2024FIC决赛
容器密码:2024Fic~Competition~Finals@杭州&Powered~By~HL!
案件背景:
2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。
经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。
经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。
在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。
接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。
检材情况:
1、卢某个人计算机---PersonalPC.E01, MD5:6ee6056aaf226c019426c468c0d3bc7b
2、PVE服务器调证镜像1---sys.E01, MD5:31eaaa81bac66fefaa2ea1782c5c047b
3、PVE服务器调证镜像2---data.E01, MD5:9c8086f0763e46b28ff4e5924fe3245d
计算机介质部分:卢某个人计算机PersonalPC.E01
1 请分析卢某的计算机,并计算原始检材的SHA256值。
484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634
2 嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?
fded9342533d92fa46fc4aabd113765a7a352ceb
备忘录里的还原一下certutil -hashfile ./Desktop/备忘录.txt SHA1
3 嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】
MobaXterm
ToDesk里面没有连接记录
MobaXterm有ssh连接记录
4 嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】
122
MobaXterm的密码在备忘录里mobapass00
端口122
5 在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】
5
时间线筛选一下,或者在最近访问中也能看到,连接5台虚拟机
6 软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】
15
QtScrcpy在文档中,userdata.ini存储相关数据
记载了连接的ip和端口号
15个
7 嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】
02139BF305630CEFFADD6926C202BAE655C79D25A64F5C7A1C62BC4C91C9CCF1
8 嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】
P1ssw0rd
用010打开,xls的文件头为 D0CF11E0,搜索文件头
从文件头开始往下复制,到最后,新建十六进制文件,粘贴进去,保存为xls文件,打开需要密码
根据备忘录的提示,八位大小写字母加数字 最后两位 -> ******rd
用passwarekit爆破,密码是P1ssw0rd
9 嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】
P1ssw1rd
密码是P1ssw0rd只修改了数字部分,爆破一下
10 嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】
stable-diffusion-webui
文档中的生成美女是Stable Diffusion,是AI绘画
在火眼中搜一下,可知文件位置C:\Users\Luck\AppData\Local\stable-diffusion-webui
11 嫌疑人使用的AI软件监听端口为?【答案格式:1】
7860
12 AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】
41
output文件夹下有两个文件夹
第一个是图片集合
第二个是
13 嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?
22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C
生成燃烧的车的模型是v1-5-pruned-emaonly.safetensors [6ce0161689]
14嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?
