txt
找不到就把starwind.crg文件的后缀改掉了 【计算机取证】分析嫌疑人电脑内提现记录表用户“mi51888”提现总额为多少[答案格式10000]
按照大佬思路来的
导出放入vc中加载 【内存取证】
【内存取证】请给出计算机内存创建北京时间[答案格式2000-01-11 00:00:00]
刚接触内存取证不太熟练文件如果不存在报错就改为绝对路径这种情况下一般不会报错了 【内存取证】请给出计算机内用户yang88的开机密码[答案格式abc.123] 虽然密码本里其实也有但这题是让我们用内存取证的方式做出来我们可以用命令爆破 【内存取证】提取内存镜像中的USB设备信息给出该USB设备的最后连接北京时间[答案格式2000-01-11 00:00:00] 北京时间要加8个小时 【内存取证】请给出用户yang88的LMHASH值[答案格式字母小写] 【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间[答案格式2000-01-11 00:00:00] 【内存取证】请给出“VeraCrypt”最后一次执行的北京时间[答案格式2000-01-11 00:00:00] 北京时间加8个小时 【内存取证】分析内存镜像请给出用户在“2023-06-20 16:56:57 UTC0”访问过“维斯塔斯”后台多少次[答案格式:10]
仔细读题会发现其实要加上北京时间8个小时答案就出来了 【内存取证】请给出用户最后一次访问chrome浏览器的进程PID[答案格式1234] 【服务器取证】 【服务器取证】分析涉案服务器请给出涉案服务器的内核版本[答案格式xx.xxx-xxx.xx.xx]
仿真.qcow2文件 不仿真也有 【服务器取证】分析涉案服务器请给出MySQL数据库的root账号密码[答案格式Admin123]
比赛的时候是看的宝塔面板里面的root密码但是这个密码错了 查看宝塔面板日志发现密码被修改过 netstat -tlunp # 发现8083端口Laravel框架查看.env文件
cat /www/wwwroot/v9.licai.com/.env 【服务器取证】分析涉案服务器请给出涉案网站RDS数据库地址[答题格式: xx-xx.xx.xx.xx.xx] 【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00] 【服务器取证】请给出嫌疑人累计推广人数[答案格式100] 进入宝塔面板用内网,输入用户名密码 题目给了.xb的数据库数据文件获取解压数据参考文章https://www.cnblogs.com/tongcharge/p/11600594.html
之后连接数据库获取后台密码密文直接修改源代码绕过校验也可以 Laravel解密方法参考 https://blog.csdn.net/Ferre666/article/details/75094522
下面介绍的是解密密文的方式
vim /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/LoginController.php public function index(Request $request) { // echo Crypt::encrypt(123456); // echo Crypt::decrypt(eyJpdiI6IjVJK3U1bERBSnhqdUZTcDNyVHBFREE9PSIsInZhbHVlIjoiSWpMdGtOQTlkVTFlVU83aHR3RFJ3UlU2K09lRjBuSzdSSlwvY0FLTTBXY009IiwibWFjIjoiZGY4MWNkYWY3Njc2ODRmODg0YjMxMWM1NmViNDAxZjA4ZDI0YTUwNGZhZmFjNjk0ZDZkMzQzZDA2NGI5ZDdmMSJ9); echo Crypt::decrypt(eyJpdiI6IjNHMDJWZkpwMnBXVUpsYjRKcEM4WlE9PSIsInZhbHVlIjoibEpXSkJZZFlpWkl2dU9kY2tvR2xMWnZxT3E5T1pRUnhDVFlidjczY01EMD0iLCJtYWMiOiI5ODA2Nzc5MjM0MDE4MGY0MTkxMGEyOGQ1MTUwNWZiYmViMzk0MmQxYzc3NmViOWE5YTZjMjljNWM5OGIxZWVkIn0); ...... 解得 admin/root123456 root/mzx10000s 访问http://vip.licai.com:8083/AdminV9YY/Login。后台地址可以通过/www/wwwlogs/v9.licai.com.log日志查看
登录后台后,会员管理-会员管理。案件介绍中嫌疑人为杨某直接搜索名字杨。发现只有杨德忠具有推广人数 【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]
管理账号- 【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为[答题格式:1.00%] 【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8] 【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]
会员管理-团队结算会员等级筛选得到20个 【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]
据库中搜索上海然后在会员管理通过用户名分别查询两个用户得余额发现都大于0 【服务器取证】分析涉案网站数据库或者后台统计嫌疑人的下线成功提现多少钱[答题格式:10000.00] 【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人[答题格式:123]
受害人上线 为 杨德忠。下线在代码中通过tuiguangrens字段表示的在会员管理-团队结算中
vim /www/wwwroot/v9.licai.com/app/Http/Controllers/Admin/SalesmansController.php 但是由于默认前台返回的推广下线数是 我们修改模板中xxtuiguangrens为tuiguangrens
vim /www/wwwroot/v9.licai.com/resources/views/hui/salesmans/lists.blade.php 【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个[答题格式:10] 【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三] 【服务器取证】分析涉案网站数据库或者后台流水明细本网站总共盈利多少钱[答题格式:10,000.00] select (SELECT sum(moneylog_money) FROM viplicai.moneylog WHERE viplicai.moneylog.moneylog_status)-(SELECT sum(moneylog_money) FROM viplicai.moneylog WHERE viplicai.moneylog.moneylog_status-); 复现过程中战线拖的较长在服务器取证方面比较困难于是有参考以下3篇文章来为自己提供思路:
2023第七届蓝帽杯电子取证初赛部分题解
第七届蓝帽杯全国大学生网络安全技能大赛初赛Writeup
2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解