【解剖麻雀般地回忆一场小型电子数据取证竞赛】
2022-8-4 00:0:56 Author: 电子物证(查看原文) 阅读量:91 收藏
第一部分:安卓取证与逆向
1.通过对镜像文件的分析,请刷选出与涉案的泡泡APP,并获取其APP包装包的md5校验值(答案格式填写大写字母与数字组合 如:ABC123DEF) (10分)
提供分析的安卓镜像主要有三个,分别是data.vmdk、sdcard.vmdk和system.vmdk,对应的是安卓系统数据区、外置存储区和系统区,我们主要分析data和sdcard区。APP安装包一般在/Data/app/下,根据拼音推测包名为
com.paopaotalk.im。 

答案:
8205a15437d5df15fcff75cc03fd903e。
2.接上题,给出app的包名(答案格式填写小写字母、. 组合 如:android.permission.read_sms) (10分) 
将提取出来的APP安装包拖进jadx-gui中,通过查看AndroidManifest.xml中的package对应的值获取包名。

答案:com.paopaotalk.im。
3.app不包含以下哪种第三方SDK信息? (10分)
SDK信息仍然存在于AndroidManifest.xml中,查找SDK过程不再赘述。
极光推送:

百度地图:

华为推送:

4.通过对APP安装包进行分析,该APP是否加固?(答案格式填写:是/否) (10分)

答案:是。
5.通过对APP安装包进行分析,分析该APP的主程序名?(格式填写数字和大小写字母组合 如:AB12.4aaB.COM) (10分)
众所周知每个android程序都有一个主的activity,它是程序启动的第一个activity,每个activity都需要在AndroidManifest.xml文件中声明。

答案:
com.vvchat.vcapp.activity.MainActivity。
6.通过对APP安装包进行分析,该APP签名类型为?(格式填写数字和大小写字母组合 如:ABC12cde) (10分)
APP签名可以通过jadx_gui中的“APK signature”模块查看,除了应付比赛以外,这里往往也是案件侦破中的意外之处。

答案:X.509。
7.app加密数据库文件所使用的私钥(答案格式填写小写字母与数字组合 如:abc123def) (10分)
通过分析
/Data/data/com.paopaotalk.im/databases
下的sqlite文件,发现其主要存放数据的数据库分别是new_zc.db和new_qyx.db。

使用工具对该APK进行脱壳处理。APK脱壳过程就不多说了(某取证工具自带脱壳功能,或者通过Frida一类的工具自动化脱壳),接着使用jadx-gui打开脱壳后的APK并全局搜索关键字”new_qyx”和”new_zc”,发现函数”convertSQLCipheredDB”和”convertZCSQLCipheredDB”分别对这两个数据库进行操作,通过分析可知第二行的encode变量就是连接sqlite数据库的密码。

经过分析可知,数据库私钥的内容其实际上是将getCustId()获取到的值进行MD5加密后的结果。由于本人不是很熟悉安卓开发,懒得追溯相关函数了,该函数第二行写明了这个数值其实也跟数据库名有关系,那么这个问题就迎刃而解了。

答案:
60f93706ff40f56a785861960ffe1237。
8.app记录用户聊天记录的数据库表名(答案格式填写小写字母 如:abc) (5分)

答案:msg。
9.app中聊天记录中接收文件名为"拼一拼平台_xlsx_Sheet1_0001.zip"文件的md5(128bit)校验值。(答案格式填写小写字母与数字组合 如:abc123) (5分)
翻一翻sdcard文件系统即可。

答案:
2CF59CAB8A0B8E01643A3F3B59640153。
10.请获取上题压缩包中文件,压缩包的压缩密码是什么?(答案格式填写大小字母、数字组合 如:abc123DEF) (10分)
这道题可以利用模拟器对镜像进行仿真,本身APP的登录凭证并没有过期,可以打开泡泡APP查看聊天内容来查找解压密码。由于已打开了数据库,就不进行仿真操作了,感兴趣的朋友可以查查相关资料(将镜像直接替换至模拟器的相关文件夹)。

