25平航杯复现
44:一,题目背景
爱而不得,进而由爱生恨。作为有黑客背景的他,激发出了强烈的占有欲,虽然不能在真实物理世界成为她的伴侣,但在虚拟世界里,他执着的要成为她的主宰,于是,我们的故事开始了……。手机,电脑,服务器,木马,AI,Iot设备……无一幸免的都成为他的作案工具或目标,但最终在诸位明察秋毫的取证达人面前,都无处遁形,作恶者终将被绳之以法。追悔莫及的他最后终于明白,其实真正的爱,不是占有,而是放手!!!!!
2025年4月,杭州滨江警方接到辖区内市民刘晓倩(简称:倩倩)报案称:其个人电子设备疑似遭人监控。经初步调查,警方发现倩倩的手机存在可疑后台活动,手机可能存在被木马控制情况;对倩倩计算机进行流量监控,捕获可疑流量包。遂启动电子数据取证程序。
警方通过对倩倩手机和恶意流量包的分析,锁定一名化名“起早王”的本地男子。经搜查其住所,警方查扣一台个人电脑和服务器。技术分析显示,该服务器中存有与倩倩设备内同源的特制远控木马,可实时窃取手机摄像头、手机通信记录等相关敏感文件。进一步对服务器溯源,发现“起早王”曾渗透其任职的科技公司购物网站,获得公司服务器权限,非法窃取商业数据并使用公司的服务器搭建Trojan服务并作为跳板机实施远控。
请你结合以上案例并根据相关检材,完成下面的勘验工作。
二,计算机
1.分析起早王的计算机检材,起早王的计算机插入过usb序列号是什么(格式:1)
答案:F25550031111202
2.分析起早王的计算机检材,起早王的便签里有几条待干(格式:1)
答案:5
3.分析起早王的计算机检材,起早王的计算机默认浏览器是什么(格式:Google)
答案:Microsoft Edge
4.分析起早王的计算机检材,起早王在浏览器里看过什么小说(格式:十日终焉)
答案:道诡异仙
5.分析起早王的计算机检材,起早王计算机最后一次正常关机时间(格式:2020/1/1 01:01:01)
答案:2025/04/10 11:15:29
6.分析起早王的计算机检材,起早王开始写日记的时间(格式:2020/1/1)
答案:2025/3/3
7.分析起早王的计算机检材,SillyTavern中账户起早王的创建时间是什么时候(格式:2020/1/1 01:01:01)
答案:2025/3/10 18:44:56
在做上面的题是翻到有一个叫wife的文件夹,然后联系这里的SillyTavern是一个本地ai,因此,进去看看
目录下有一个start.dat
稍微等待一下可以发现有访问的本地回环地址和端口,访问一下,
需要密码,看到之前的日志里面有写到密码
进去以后再用户设置里面的管理员面板里面有创建时间
8.分析起早王的计算机检材,SillyTavern中起早王用户下的聊天ai里有几个角色(格式:1)
答案:4
在角色面板里面看,有一个隐藏的test
9.分析起早王的计算机检材,SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式:xxxxx-xxxxxxx.xxxx)
答案:Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf
在聊天记录里面可以看见,这个小倩就是ai女友。
在电脑里面所有小倩,找到一个日志文件,里面有类似文件名的东西
搜索一下是个什么
确认 ,就是这个了
10.分析起早王的计算机检材,电脑中ai换脸界面的监听端口(格式:80)
答案:7860
聊天记录里面有一个密码,是用来解e盘的bitlocker的
解开以后里面有一个换脸软件,就是题目说的那个,然后启动exe
启动界面就有7860
11.分析起早王的计算机检材,电脑中图片文件有几个被换过脸(格式:1)
答案:3
打开网站,中间有输出的文件夹,里面有三张图片
12.分析起早王的计算机检材,最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式:xxxxxxxxxxx.xxxx)
答案:inswapper_128_fp16.onnx
左侧就有换脸模型,但是不确定是哪个
回到之前输出目录的上级目录,找到最先生成的图片的日志文件,确认模型
13.分析起早王的计算机检材,neo4j中数据存放的数据库的名称是什么(格式:abd.ef)
答案:graph.db
只有一个,点开看看(everything不可以搜E盘里面的内容)
在E盘里面找到相关的记录
有的readme.txt ,里面有启动的方法
需要账号密码
在E盘的我的学习笔记里面有
登录进去以后查看数据库的信息就有
14.分析起早王的计算机检材,neo4j数据库中总共存放了多少个节点(格式:1)
答案:17088
用语句查询是17088
MATCH (n) RETURN count(n) AS total_nodes;
但是看sysinfo里面是17091(有三个应该是删除了但是没清理的,系统不会立即清理干净)
15.分析起早王的计算机检材,neo4j数据库内白杰的手机号码是什么(格式:12345678901)
答案:13215346813
MATCH (n) WHERE n.name = "白杰" RETURN n;
16.分析起早王的计算机检材,分析neo4j数据库内数据,统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式:1)
答案:2
MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE l.time > datetime('2025-04-6')AND l.time < datetime('2025-04-14')AND ip.city <> u.reg_cityAND NOT (u)-[:TRUSTS]->(d)