A.china
B.high way
C.fast speed
D.car on fire
E.no people
15 嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】
3719279995
PVE虚拟化平台部分
仿真先添加系统盘sys,再添加data,仿真时记得开启虚拟化功能,不然无法打开内部虚拟机
1 PVE虚拟化平台版本号为?【答案格式:1.1.1】
8.1.4
可以看到web管理地址是192.168.71.133:8006
修改网卡ip,NAT模式
访问192.168.71.133:8006,即可看到
在这里可以调整语言
2 PVE虚拟化平台的web管理地址为?【答案格式:192.168.1.1:22】
192.168.71.133:8006
见上题图
3 在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】
7
调整为文件夹视图
4 PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】
192.168.100.0/24
5 PVE虚拟化平台中”120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】
e9990cd6-6e60-476c-bd37-1a524422a9a8
6 在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】
4
点击数据中心-用户-权限
7 在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】
lxc-attach 110
进入对应容器
8请分析嫌疑人最近一次销毁虚拟机的时间为
A.2024-03-13 10:34:20
B.2024-03-22 18:06:15
C.2024-03-22 18:15:17
D.2024-03-22 18:20:55
2024-03-13 10:34:20销毁
2024-03-22 18:06:15销毁
2024-03-22 18:15:17销毁
2024-03-22 18:20:55不存在
9 PVE虚拟化平台的openEuler系统镜像下载的开始时间为?
A.2024-03-12 12:03:12
B.2024-03-12 12:04:19
C.2024-03-12 12:10:09
D.2024-03-12 12:11:02
10根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为
A.2024-03-12 11:02:32
B.2024-03-12 11:24:11
C.2024-03-13 10:34:20
D.2024-03-13 9:43:23
软路由部分(100Router)
1 软路由root用户的密码是?【答题格式:abc123】
OP2024fic
软路由是100
MobaXterm密码如果取不出来,就重新分析,输入MobaXterm的登录密码,就能跑出来了
2 软路由管理面板所用http协议监听的端口为?【答案格式:7001】
8080
http的端口有8080和443
试一下,是8080,能成功访问
3 软路由的系统版本号为?【答案格式:1.1.1】
23.05.2
4 软路由的WAN口所配置的网关为?【答案格式:1.1.1.1】
192.168.71.2
root,OP2024fic,成功进入
5 软路由防火墙端口转发规则有多少条记录【答案格式:1】
17
6 OpenClash控制面板登录密钥为?【答案格式:Abc123】
MCoYZFwg
7 OpenClash的局域网代理密码(SOCKS5/HTTP认证信息)为?【答题格式:Abc123】
WAMqotI9
在覆写设置中
8 OpenClash的订阅地址为?【答案格式:https://www.forensix.cn】
https://www.amrth.cloud/s/FnT83dutLWlF5via?clash=2
9 代理节点"香港501 中继 动态"的服务端口为?【答案格式:123】
42001
在配置管理中
10 OpenWrt的包管理软件的系统镜像源配置文件的绝对路径是?【答案格式:/root/hl/abc.conf】
/etc/opkg/distfeeds.conf
包软件是opkg
opkg.conf 用于全局配置,customfeeds.conf 用于自定义仓库。就剩/etc/opkg/distfeeds.conf,应该就是系统镜像源配置文件,搜了一下确实是他
云手机部分(101node1、102node2)
1 PVE虚拟化平台的虚拟机"101(node1)"的droid用户登录密码为?【答案格式:Abc123】
droid2024fic
猜测是这个
能成功登录
IP是192.168.100.101
2 PVE虚拟化平台的虚拟机"101(node1)"中Docker容器的镜像ID的前六位为?【答案格式:abc123】
d1d4bf
docker ps显示权限不够,就sudo su,输入密码droid2024fic,即可
3 在PVE虚拟化平台的node1虚拟机中,容器手机的数量为?【答案格式:1】
5
4在PVE虚拟化平台的node1虚拟机中,若要启动手机容器,有几条前置命令(docker命令不纳入计算)? 【答案格式:1】
2
在备注里
modprobe binder_linux devices="binder,hwbinder,vndbinder"
modprobe ashmem_linux
5在PVE虚拟化平台的"101(node1)"虚拟机中启动“priceless_knuth”手机容器后,该安卓手机的蓝牙MAC地址是多少?【答案格式:12:34:ab:cd:a1:b2】
3c:5a:b4:01:02:03
按照备注命令启动
modprobe binder_linux devices="binder,hwbinder,vndbinder"
modprobe ashmem_linux
docker start priceless_knuth
启动后,查看连接端口,priceless_knuth手机连接端口是1111
根据端口转发规则,转发到192.168.71.100:11111,转发到软路由服务器中了
使用Windows计算机中的QtScrcpy连接192.168.71.100:11111,输入后点击无线连接,即可成功连接
点击启动服务,即可启动手机
手机从底部往上拉,可看到所有应用,点击Setting-About Phone,即可看到蓝牙MAC地址
6警方现场勘验过程中,曾使用雷电手机取证软件通过嫌疑人软路由对云手机进行了远程取证,请问以下哪个端口可以明确是取证时使用过的端口?【多选题】
A.11111
B.12222
C.13333
D.23333
E.24444
F.35555
先找雷电手机取证软件,对pve虚拟化平台中的虚拟机进行逐一取证
在node2中
根据端口转发可知
7 在PVE虚拟化平台的node2中名为loving_shtern的手机映射至软路由中,所占用的端口号为?【答案格式:123】
25555
端口号是5555,映射是25555
8在PVE虚拟化平台的node2中loving_shtern手机容器中安装的名为“抖音”安装包的MD5值为?【答案格式:abc123】
0CE8F95BA0401769A9F4860749CC8206
阿巴阿巴我都不知道哪里出了问题,网上的解决办法没用
选择直接在node2中查apk,抖音包名是com.ss.android.ugc.aweme,出现三个文件夹
三个文件夹中的apk的md5值相同
9 根据集群中手机内容分析,传销人员在评论区引流使用的qq号为?【答案格式:123】
3791621185
只有101里面有qq
第一次发现还可以重复选择不同系统,进行解析,对101选择Android解析
10 通过云手机聊天记录可以得知,涉案传销网站域名为?【答案格式:www.forensix.cn】
shop.jshcloud.cn
传销网站部分(110nginx、111javaserver、112sqlserver)
1 涉案服务器集群中,sql数据库服务器112(sqlserver)对应的虚拟磁盘的SHA256值为?
0A7D9F77A5903BECE9290F364B410A233A8415DABB35BC1EF585D837681D44E3
跑嵌套证据识别没跑出来,看网上的wp2024FIC第四届全国网络空间取证竞赛决赛参考wp (qq.com)说是因为开始虚拟化,对虚拟机进行了读写操作,被修改了
重新仿真创建一个,不开启虚拟机操作,连接xftp
证据嵌套识别出的镜像,跳转源文件,可知存储路径是/mnt/pve/local2/images,此存储路径中也有102,但不能被识别,而且算出来的哈希也不对
将112下载到本地,计算哈希,这个用火眼能识别
2涉案服务器集群中,数据库服务器的root用户密码加密方式为?
