2023年第一届龙信杯writeup

之前刚好打完24龙信杯，龙信手机取证的权限还没过期，可以利用

同时参考了小伙伴一些思路，有其他更好的方法可以提出

图片比较多，内容较长，截图应该比较全可以根据里面的路径复现

wp仅供参考，有问题联系讨论 

容器密码：RLEQc2Xe65Q5GiCuRNMFrw==

移动终端取证

1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

3.此检材共连接过______个WiFi。（标准格式：1）

4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

跳转导数据库，查看是与否阅读

筛选0，一共17条

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

6.请分析涉案海报的推广ID是________。（标准格式：123456）

114092

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1

8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

Gq20221101

9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

com.chuci.voice

10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

号商：卖号的

 11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

苏州

Exif查看不了，属性现在查看不了，之前可以看

12.嫌疑人共购买_______个QQ号。（标准格式：1）

8

APK取证

1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）

lx.tiantian.com

见上图

3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

12

导出放入jadx分析

5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

android.permission.READ_SMS

7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

app.goyasha.com

9.分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

Lxtiantiancom

见上图password

11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

H5D9D11EA

APP打包平台调证值就是 DCLOUD_AD_ID

12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

192.168.5.80

13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

ade4b1f8a9e6b666

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

4008522366

计算机中提取出重要信息.txt，使用apk中的aes的key与iv进行解密

介质取证

1..对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

不同软件取证结果不一样，还是参考龙信的结果吧

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

380633-655996-366696-540353-708532-680647-516516-119647解密分区

Mimi1234

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

已删除的压缩包内有工资条表格

使用密码解开

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

 Longxin@2023

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

两条路径都导出，放入010分析，2.png文件尾为第十题银行卡号所以是它

9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

205673

用上一题海报解开加密区容器

然后就可以看到回收站内的表格文件

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

虚拟币分析

1.分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

 ETH

111.npbk是夜神模拟器备份，恢复备份

2.分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

4.49

见上图

3.根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

根据案情先由卖币方转0.5个ETH到买币方钱包，模拟器中的钱包地址是卖币方的，命名为中转地址是一个挖坑的点，0.5ETH是直接转到买币方地址，其他两笔是转给中间人的

4.根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

150.5

见上图

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（A）

A. raw sausage art hub inspire dizzy funny exile local middle shed primary

B. raw sausage art hub inspire dizzy funny middle shed primary

C. raw sausage art funny exile local middle shed primary

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（B ）

A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA

C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

添加钱包，助记词，输入即可

流量分析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

    A.DDoS攻击

    B.DoS攻击

    C.SQL注入

D.文档攻击

发现只有一台攻击机，故为Dos

2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

116.211.168.203

3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

120.210.129.29

追踪tcp流

10.5.0.19是攻击机，120.210.129.29是文件下发的服务器，下发了java.log文件给攻击机

4.分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

 Apache Struts 2

先过滤

追踪

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

下面应该是文件，导出java.log放到云沙箱分析

6.分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

 passwd

• Authorization：HTTP请求头中的一个字段，用于提供身份验证凭据。
• Basic：是一种基本认证的方式。
• YWRtaW46cGFzc3dk：是进行Base64编码后的用户名和密码组合。

第一个流没有成功认证，之后的几个认证成功

Bs64解码

8.分析“数据包2.cap”，其下载的文件大小有________字节。（标准格式：123）

211625

导出mail.png

服务器取证1

1.服务器系统的版本号是_______。(格式:1.1.1111)

 7.9.2009

2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50

3.宝塔面板的“超时”时间是_______分钟。(格式:50)

 120

关掉限制10，11，12，13，23，24

执行下面的命令

cp -r /www/backup/panel/ /root/ && cp -r /www/server/panel/data/ /root && rm -f /www/server/panel/data/close.pl &&bt default && bt 23 && bt 11 && bt 12 && bt 13 && bt 24 && bt 5 && bt default