WITH u,collect(DISTINCT ip.city) AS 异常登录城市列表,collect(DISTINCT d.device_id) AS 未授权设备列表,count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN u.user_id AS 用户ID,u.real_name AS 姓名,异常登录城市列表,未授权设备列表,异常登录次数
ORDER BY 异常登录次数 DESC;
17.分析起早王的计算机检材,起早王的虚拟货币钱包的助记词的第8个是什么(格式:abandon)
答案:draft
还是在之前的日记中,里面提到了这个助记词
去输入法里面看看 ,右键输入法,用户自定义短语
18.分析起早王的计算机检材,起早王的虚拟货币钱包是什么(格式:0x11111111)
答案:0xd8786a1345cA969C792d9328f8594981066482e9
访问一下,上面需要输入12个助记词,就是输入法里面保存的那些 ,更新密码
登录进来,有了
19.分析起早王的计算机检材,起早王请高手为倩倩发行了虚拟货币,请问倩倩币的最大供应量是多少(格式:100qianqian)
答案:1000000
要联网然后去找qianqian用户
然后公网访问后面做个
20.分析起早王的计算机检材,起早王总共购买过多少倩倩币(格式:100qianqian)
答案:512qianqian
21.分析起早王的计算机检材,起早王购买倩倩币的交易时间是(单位:UTC)(格式:2020/1/1 01:01:01)
答案:2025/3/24 02:08:36
还是在公网看
三,AI
22.分析crack文件,获得flag1(格式:flag1{123456})
答案:
23.分析crack文件,获得flag2(格式:flag2{123456})
答案:
24.分析crack文件,获得flag3(格式:flag3{123456})
答案:
25.分析crack文件,获得flag4(格式:flag4{123456})
答案:
四,手机部分
26.该检材的备份提取时间(UTC)(格式:2020/1/1 01:01:01)
答案:2025-04-15 18:11:18
检材的名字就是
27.分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
答案:
反编译看一下源码,这里有,下面那个是fakeflag,假的
28.分析手机内Puzzle_Game拼图程序,请问最终拼成功的图片是哪所大学(格式:浙江大学)
答案: 浙江中医药大学
解压apk包,在里面找到图片,搜一下
浙江中医药大学公众号里面有
29.分析倩倩的手机检材,木马app是怎么被安装的(网址)(格式:http://127.0.0.1:1234/)
答案:
30.分析倩倩的手机检材,检材内的木马app的hash是什么(格式:大写md5)
31.分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式:Baidu)
32.分析倩倩的手机检材,检材内的木马app的使用什么加固(格式:腾讯乐固)
33.分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式:127.0.0.1:1111)
34.该木马app控制手机摄像头拍了几张照片(格式:1)
35.木马APP被使用的摄像头为(格式:Camera)
36.分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式:JobStore)
37.分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里(格式:北京市西城区)
38.此手机检材的IMEI号是多少(格式:1234567890)
五,exe逆向
39.分析GIFT.exe,该程序的md5是什么(格式:大写md5)
40.GIFT.exe的使用的编程语言是什么(格式:C)
41.解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)
42.分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)
43.分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)
44分析GIFT.exe,为对哪些后缀的文件进行加密: (多选题)
A.doc
B.xlsx
C.jpg
D.png E.ppt”
45.分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)
46.分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx})
47.分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
48.分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx})
六,服务器
直接用火眼仿真起来是可以的,默认重置密码是123456,账号是root
之后就是配网,查看信息上面默认22端口
连上ssh
在火眼里面看到有宝塔,看看里面的信息
密码太复杂了,改一下
上去看看
看看数据库
连上去看看,什么也没有
在文件系统里面有
还原一下
改一下配置 ,直接放ip在上面就可以了
更改数据库路配置
然后访问80端口就有啦
49.该电脑最早的开机时间是什么(格式:2025/1/1 01:01:01)