A.SM3
B.SHA256
C.MD5
D.Bcrypt
3 涉案服务器集群中,数据库服务器的内核版本?【答案格式:1.1.1】
5.10.0
4涉案服务器集群中,Java服务器web服务监听的端口为?【多选题】
A.9030
B.9031
C.9032
D.9033
javaserver服务器是111,历史命令中可以看到,启动的是web和api两个jar包
java -jar /home/service/jinyi/web/jinyi.web.web.jar --spring.profiles.active=prod
java -jar /home/service/jinyi/api/jinyi.api.api-1.0.0.jar --spring.profiles.active=prod
查看jar包的配置文件,一般是BOOT-INF/classes/application.yml,在web jar包的配置文件中
5 涉案服务器集群中,数据库服务器中Docker容器的数量为?【答案格式:1】
2
6 涉案服务器集群中,数据库服务器有一个mysql容器节点,该容器的ID前六位为?【答案格式:abc123】
3ba5cb
7 涉案服务器集群中,数据库服务器mysql容器节点的数据库版本号为?【答案格式:1.1.1】
5.7.44
8从外部访问涉案网站"鲸易元MALL管理系统"管理后台所使用的域名为?【多选】
A.jy.proxy2.jshcloud.cn
B.master.jy.proxy2.jshcloud.cn
C.jy.proxy.jshcloud.cn
D.master.jy.proxy.jshcloud.cn
一个个查看110nginx服务器配置文件
域名在proxy.conf反向代理配置文件中,网站后台的ip是http://192.168.100.111:9032/
9“鲸易元MALL管理系统”管理后台所使用的网站框架为?
A.TOMCAT
B.SPRING_BOOT
C.Struts
D.THINKPHP
查看MANIFEST.MF文件,记录了jar包的很多信息MANIFEST.MF文件详解 - DavidGandy - 博客园 (cnblogs.com)
10 “鲸易元MALL管理系统”管理后台运行时,依赖了几种不同的数据库?【答案格式:123】
2
112里面有两个mysql和redis
11 “鲸易元MALL管理系统”管理后台运行时,在生产环境(prod)下所连接的mysql服务器密码为?【答案格式:123】
honglian7001
或
12 “鲸易元MALL管理系统”管理后台中Aliyun OSS对应的密钥KEY是为?【答案格式:Abc123】
LfA2sPaJiVW3Th32YeCN0bsD8NIjF7
还是在配置文件中
13 "鲸易元MALL管理系统"管理后台中,管理员(admin)的账号密码采用了什么样的加密方式?【答案格式:rc4】(不区分大小写)
bcrypt
查看网站对应数据库jinyi,在sys_user表中
$2a$10$DiQRdqJgAZu94f0Tj6wHDOyu7W0enarVqbglutv0//KsdR9XMfABm 是bcrypt加密
14 “鲸易元MALL管理系统”管理后台中,管理员(admin)账号绑定的手机号码为?【答案格式:18818881888】
15888888888
15 “鲸易元MALL管理系统”管理后台中,会员的数量为?【答案格式:123】
52908
网站重构
重构没成功,有空再试试,先冷静一段时间qaq
数据分析部分
16 “鲸易元MALL管理系统”管理后台中,会员级别为“总代”的数量为?【答案格式:123】
17 “鲸易元MALL管理系统”管理后台中,以“推荐人id”做为上级id对会员进行层级分析,总层级为多少层?(最高层级视为1层)【答案格式:123】
18 “鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)数量为?【答案格式:123】
19 “鲸易元MALL管理系统”管理后台中,会员编号为sgl01的下游人数(伞下会员)充值总金额合计为多少元/RMB【答
案格式:123】
20 “鲸易元MALL管理系统”管理后台中,已支付订单的数量为?【答案格式:123】
21 “鲸易元MALL管理系统”管理后台中,已支付订单的支付总金额总计为多少元/RMB?【答案格式:123】
22 “鲸易元MALL管理系统”管理后台中,在提现账号管理页面中银行卡的记录数为?【答案格式:123】
23 “鲸易元MALL管理系统”管理后台中,打款成功的提现记录数量为?【答案格式:123】
24 “鲸易元MALL管理系统”管理后台中,打款成功的提现应打款金额总计为多少元/RMB?【答案格式:123】
25 “鲸易元MALL管理系统”管理后台中,拼券活动D仓位的收益率为?【答案格式:100%】