答案:pinyipin。
11.对压缩包中文件分析,文件中的转账数据有多少条。(答案格式填写数字 如:123) (5分)

答案:79。
12.对压缩包中文件分析,请给出文件中用户"李淼"的转入交易金额数值。(答案格式填写数字 保留小数点后二位 如:1234.00) (5分)

答案:80780.00。
第二部分:流量分析与黑客攻击
13.通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445) (5分)
用wireshark打开流量包,“统计”-“捕获文件属性”。

答案:
7f66df0b59bb5d633a1cb3dbe7acfbb7455458cc。
14.通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23) (10分)

答案:2018-08-08。
15.通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10) (5分)

答案:1。
16.通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
题目没有说明攻击的类型,而常见的攻击主要分为流量攻击和漏洞利用等几种类型。为了便于我们推测攻击手法,可以先查看流量较大的几个IP,wireshark里点击”统计”-“conversation”。

确定流量较大的IP后,我们需要进一步推测这些IP是基于什么协议发起的。点击“统计”-“协议分级”,从协议的高低层次进行排查,发现HTTP层协议较多。

过滤器中输入“http”,存在大量404状态码,推测被某扫描器进行漏洞扫描。根据服务端找到IP192.168.32.189。

答案:192.168.32.189。
17.通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
方法如上,根据请求端找到攻击者IP192.168.94.59。
答案:192.168.94.59。
18.通过对流量包attack进行分析,得知黑客使用的扫描器是?(5分)
过滤器里设置规则:http.request && ip.addr == 192.168.94.59 ,将来自192.168.94.59的HTTP请求包过滤出来,然后逐一排查相关数据包,发现相关HTTP协议中被注入扫描器的包头,根据特征推断是awvs。

答案:AWVS。
19.通过对流量包attack进行分析,得到黑客对服务器网站扫描到的登录后台是:(格式填写相对路径 ,使用小写字母、 / 和其他字符组合 如:/www/wwwroot) (10分)

答案:/admin/login.php
20.通过对流量包attack进行分析,得到其人事登录网站服务器的密码是?(格式填写字母与数字组合 如:abc123) (5分)
经过对前面登录流量包的分析可知,登录入口在/admin/login.php中,于是在过滤器中输入规则:http.request.uri contains "admin/login" ,倒着梳理登录HTTP包,发现最后一个就是人事的密码。比较坑的是,由于“人事”被url编码,无法通过搜索功能查找,当然大家可以尝试将相关关键字url编码,然后查找流量包中包含该url编码的数据。

答案:hr123456。
21.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password) (10分)
这里提一个小技巧,根据服务器的状态码来判断登录结果。众所周知,状态码302为重定向、200为请求成功、404为资源不存在、403为目录权限导致不能列出等,因此我们可以通过状态码来判断是否登录成功。
过滤器中输入规则:http.response.code == 302 ,这时候发现倒数第二个登录包重定向到了管理员首页(倒数第一个是上一题),因此我们需要追溯该回复包的请求包中的账号密码即可。

选中该数据包,右击“追踪流”-“tcp流”。该选项可以将该数据包的“上下文”通过右下角的“流”展示出来,当然“HTTP流”则是仅展示HTTP层协议的请求与回显,没有查看上下文的功能。

提取密码并进行url解码。在Notepad++选中该密码,“插件”-“MIME Tools”-“URL Decode”将url解码,得到admin的登录密码:[email protected]#pass123。

答案:admin/[email protected]#pass123。
22.通过对流量包attack进行分析,得到黑客第一次上传的webshell文件名是什么?(格式填写小写字母、数字、 .组合 如:user.js或者user.php ) (5分)
这里仍通过过滤POST包来查找webshell,发现客户端疑似对webshell(a.php)进行操作,且服务器有相关响应,因此推断webshell为a.php。当然对于该webshell怎么产生的,本人并没有梳理出来。

答案:a.php。
23.接着上题分析,黑客上传的内容是什么?(格式填写数字 如:123456) (5分)
这道题实际上是变相在提问一句话密码。
答案:1234。
24.通过对流量包attack进行分析,黑客在robots.txt中找到的flag是什么?(格式填写小写字母与数字组合 如:ab6767gdgd9870) (5分)
过滤器输入规则:http,在海量HTTP包里搜索关键字robots.txt,接着查看上下文来查找flag内容。