答案:2022/02/23 12:23:49
last 命令直接看
50.服务器操作系统内核版本(格式:1.1.1-123)
答案:3.10.0-1160.119.1.el7.x86_64
命令直接看
uname -a
51.除系统用户外,总共有多少个用户(格式:1)
答案:3
cat /etc/passwd注意问的是除系统用户外
或者在火眼里面看也能看
52.分析起早王的服务器检材,Trojan服务器混淆流量所使用的域名是什么(格式:xxx.xxx)
答案:wyzshop1.com
在root目录下的Trojan文件夹有配置文件,里面就可以看到
53.分析起早王的服务器检材,Trojan服务运行的模式为:
A、foward
B、nat
C、server
D、client
答案:B
跟上面那个配置文件对比,最接近的就是nat(主要就是对比端口)
54.关于 Trojan服务器配置文件中配置的remote_addr 和 remote_port 的作用,正确的是:
A. 代理流量转发到外部互联网服务器
B. 将流量转发到本地的 HTTP 服务(如Nginx)
C. 用于数据库连接
D. 加密流量解密后的目标地址
答案:A
55.分析网站后台登录密码的加密逻辑,给出密码sbwyz1加密后存在数据库中的值(格式:1a2b3c4d)
答案:f8537858eb0eabada34e7021d19974ea
看主页面的代码
跟进一下
加密逻辑就是将 AUTH_CODE 的值和密码拼接起来,然后 md5,再去找一下 AUTH_CODE 的值。
该值是TPSHOP
那么加密的密码就是 md5("TPSHOP"+password)。
f8537858eb0eabada34e7021d19974ea
56.网站后台显示的服务器GD版本是多少(格式:1.1.1 abc)
答案:
先登录一下后台(http://172.16.17.71/index.php/Admin/Admin/login.html)
去数据库里面改一下,伪造一个密码
有点问题
57.网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式:1)
答案:1292
SELECT count(1) FROM `tp_order` where FROM_UNIXTIME(add_time) >= '2016-04-01 00:00:00' and FROM_UNIXTIME(add_time) < '2025-04-01 00:00:00'
58.在网站购物满多少免运费(格式:1)
答案:100000
后台有
59.分析网站日志,成功在网站后台上传木马的攻击者IP是多少(格式:1.1.1.1)
答案:222.2.2.2
看网站的日志文件,过滤木马的名字
60.攻击者插入的一句话木马文件的sha256值是多少(格式:大写sha256)
答案:870bf66b4314a5567bd92142353189643b07963201076c5fc98150ef34cbc7cf
在网站根目录下,上面有一个peiqi.php,打开访问就是
计算
61.攻击者使用工具对内网进行扫描后,rdp扫描结果中的账号密码是什么(格式:abc:def)
答案:administrator:Aa123456@
这个东西应该就是扫描的工具,后面·跟着一个result.txt的文件
查看
62.对于每个用户,计算其注册时间(用户表中的注册时间戳)到首次下单时间(订单表中最早时间戳)的间隔,找出间隔最短的用户id。(格式:1)
答案:385
sql语句如下
SELECT用户ID,
IF(注册时间 IS NULL,9999999,最早下单时间-注册时间) 间隔
FROM(SELECTtpo.user_id 用户ID,min( tpo.add_time ) 最早下单时间,tpu.reg_time 注册时间 FROMtp_order tpoLEFT JOIN tp_users tpu ON tpu.user_id = tpo.user_id GROUP BYtpo.user_id ) a
ORDER BY间隔 LIMIT 1
63.统计每月订单数量,找出订单最多的月份(XXXX年XX月)
答案:2016年12月
64.找出连续三天内下单的用户并统计总共有多少个(格式:1)
答案:1
SELECT DISTINCT user_id
FROM (SELECT user_id,date1,@rank := IF(@user = user_id AND DATEDIFF(date1, @prev_date) = 1, @rank + 1, IF(@user := user_id, 1, 1)) AS rank,@prev_date := date1FROM (SELECT DISTINCT user_id, date1FROM (select user_id,left(FROM_UNIXTIME(add_time),10) date1 from tp_order group by user_id,date1 order by user_id) aORDER BY user_id, date1) t,(SELECT @user := 0, @prev_date := '1900-01-01', @rank := 0) r
) ranked
WHERE rank >= 3;
七,流量分析
65.请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)
答案:COM3-3.6
66.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)
答案:Flipper 123all
两种做法
