2024第四届全国网络空间取证竞赛

赛后完整复现

检材密码：

1

2024Fic@杭州Powered~by~HL!

手机部分

1.嫌疑人李某的手机型号是？

1

Xiaomi MI 4

2.嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

1

Xiaomi Pad 6s

3.嫌疑人李某手机开启热点设置的密码是?

1

5aada11bc1b5

4.嫌疑人李某的微信内部ID是？

1

wxid_wnigmud8aj6j12

5.嫌疑人李某发送给技术人员的网站源码下载地址是什么

1

http://www.honglian7001.com/down

6.受害者微信用户ID是？

1

wxid_u6umc696cms422

7.嫌疑人李某第一次连接WIFI的时间是？

1

03-14 16:55:57

8.分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

1

16:00-18:00

9.请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？

1

wxid_kolc5oaiap6z22

案件材料写了李某和赵某喜被抓获

10.请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？

1

192.168.110.110:8000/login

服务器集群题

1.esxi服务器的esxi版本为？

1

6.7.0

2.请分析ESXi服务器，该系统的安装日期为：

1

2024 年 3 月 12 日 星期二 02:04:15 UTC

创建一个新的仅主机vm网卡，网段为192.168.8.0，空密码登录

3.请分析ESXi服务器数据存储“datastore”的UUID是？

1

65efb8a8-ddd817f6-04ff-000c297bd0e6

由于重写Raid造成ESXi6.7存储名称丢失数据文件不能访问

存储丢失了，要恢复一下

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

[root@localhost:~] esxcfg-volume -l
Scanning for VMFS-6 host activity (4096 bytes/HB, 1024 HBs).
VMFS UUID/label: 65efb8a8-ddd817f6-04ff-000c297bd0e6/datastore1
Can mount: Yes
Can resignature: Yes
Extent name: t10.ATA_____VMware_Virtual_IDE_Hard_Drive___________00000000000000000001:3 range: 0 - 197119 (MB)


[root@localhost:~] esxcfg-volume -m 65efb8a8-ddd817f6-04ff-000c297bd0e6
Mounting volume 65efb8a8-ddd817f6-04ff-000c297bd0e6

4.ESXI服务器的原IP地址？

1

192.168.8.112

5.EXSI服务器中共创建了几个虚拟机？

1

4

6.网站服务器绑定的IP地址为？

1

192.168.8.89

fscan扫描，结合超级弱口令扫描，确定服务信息

192.168.8.89 是 web 服务器对应 www 这台虚拟机，密码为 qqqqqq 192.168.8.16 是聊天服务器，对应 rocketchat 这台虚拟机，密码未知 192.168.8.142 对应为 data 这台虚拟机，密码为 hl@7001

7.网站服务器的登录密码为？

1

qqqqqq

根据题目信息，在Windows镜像中找到一个Commonpwd.txt，如上题爆破，得到密码

若出现该问题：

VMware Workstation 在此主机上不支持嵌套虚拟化

管理员权限power shell执行：

1

bcdedit /set hypervisorlaunchtype off

8.网站服务器所使用的管理面板登陆入口地址对应的端口号为

1

14131

9.网站服务器的web目录是？

1

/webapp

在根目录的/webapp下发现网站信息

10.网站配置中Redis的连接超时时间为多少秒

1

10s

11.网站普通用户密码中使用的盐值为

1

!@#qaaxcfvghhjllj788+)_)((

12.网站管理员用户密码的加密算法名称是什么

1

bcrypt

13.网站超级管理员用户账号创建的时间是？

1

2022-05-09 14:44:41

exsi中data是数据库虚拟机，跟网站实行站库分离

登录data，发现docker中有mysql镜像，启动一下

宝塔处可以连接，随后用navicat连接到服务器的数据库

数据库账号密码在宝塔面板可查看

在sys_user表中可看到超级管理员账户创建的时间

14.重构进入网站之后，用户管理下的用户列表页面默认有多少页数据

1

877

根据Windows镜像中获取的运维笔记

对ruoyi的jar包进行修改

1

jar xf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

1

vim BOOT-INF/classes/application-druid.yml

改成data虚拟机的IP，password要改成宝塔中数据库对应用户的密码

更新jar包配置

1

jar uf ruoyi-admin.jar BOOT-INF/classes/application-druid.yml

随后

1
2
3
4
5
6
7

[root@localhost webapp]# chmod 777 restart.sh 
[root@localhost webapp]# ls
BOOT-INF  dist0906  index.html  luck-prize  qz          ruoyi-admin.jar      ruoyi-admin.jar0827   ruoyi-admin.jar0904  ruoyi-admin.jar 7.19  ruoyi-admin.jar8.15   ruoyi-admin.jarbak  test
dist      down      kill.sh     nohup.out   qz 7.11     ruoyi-admin.jar0818  ruoyi-admin.jar0828   ruoyi-admin.jar0907  ruoyi-admin.jar 7.26  ruoyi-admin.jar8.151  ruoyi-admin.pid
dist0826  group     logs        profile     restart.sh  ruoyi-admin.jar0826  ruoyi-admin.jar08281  ruoyi-admin.jar0915  ruoyi-admin.jar8.14   ruoyi-admin.jar8.16   start.sh
[root@localhost webapp]# ./restart.sh 
32099