也可以过滤器中输入:http.request.uri contains robots.txt ,将所有请求robots.txt的客户端筛选出来,接着通过TCP流功能来追溯服务器响应内容。

答案:
87b7cb79481f317bde90c116cf36084b。
25.通过对流量包attack进行分析,捕获这些数据报文的一共时间是?(格式 按小时:分:秒 填写 如:hh:mm:ss 如00:01:23) (5分)
此题与前面几道题做法一致,不再赘述。

答案:02:16:22。
26.通过对流量包attack进行分析,HTTP Request Packets占总的HTTP Packets百分比多少?(格式填写数字、. % 组合 如:11.11% 百分比保留小数点后二位) (5分)
Wireshark里点击“统计”-“HTTP”-“分组计数器”,统计结果为52.39%。

答案:52.39%。
27.通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg,对其分析,得知该文件一共包含几个数据表?(格式填写数字 如:1) (10分)
此题的坑在于,让人误以为分析中国菜刀脱裤操作过程中的流量包,实则是一道隐写题。使用binwalk -e HACK.jpg命令将图片中的压缩包提取出来,解压得到一个SQL文件,导入到本地MySQL完成还原再查看数据表即可。

答案:8个。
28.接上题customername为Singal Gift Stores的电话号码为?(格式填写数字 如:1112222222) (5分)
在navicat里搜索关键字即可,比较坑的是客户的名字拼错了...需要换个关键字。

答案:7025551838。
第三部分:PC取证与逆向
29.对镜像PC.E01分析,该镜像源盘的MD5值是?(字母全大写,填写格式如:1AB12C33F1) (10分)
答案:
E44AA73AE91144C987D20990034F4775
30.对镜像PC.E01分析,系统最后一次关机时间是?(填写格式如:2011-01-11 10:11:11) (10分)
透过问题看本质,相关取证工具判定开关机时间的依据为分析系统日志文件
c:\WINDOWS\system32\config\SysEvent.Evt
的事件ID,正常关机事件ID:6006、开始事件ID:6005。
答案:2019-02-24 20:14:11。
31.对镜像PC.E01分析,系统用户Administrator登录次数为多少?(填写格式数字 如:10) (10分)
答案:35。
32.对镜像PC.E01分析,得知该计算机的DHCPIP地址是?(填写格式:192.168.1.1) (10分)
通过研究相关取证工具,发现可以通过解析注册表文件c:\WINDOWS\system32\config\system,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters\Interfaces\下找到相关网卡,在DhcpIPAddress选项里查看其IP。

答案:192.168.223.157。
33.对镜像PC.E01分析,得知该计算机登录QQ账号是(填写格式如:345123456) (10分)
QQ配置文件目录在 
C:\DocumentsandSettings\Administrator\MyDocuments\TencentFiles\,
其下级目录中出现的以数字命名的文件夹就是QQ号。

答案:2*******49。
34.对镜像PC.E01分析,该计算机安装TureCrypt加密容器,其版本为多少?(内容不包含字母,填写格式如:5.1) (10分)
查看电脑安装的软件情况,在注册表文件
C:\WINDOWS\system32\config\software中,但是并没有找到truecrypt的注册项,直接用相关取证工具查看。

答案:7.1。
35.对镜像PC.E01分析,加密容器密钥文件为系统盘根目录下的“m”文件,其大小为多少字节?(格式填写数字 如:10) (10分)

答案:64。
36.接上题,将加密分区(分区3)进行解密,得知张三工商银行卡号为多少?(填写格式数字,无空格 如:62225123456321654) (10分)
将上题的密钥文件m导出,选中加密分区(分区3),右击Turecrypt解密,在对话框里添加密钥文件完成解密。
解密后,根目录存在一个名为zh.txt的文件,目测是“账号”的简写,打开后发现正是张三的工商银行卡。