way1:直接搜索device
第二种方法,官方解法
导出分析结果
提取设备名的部分,btcommon.eir_ad.entry.device_name
import re
from collections import defaultdictdef extract_device_stats(file_path):# 使用 defaultdict 自动初始化计数器device_counter = defaultdict(int)# 优化后的正则表达式(预编译提升性能)pattern = re.compile(r'"btcommon\.eir_ad\.entry\.device_name":\s*"([^"]+)"')with open(file_path, 'r', encoding='utf-8') as file:for line in file:# 提取每行所有匹配项matches = pattern.findall(line)for device in matches:device_counter[device] += 1 # 计数递增# 按使用次数降序排序,次数相同按名称升序sorted_devices = sorted(device_counter.items(),key=lambda x: (-x[1], x[0]))# 格式化输出print(f"{'设备名称':<30} | {'出现次数':<10}")print("-" * 45)for name, count in sorted_devices:print(f"{name:<30} | {count:<10}")# 使用示例
file_path = r"C:\Users\Desktop\2.json"
extract_device_stats(file_path)
这里的设备名里面侦查人员自己使用的蓝牙设备有QC35 II耳机和RAPOO键盘可以排除掉无关选项
最终就是这三个设备名称里面的一个
QQ_WF_SP8OON
Flipper 123all
Cracked
搜索一下,这个就是篡改的
看看它在哪里修改的
后面改成啥了(搜另外两个设备名对比设备地址会快一点),找到了
Flipper在伪装他人蓝牙设备时会先修改名字再修改mac地址,可以发现
QQ_WF_SP8OON和Flipper 123all的mac地址是一样的,所以是攻击者用Flipper 123all修改了蓝牙耳机的名字然后修改mac地址,QQ_WF_SP8OON是伪装成倩倩耳机的名字。
67.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
答案:md5(80:E1:26:33:32:31_52:00:52:10:13:14)=97d79a5f219e6231f7456d307c8cac68
上一题知道了修改的名字是QQ_WF_SP8OON ,那根据修改的规则,后面应该修改mac地址了,爆搜一下
68.流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)
答案:2025/4/9 02:31:26.710
找到第一次QQ_WF_SP8OON出现的位置就可以了,但是这里要注意要的不是本地的时间(即北京时区)。而是世界时间(北京时间减8小时)
69.起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)
答案:0x0701434839313430
前面那里的cracked是破解的意思,搜一下看看
manufacturer是制造商的意思,下面的data就是
70.起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )
答案:wang_qi_zhao
这里换的是usb的流量包,使用pcap2text一把梭
Raw output:
'M}8[F21][F20][RIGHTARROW][F6]{@M{M#{}###MMbao bao,zui jin you ge nan sheng xiang zhui wo,ta jiao wang qi zhao\x08\x08\x08\x08qi zao wang ta shuo ta ai wo,dan shi cong bu bang wo na kuai di,hao fan arcmd\n[F21][F21][F21]L}B[LEFTARROW]D[F21]FGHI[F21]KLNO[F21]M[LEFTARROW]LJ[LEFTARROW][LEFTARROW]I}[F7]H}I#J}K#LMKMHIGMFMEDMBCAABB[RIGHTARROW]{@{[F6]{[RIGHTARROW][F6]{@7@{@{@{[F6][RIGHTARROW]7[RIGHTARROW]7[RIGHTARROW]{@LLLLLLLM@M{}{#[F6]{M@MMMMM}[LEFTARROW]A[F21]BCEDEMDE}[LEFTARROW]E8F[F21]EG8I[LEFTARROW]F#CBA[F21]8[LEFTARROW]}#MACMCF#}HG#F}E#DC}#B}}#MMMM{[F6][F6][RIGHTARROW]7[RIGHTARROW][F6]{L@LABEEGFDCA whoami\nnet user\nnet user qianqianwoaini4 abcdefghijk[CAPSLOCK]i[CAPSLOCK]mn /add\nnet localgroup administrators qianqianwoaini4 /add\nnet user qianqianwoaini4 /del7{[F20][F20][F20]7[F20]7[F20]L@[F6][F6][RIGHTARROW][F6][RIGHTARROW]{{@LML@@L@LLLLLLLC[LEFTARROW]GIKLMLJHHFECB[F21]8[F7]}[F6][RIGHTARROW]777[RIGHTARROW][F6][RIGHTARROW][F6][F6][F6]{@{@{{{[F6]{[F6][F6]{[F6]{@{@LMLM\nnet localgroup administrators qianqianwoaini4 /add\nrundll32 url.dll,[CAPSLOCK]f[CAPSLOCK]ile[CAPSLOCK]p[CAPSLOCK]rotocol[CAPSLOCK]h[CAPSLOCK]andler https;//fakeupdate.net/win10ue/bsod.htmlGMJK#GECMA#MMAM\nCE[F21]G8H[LEFTARROW]KM[F7]N[F7][F7]L[F7]}J[F7]H}F[LEFTARROW]D8B[F20]7[F20][F20][F20][F20]7[F20][F7][RIGHTARROW][F7][RIGHTARROW][LEFTARROW]7LLLLLLLL'
Text output:
M}8[F21][F20][RIGHTARROW][F6]{@M{M#{}###MMbao bao,zui jin you ge nan sheng xiang zhui wo,ta jiao wang qi qi zao wang ta shuo ta ai wo,dan shi cong bu bang wo na kuai di,hao fan arcmd
[F21][F21][F21]L}B[LEFTARROW]D[F21]FGHI[F21]KLNO[F21]M[LEFTARROW]LJ[LEFTARROW][LEFTARROW]I}[F7]H}I#J}K#LMKMHIGMFMEDMBCAABB[RIGHTARROW]{@{[F6]{[RIGHTARROW][F6]{@7@{@{@{[F6][RIGHTARROW]7[RIGHTARROW]7[RIGHTARROW]{@LLLLLLLM@M{}{#[F6]{M@MMMMM}[LEFTARROW]A[F21]BCEDEMDE}[LEFTARROW]E8F[F21]EG8I[LEFTARROW]F#CBA[F21]8[LEFTARROW]}#MACMCF#}HG#F}E#DC}#B}}#MMMM{[F6][F6][RIGHTARROW]7[RIGHTARROW][F6]{L@LABEEGFDCA whoami
net user
net user qianqianwoaini4 abcdefghijk[CAPSLOCK]i[CAPSLOCK]mn /add
net localgroup administrators qianqianwoaini4 /add
net user qianqianwoaini4 /del7{[F20][F20][F20]7[F20]7[F20]L@[F6][F6][RIGHTARROW][F6][RIGHTARROW]{{@LML@@L@LLLLLLLC[LEFTARROW]GIKLMLJHHFECB[F21]8[F7]}[F6][RIGHTARROW]777[RIGHTARROW][F6][RIGHTARROW][F6][F6][F6]{@{@{{{[F6]{[F6][F6]{[F6]{@{@LMLM
net localgroup administrators qianqianwoaini4 /add
rundll32 url.dll,[CAPSLOCK]f[CAPSLOCK]ile[CAPSLOCK]p[CAPSLOCK]rotocol[CAPSLOCK]h[CAPSLOCK]andler https;//fakeupdate.net/win10ue/bsod.htmlGMJK#GECMA#MMAM
CE[F21]G8H[LEFTARROW]KM[F7]N[F7][F7]L[F7]}J[F7]H}F[LEFTARROW]D8B[F20]7[F20][F20][F20][F20]7[F20][F7][RIGHTARROW][F7][RIGHTARROW][LEFTARROW]7LLLLLLLL
71.起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )
答案:7
在上面找到的输出里面能找到后面的所有答案,只是需要整理一下
72.倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )
答案:md5(qianqianwoaini$_abcdefghijkImn)=53af9cd5e53e237020bea0932a1cbdaa
net user qianqianwoaini$ abcdefghijkImn /add
73.起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命 令),例如md5(echo “qianqianwoaini” > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )
答案:md5(rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html)=0566c1d6dd49db699d422db31fd1be8f
rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html