开连

Sultfean 123456之后又有手机号绑定，绕过

---

这里试了很多绕过手机号的方法，差点红了

可行的方法：（直接找个7.4版本的压缩包解压，前面两步跳过）

（1）下载curl包

yum install curl

（2）下载离线包

curl -L https://github.com/weiwang3056/baota_release/blob/main/LinuxPanel/LinuxPanel-7.4.0.zip\?raw\=true > LinuxPanel-7.4.0.zip

这个地址不一定有用了，挂的seal蓝给的，我是直接压缩包扔进去用的

（3）解压

unzip LinuxPanel-*

（4）切换到降级包目录

cd panel

（5）执行脚本

bash update.sh

（6）删除降级包

cd .. && rm -f LinuxPanel-*.zip && rm -rf panel

然后就可以开宝塔了

他不会显示内网面板入口，但是把url外网入口的ip改成内网ip就行了

然后重做一遍上之前的操作

如有提示，输入大写A即可，全部替换

---

绕过参考了案例剖析：解决宝塔强制手机绑定问题的取证技巧与方法

结果宝塔烂了qwq

---

查看宝塔地址的方法

4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39

进入www目录

find ./ -name "*.tar.gz" 2>/dev/null

sha256sum ./www/backup/site/wwwroot.tar.gz

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

 7f5918fe56f4a01d8b206f6a8aee40f2

 找到文件，导出来找

---

网站重构

连数据库

修改

my.cnf里面添加skip-grant-tables

添加域名

再重启一下服务直接跳过密码

service mysql restart

后续看日志找后台，发现是/admin

会弹出窗口

---

绕密

方法一：

源码里搜素关键词密码错误

改成等于

修改判断逻辑实现任意密码登录

方法二：

按照密码生成逻辑去构造密码再去数据库里替换实现登录

使用SSH连接

（一般在linux上的mysql都用ssh

常规的sql sever一般可以直接连windows系统上的一般也是）

应该是md5双层加密，直接替换

6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式:1234）

67277

7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

182+57+267=506

三个网站

分别对sanye123，sql_0731_wiiudot，sb_wiiudot_cn做数据去重

8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

26

这个网站改了没用直接看数据库

Sanye123

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

443074

10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

lSfXN770ZPjte9m

服务器取证2

这个虚拟机发现不可以连ssh，看看配置文件，原来是还有一张网卡，ip不在同一网段，应该用ens33的ip去连接

1.请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

/home/wwwroot

切换到root用户（su -）

跟前一个一样再做一遍

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

char(128)

3.请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

jinrong.goyasha.com

打开显示，就可以看到网站等菜单了

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是__d2174d958131ebd43bf900e616a752e1_____。（标准格式：abcdefghijklmnopqrstuvwsyz）

 数据库是sjp

加密逻辑是md5（用户密码+utime），utime是在第一次添加该用户的时候的时间戳写死的

先ssh输入root和服务器的密码，需要连通服务器再连接数据库，因为还有一张网卡，ip不在同一网段，所以不能直接ssh连通

常规选项卡里面密码就是数据库的root密码了

Uid2909，utime是1635837124

组合密码得出md5即为加密后的密码值

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）睿文化

直接找源代码分析找logo图片位置

6.请分析“乐享金融”一共添加了_______个非外汇产品。（标准格式：5）

 2

Info表里面cid应该就是class里面pcid

但是要注意，未被删除isdelete=0，所以应该是4-2=2

7.请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

 85CF33F97B46A88C7386286D0270CB3E

泰达币是usdt

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

101000087

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

Kongxin

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_______。（标准格式：1888.668）

 2896.924

两个时间换算成时间戳

1646131441和1646131921

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。（标准格式：2022-1-11.1:22:43）

2021-12-09 09:52:23   (UTC+8)

原来的好像找不到

导入备份文件

Finalshell一直加载不出来，直接在宝塔里面导出来，直接右键下载

时间戳换算一下

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（A）电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

看访问日志，目录在/www/server/panel/logs/request目录下

手翻

13.请分析该服务器镜像最高权限“root”账户的密码是_______。（标准格式：a123456）

找shadow文件，注意找原来的别在现在的虚拟机里找，有可能你的密码在仿真的时候已经被改变了

$1$kmYU/aog$fKIF3ugewwCTuPWOSksjD/

Hashcat直接破解

还有应该方法用john...再议