答案:6323879737423232765。
37.对镜像PC.E01分析,该操作系统密码为空,请查看EFS加密文件,并分析出张三建行卡号为多少?(填写格式数字,无空格 如:62225123456321654) (10分)
通过取证工具很快发现了EFS加密文件在E盘的zhongyao文件夹下,如何解密成了一个问题。经过查询资料可知,EFS加密大概类似ACL,根据特定用户来设置访问权限。

这么看来解密就简单了,查看文件属性,以白名单用户来访问该文件即可。但是比较坑的是用白名单用户administrator访问后提示“权限不足”,于是尝试将C盘下发现的证书都导入系统,再次访问相关文件得到银行卡号。

答案:62270000123465237853。
此题还有“旁门左道”,常规思路应该是先在取证结果里检索相关关键字。这里我们以“建设”为关键字进行查找,发现某软件里有提及建设银行卡号。

38.通过对1.dll恶意程序分析,得知DllMain的地址是什么?(格式按大写字母与数字组合填写 如:AB12DC) (10分)
将恶意程序1.dll拖进IDA中,自动停留在入口处,主窗口左下角为DllMain的物理地址。

答案:1000D02E。
39.通过对1.dll恶意程序分析,gethostbyname函数定位到什么地址?(格式按大写字母与数字组合填写 如:AB12DC) (10分) 
通过查询资料可知,DLL中函数导入表主要存放了该程序调用的外部函数、函数导入表则是存放了供外部调用的本地函数(初学逆向,如有问题请斧正)。因此在IDA的函数导入表窗口查找该函数,其左侧就是该函数的物理地址。

答案:100163CC。
40.接上题,有多少个函数调用了函数gethostbyname (格式数字 如:1) (5分) 
通过查询资料得知,IDA中查看某函数被调用的次数,需要先找到函数的位置,接着进入交叉引用中查看,type中的p表示调用流、r表示读取属性,去除重复出现的函数,得到的就是实际调用的次数。

答案:5。
41.通过对1.dll恶意程序分析,详细分析位于0x10001757处的gethostbyname调用,DNS请求将被触发的域名是?(格式:小写字母、数字、.组合 如www.sina12.com) (10分)
按快捷键g打开跳转地址对话框,输入10001757后来到该地址。

发现其参数为off_10019040[0] + 13。该参数表示从off_10019040偏移量13位开始才是最终的地址。

验证一下。off_10019040[0]对应的数据是“[”,而[12]则对应“]”,总体就构成了“[This is RDO]”。

答案:pics.praticalmalwareanalysis.com。
42.通过对1.dll恶意程序分析,IDA Pro识别了在0x10001656处的子函数中的多少个局部变量?(格式:填写数字 如:1) (5分)
按快捷键g跳转到该地址,发现存在大量的变量参数。经大佬点拨,这些都是局部变量和参数,其中带负号的都是局部变量,这里一共有23个带负号的,也就是23个局部变量。

答案:23。
43.通过对1.dll恶意程序分析,IDA Pro识别了在0x10001656处的子函数中的多少个参数?(格式填写数字 如:1) (5分)
与上题衔接,下面那个正数表示一个参数。
答案:1。
44.通过对1.dll恶意程序分析,字符串“\cmd.exe /c”位于哪里?(格式:格式按大写字母与数字组合填写 如:AB12DC) (5分) 
查看字符串。在IDA中选择菜单栏中的view,在open subviews中找到strings,这时候会将DLL中所有的字符串展示出来,拖到后面会发现其物理地址。当然也可以用搜索字符串功能。

答案:10095B34。
45.接上题,在引用“\cmd.exe /c” 的代码所在的区域发生了什么?(5分)
双击找到其汇编程序位置,按F5将其还原成伪代码,根据上下文中调用的函数可知,开启一个shell会话。

答案:开启一个shell会话。
46.通过对1.dll恶意程序分析,0x1000FF58处子函数中若对 ”robotwork” 字符串的memcmp比较是成功的,会发生什么?(5分)
按快捷键g跳转到相关地址,来到其函数入口。在0x1001044C处发现此处为一个判断,双击进入sub_100052A2(s)。根据函数名推测是对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\”的WorkTime项进行查询并取出结果。
接着来到sub_100038EE函数,双击进入,出现了send函数,经查询得知其向一个已连接的socket发送数据。