还是不行，根据报错进一步修复

添加一条127.0.0.1 localhost映射到hosts中

1

echo '127.0.0.1 localhost' > /etc/hosts

sys_job表

修改后

启动：

1

java -jar ruoyi-admin.jar

1
2

chmod 777 restart.sh
./restart.sh start

替换一个密码进去

在线Bcrypt密码生成工具-Bejson.com

进入192.168.8.89网站页面

15.该网站的系统接口文档版本号为

1

3.8.2

16.该网站获取订单列表的接口

1

/api/shopOrder

17.受害人卢某的用户ID

1

10044888

根据手机聊天记录得知其账号

18.受害人卢某一共充值了多少钱

1

465222

19.网站设置的单次抽奖价格为多少元

1

10

20.网站显示的总余额数是

1

7354468.56

21.网站数据库的root密码

1

my-secret-pw"

docker inspect 9b

22.数据库服务器的操作系统版本是

1

7.9.2009

23.数据库服务器的Docker Server版本是

1

1.13.1

24.数据库服务器中数据库容器的完整ID是

1

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

25.数据库服务器中数据库容器使用的镜像ID

1

66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a

26.数据库服务器中数据库容器创建的北京时间

1

2024/3/13 20:15:23

27.数据库服务器中数据库容器的ip是

1

172.17.0.2

28.分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是

1

182.33.2.250

29.分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是

1

43.139.0.193

回查该id的登录id即可

30.数据库中记录的提现成功的金额总记是多少（不考虑手续费）

1

35821148.48

31.rocketchat服务器中，有几个真实用户？

1

3

esxi得到ip，然后默认端口是3000

rocketchat:http://192.168.8.130:3000/home

账号密码在解密的容器里

1
2

admin@admin.com
Zhao

32.rocketchat服务器中，聊天服务的端口号是？

1

3000

33.rocketchat服务器中，聊天服务的管理员的邮箱是？

1

admin@admin.com

34.rocketchat服务器中，聊天服务使用的数据库的版本号是？

1

5.0.24

35.rocketchat服务器中，最大的文件上传大小是？（以字节为单位）

1

104857600

36.rocketchat服务器中，管理员账号的创建时间为？

1

2024/3/14 8:19:54

重置密码https://cn.linux-console.net/?p=1538

在启动系统时按e进入编辑模式

在此处

修改为rw single init=/bin/bash

随后按CTRL+x，进入命令行模式

输入mount -a ，之后passwd root进行密码更新，然后重启即可登录

开启ssh允许root用户密码登录

1

vi /etc/ssh/sshd_config

去掉注释

开启允许root用户登录

保存，重启sshd systemctl restart sshd

docker inspect 92 | more

使用ssh隧道连接容器内的MongoDB

37.rocketchat服务器中，技术员提供的涉诈网站地址是？

1

http://172.16.80.47

38.综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少

1

35%

39.综合分析服务器，该团队“杀猪盘”收网的可能时间段为

1

2024/3/15 16:00:00-17:00:00

40.请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？

1

lao@su.com

41.分析openwrt镜像，该系统的主机名为

1

iStoreOS

访问http://192.168.8.131/，root/hl@7001

42.分析openwrt镜像，该系统的内核版本为

1

5.10.201

图见上题

43.分析openwrt镜像，该静态ip地址为

1

192.168.8.5

在Windows的访问记录里

44.分析openwrt镜像，所用网卡的名称为

1

br-lan

45.分析openwrt镜像，该系统中装的docker的版本号为、

1

20.10.22

46.分析openwrt镜像，nastools的配置文件路径为

1

/root/Configs/NasTools

47.分析openwrt镜像，使用的vpn代理软件为

1

PassWall2

48.分析openwrt镜像，vpn实际有多少个可用节点

1

54

49.分析openwrt镜像，节点socks的监听端口是多少

1

1070

50.分析openwrt镜像，vpn的订阅链接是

1

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a

windows镜像

1.分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？

1

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2.分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？

1

b25e2804b586394778c800d410ed7bcdc05a19c8

3.据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值?

1

E6EB3D28C53E903A71880961ABB553EF09089007

4.据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是?

1

qwerasdfzxcv

5.分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么

1

404052-011088-453090-291500-377751-349536-330429-257235

用veracrypt将2024.fic解开，密码如上题

6.分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是

1

146794496

7.分析技术员赵某的windows镜像，默认的浏览器是

1

Chrome

8.分析技术员赵某的windows镜像，私有聊天服务器的密码为

1

Zhao

9.分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？

1

https://www.585975.com/

10.分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

1

ROOP

11.分析技术员赵某的windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为

1

db.jpg

12.分析技术员赵某的windows镜像，ai换脸生成图片的参数中–similar-face-distance值为

1

0.85

13.分析技术员赵某的windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为

1

dst01.jpeg

14.分析技术员赵某的windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？

1

http://hi.pcmoe.net/buddha.html

15.分析技术员赵某的windows镜像，赵某架设聊天服务器的原始IP地址为？

1

192.168.8.17

16.分析技术员赵某的windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

1

2024-03-14 20:32:08

17.分析技术员赵某的windows镜像，openwrt的后台管理密码是

1

hl@7001

18.分析技术员赵某的windows镜像，嫌疑人可能使用什么云来进行文件存储？

1

易有云

19.分析技术员赵某的windows镜像，工资表密码是多少

1

aa123456

20.分析技术员赵某的windows镜像，张伟的工资是多少

1

28300