答案:通过注册表中取出机器工作时间的值,然后组成一个字符串,最后通过套接字发送出去。
47.通过对1.dll恶意程序分析,PSLIST导出函数最后导出了什么文件(格式小写字母、数字与.组合填写 如:abc1123.abc) (5分)
在函数导出表窗口中找到PSLIST函数,双击来到其函数体。经过对其中三个函数的简单分析,发现大部分功能是查看进程情况并通过套接字发送出去,但是这道题要求我们找到其导出的文件,需要继续对这几个函数分析。

接着在几个函数里发现共同存在sub_1000620C。跟进去发现有操作文件读写的功能,进而对其操作的文件进一步查看,找到写入的文件名。

答案:xinstall.dll。
48.通过对1.dll恶意程序分析,DllMain直接调用了多少个API?(格式填写数字 如:1) (5分)
49.接上题,DllMain函数有几个参数?(格式填写数字 如:1) (5分) 
方法同上,不再赘述。

答案:3。
50.通过对1.dll恶意程序分析,程序在0x10001358处对sleep的调用会睡眠多少秒?(格式:填写数字 如:1) (5分)
按快捷键g跳转到相应地址。发现休眠参数1000*V16,表示V16毫秒;接着双击off_10019020[0],发现参数V16对应的数据是30,偏移加13表示从该数组的第13位开始才是真正的数据(30)。

答案:30。
51.通过对1.dll恶意程序分析,在10001701处是一个对Socket的调用。它的第2个参数是什么?(格式:填写数字 如:1) (5分) 
方法同上,不再赘述。

答案:1。
52.通过对1.dll恶意程序分析,搜索in指令(0xED)的使用。使用这个指令目的什么?(5分)
不会
53.通过对1.dll恶意程序分析,将光标跳转到0x1001D988处,对加密的内容进行解密,解密后的内容为?(格式填写大小写字母、 空格、 , 组合 如:abc,dgMACgd dddAA) (10分) 
54.不会
第四部分:服务器取证与Docker容器分析及网站复建
55.通过对小型集群服务器分析,该服务器系统类型是?(10分)
查看/etc/centos-release文件,得知系统是centos 发行版。

具体操作系统位数可以通过查看根目录下有无lib64文件来判断。还有办法就是仿真起来系统,执行 uname -a 或者 cat /proc/version来查看位数情况。

答案:linux 64位。
56.通过对小型集群服务器分析,该服务器系统时区是?(10分)
执行命令“timedatectl”即可查看服务器的时区情况。
答案:CST。
57.通过对小型集群服务器分析,该服务器的sshd端口是多少?(答案格式:填写数字 如:10) (10分)
通过查看/etc/ssh/sshd_config,发现端口字段被注释了。不太确定端口号,直接开仿真系统来查看。

执行lsof -i:22,发现确实运行了sshd;或者执行“netstat -lnpt”

答案:22。
58.小型集群服务器涉案网站的域名?(答案格式填写小写字母 . 数字组合 如:www.sina.com) (10分)
通过对该镜像的初步查看,管理系统是基于宝塔面板的,于是奔着/www/server去了。结果发现该目录下没有panel目录,想到backup目录可能会有备份,于是去/www/backup/panel/2021-11-24/data/中提取default.db,在domain字段里找到域名。

答案:www.huarun.com。
59.涉案网站做了反向代理操作,使用的策略是什么?(答案格式:填写汉字 如:负载均衡) (5分)
通过对宝塔配置文件的梳理,发现/www/wwwroot/www.huarun.com的网站文件已被删除,数据恢复失败。按上题思路查找备份文件,打开
/www/backup/file_history/www/server/panel/vhost/nginx/www.huarun.com.conf文件,经过资料查询,确定负载均衡策略为轮询。

答案:轮询。
60.Docker中数据库容器的运行日志是在哪里,写出完整路径?(答案格式填写小写字母与数字等组合 如: /www/wwroot123/ab344/) (5分)
通过取证工具发现Docker下的数据库容器。双击容器名称为“huarundb”的容器,这时候会打开其配置文件,在LogPath字段中找到运行日志的目录。

答案:
/var/lib/docker/containers/05821c99dcc43ce6eb571fe19869cd2e877d53f321f2502225c77d42def8ef6d/。
61.对镜像PC.E01分析,得知QQ昵称为“海不怀疑天的蓝”的邮箱地址是:(填写格式字母、数字、@的组合 如:[email protected]) (10分)
解密相关记录,查看即可。
答案:159******[email protected]
62.涉案网站管理后台登录密码的加密算法?(5分)
由于网站代码几乎被清空,所以我们寄托希望于docker中。使用搜索功能,全局搜索PHP文件,发现存放网站程序的docker容器路径为:
/var/lib/docker/overlay2/29d5af348f07510f0e62ef7451e012dd7266d369d4549475ee4f0f017d50ffb3/diff/var/www/html
为了方便管理,我们将该文件夹导出。
根据网站结构判断是ThinkPHP框架,根据经验猜测登录函数存放在 /application/admin/controller/Login.php ,具体加密算法代码在第43行。

答案:md5(md5($pass.$salt))。
63.涉案网站的数据库是否开启general日志?(答案格式填写是或者否) (5分)
这题自己把自己给坑了,由于我是将数据库复现到本地的环境里,于是误把本地环境变量中的general日志当成涉案环境的,犯了个错误,惭愧惭愧。好久没有捣鼓docker了,相关命令也忘记的差不多了,于是就偷懒请教了大佬,这里大家可以参考他的思路:
将server.E01仿真起来以后,查看IP和开放端口,发现已开放ssh(22)端口,以MobaXterm连接进行演示。

先看一下docker状态。执行命令“systemctl status docker”,发现状态为未开启,接着执行命令“systemctl start docker”启动docker。

查看docker容器并尝试启动MySQL所在的容器。执行命令“docker ps -a”查看所有容器,确定MySQL所在的容器,尝试使用命令“docker start 058 -i”启动该容器,结果失败。通过报错内容可知,MySQL容器的my.cnf文件出错。

修复数据库配置文件。使用命令“docker cp 058:/etc/mysql/my.cnf /tmp/my.cnf”将容器内的配置文件导出到/tmp目录下,通过查看该文件得知是该配置文件的关键字段被注释掉,删除注释符并覆盖原始文件即可。

启动MySQL容器。执行命令“docker start 058”,这次发现可以正常启动MySQL容器了。

进入MySQL容器并查看环境变量。执行命令“docker exec -it 058 /bin/bash”进入容器的命令行,通过执行“history”命令找到数据库root用户的密码。使用密码连接进MySQL,执行SQL语句“show variables like 'general_log';”来查看环境变量。

答案:否。
64.用户名"yw0218"的提现余额是多少元?(答案格式填写数字 保留小数点后二位 如:123.12) (5分)
首先复现涉案环境。众所周知MySQL数据库的物理数据文件为*.myd ,检索镜像中的myd文件,发现存放MySQL的docker容器路径为
/var/lib/docker/volumes/3cef552498685a24b5238ac338effa6169c8be39e71468e3dae184adbe59b2ab/_data/huarun ,导出该文件夹。
建议大家提前准备一个带有宝塔面板的虚拟机。刚好近几天做了一下《2020GA-CNAS 014-1273》,顺手将网站架设在该服务器上复现涉案环境。
创建数据库,上传数据。通过宝塔操作数据库,添加“huarun”数据库,使用文件管理器将我们前面打包的myd文件上传并解压,完成后记得修改权限并删除压缩包。

添加站点并上传网站程序。创建站点时记得设置PHP版本为5.x,上传解压网站程序并设置好相应的权限。

修改数据库配置文件及本地hosts。前面我们知道网站程序是ThinkPHP框架的,其数据库配置文件在application/database.php中,同时修改绑定本地hosts。

访问后发现网站404,经检查网站没有作伪静态处理。具体原因在于,网站程序认为其网站入口应该简写成index,但是相关请求发送到后端时,服务器认为不存在index文件(只有index.php文件)。

宝塔的站点里开启伪静态。修改站点的伪静态,宝塔已经提前帮我们写好了规则,选择保存即可。

访问域名,发现是一个基于微盘交易系统、名为“华润”的杀猪盘。

修改管理员密码。前面了解到管理员密码的加密算法为:
md5(md5($data['password'].$result['utime'])),
生成算法为:明文密码+utime 进行一次MD5,再对该结果进行一次MD5。Navicat连接到数据库,按该算法修改管理员密码:将wp_htgly表的upwd字段值修改为4b96bf63a06b6ae35426838d32bee049,明文密码为123456。
访问后台/admin,使用用户名hr888进入后台。在用户管理页面中检索用户名“yw0218”,找到该用户的余额。

答案:139443.20。
65.曾经的用户名为"fang25"的用户,其提现银行卡号是多少?(格式:填写数字:111111111111111111) (5分)
翻遍数据库并没有操作日志表,忽然想到前面翻MySQL容器的相关文件夹时发现的general_log日志。
打开/var/lib/docker/volumes/3cef552498685a
24b5238ac338effa6169c8be39e71468e3dae184adbe59b2ab/_data/05821c99dcc4.log,找到用户名“fang25”的原用户名为“tepulang”。

后台查找用户“tepulang”的银行卡。在用户管理页面的银行卡列表中检索该用户名,找到其银行卡号。

答案:6217003370004267819。
66.曾经的用户名为"fang25"的用户,其于2021-10-22日充值金额为多少元?(格式:填写数字取整 如:123) (5分)
在用户管理页面的充值列表功能中检索用户名,找到其当日充值的金额。

答案:20000。
67.曾经的用户名为"fang25"的用户,其于2021-10-22日进行利益一笔交易,其成交价格为多少元?(格式:填写数字 保留小数点后三位 如:123.123) (5分)
后台一番查找后并没有找到“成交价格”,怀疑是跟股票相关的专业术语,问了主办方结果遭到出题人吐槽“不要老怀疑我们出错题了”,实际在复现过程中跟前几名选手交流心得时候发现确实有出错题的情况。末了,试探性地问了下,难道不是在后台管理系统里吗?看其痛苦的表情,推测在前台系统里。
修改前台账号密码,进入用户中心查找。继续在wp_userinfo表中修改upwd,根据前台用户加密算法可知,密文是由明文密码+utime,进行一次MD5的结果。
直接修改该表的upwd为:7f0c3851c35a2ad98a9b651fa3cec1f5,明文密码为123456。

登录前台并查看成交价格。使用账号tepulang/123456 登录失败,提示账号已被冻结,需要“解冻”。通过分析userinfo表发现ustatus字段是区分用户是否被冻结的关键,1为冻结、0为正常,修改为0即可。在用户中心中查找历史明细,找到交易金额。

答案:1983.379。
68.通过查看后台可以看出一共有多少产品?(答案格式填写数字 如:123) (5分)

答案:10。
69.一共有多少用户被禁用?(答案格式填写数字 如:123) (5分)
前面提到过ustatus字段,因此我们只需要统计多少用户这个字段为1。(需要注意的是,如果有测试的数据,适当排除)。

答案:14。
70.根据设置规则,单笔提现最大金额是多少?(格式:填写数字取整 如:123) (5分)

答案:5000000。
71.交易账号为”Ywei520”的用户在交易平台上委托金额是多少元?(格式:填写数字 保留小数点后一位 如:123.1) (5分)
在订单管理页面的交易流水中,检索该用户,下方会自动统计其委托总金额。

答案:460711.1。
来源:信息时代的犯罪侦查

文章来源: http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651043199&idx=1&sn=c9173a8dc72b8cede2d247a727014a70&chksm=80d0fa8eb7a773988313d7d1a20ff51e87c8f6c3b5badcaeb405a9b6109a373b7818bb38f033#rd
如有侵权请联系:admin#unsafe.sh