【蓝帽杯2023】取证

本文最后更新于:2023年9月10日 上午

[TOC]

【蓝帽杯2023】取证

前期工作:

使用取证大师,将相关镜像分离出来:

首先创建一个案例:

image-20230909150240536

由于容器被加密,所以我们选择加密容器,并输入密码:

image-20230909150325669

然后将这些文件夹右键导出:

image-20230909150444675

这样就将取证用的文件分离出来了

手机取证

0x01.该镜像是用的什么模拟器?

image-20230909145744218

从日志中可以看出是雷电模拟器

手机取证这里有两种写法,我们两种都写一下:

雷电模拟器:

首先打开雷电多开器:

image-20230909150010224

点击备份与还原,点击还原

image-20230909150629760

这样就可以还原镜像文件了,后面直接找就行了

盘古石手机取证

首先新建一个案件:

image-20230909151918561

此处选择安卓:

image-20230909152159547

选择安卓镜像文件,即可导入data.vmdk文件

image-20230909152405922

0x02.该镜像中用的聊天软件名称是什么?

image-20230909150805311

与你

image-20230909152543769

0x03.聊天软件的包名是?

image-20230909151206836

在文件管理中找到

image-20230909152646402

0x04.投资理财产品中,受害人最后投资的产品最低要求投资多少钱?

image-20230909151600630

5万

image-20230909152720312

0x05.受害人是经过谁介绍认识王哥?

image-20230909151708489

华哥

image-20230909152742452

计算机取证

创建案件:

image-20230909152914375

导入镜像:

image-20230909152946411

0x01.请给出计算机镜像pc.e01的SHA-1值?

image-20230909153048372

0x02.给出pc.e01在提取时候的检查员?

使用取证大师打开镜像文件:

image-20230909164909498

0x03.请给出嫌疑人计算机内IE浏览器首页地址?

我们此时需要使用盘古石计算机仿真软件

image-20230909153541933

仿真完成后会打开一个vm虚拟机,输入前面内存取证获得的密码:3w.qax.com

打开ie:http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

image-20230909153720147

0x04.请给出嫌疑人杨某登录理财网站前台所用账号密码?

yang88/3w.qax.com

image-20230909153952437

下载一个everything搜到了密码,和vc容器的密码

0x05.请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?

image-20230909154109017

在关于找到wps版本:2023春季更新(14309)

0x06.请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?

在d盘发现一个img文件:

image-20230909154354502

使用取证软件将其导出:

image-20230909154507917

重新使用取证软件导入检材:

image-20230909154702951

打开后找到C盘清理.bat计算sha-1值:

image-20230909154924682

SHA1: 24cfcfdf1fa894244f904067838e7e01e28ff450

image-20230909155051387

0x07.请给出嫌疑人Vera Crypt加密容器的解密密码?

image-20230909155307623

0x08.请给出嫌疑人电脑内iSCSI服务器对外端口号?

3261

在win7中找到StarWind

image-20230909155903492

0x09.请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?

image-20230909160121480

这里不能直接看出来

去找配置文件starwind.cfg,用记事本打开,找到密码:panguite.com

image-20230909160302759

0x10.分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?

对刚找到的disk.img镜像分析,发现里面有一个2G大小的txt文档,打开发现为乱码,结合上面题目找VC容器密码,判断其为VC容器,密码即为vc容器密码3w.qax.com!!@@,发现正确,打开发现提现记录.xlsx文件。

我们导出这个txt文件

image-20230909160455251

使用取证大师,使用加密类型,输入密码可以打开提现记录:

image-20230909161319709

服务器取证

使用仿真软件仿真qcow2文件,选择重置密码

image-20230909171102195

重置后,输入:root/123456就可以登录成功

0x01.分析涉案服务器,请给出涉案服务器的内核版本?

image-20230909171236140

0x02.分析涉案服务器,请给出MySQL数据库的root账号密码?

.env中找到

image-20230909171806965

0x03.分析涉案服务器,请给出涉案网站RDS数据库地址?

image-20230909172013774

0x04.请给出涉网网站数据库版本号?

image-20230909172251456

0x05.请给出嫌疑人累计推广人数?

执行bt命令发现宝塔

image-20230909172647515

我们使用选项5修改面板密码,然后查看选项14,查看信息:

image-20230909172810833

找到了宝塔登录地址:http://192.168.56.140:11438/c2b2f950,登录进去

image-20230909173123056

可以查看数据库的root密码:bad11d923939ca2dcf

使用root身份登录数据库

image-20230909173254398

这里只有4个数据库,但是我们之前从取证大师提取出来了一个文件:hins261244292_data_20230807143325_qp.xb

查询一下xb文件是什么,

image-20230909173441828

发现可以用来恢复mysql数据库

我们使用finalshell上传上去

image-20230909174251248

2023第七届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解 (qq.com)

https://blog.csdn.net/m0_64787014/article/details/132627718

跟着博客来恢复mysql数据

image-20230909192513841

恢复之后发现多了库

image-20230909194959250

在宝塔为网站添加ip(虚拟机的ip)

访问发现报错:

image-20230909191505873

查看一下网站的日志,发现后台:

image-20230909192110103

/AdminV9YY/Login

登录时,发现数据库错误,我们修改.env的host为本地即可:

image-20230909192051322

但是登录不上去,于是我们需要修改一下登录逻辑,在哪个文件呢?

1
find . -name "*.php" | xargs grep "密码不正确"

这样可以显示出哪一个文件的行出现了关键字:

image-20230909195326398

访问,修改文件:

image-20230909194424865

登录进去,账号root,密码随意,找到yang88

image-20230909194626542

yang88推广69人

0x06. 请给出涉案网站后台启用的超级管理员?

image-20230909195743517

0x07.投资项目“贵州六盘水市风力发电基建工程”的日化收益为?

image-20230909200040276

image-20230909200021171

0x08.最早访问涉案网站后台的IP地址为

image-20230909200211398

0x09.分析涉案网站数据库或者后台VIP2的会员有多少个

image-20230909200742393

0x10.分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为

1
select bankaddress from member where amount >0 and bankaddress like '%上海%';

image-20230909201635707

在数据库查出两条,所以是2

取证
#蓝帽杯
【蓝帽杯2023】取证
https://leekosss.github.io/2023/09/09/[蓝帽杯2023]初赛取证/
作者
leekos
发布于
2023年9月9日
更新于
2023年9月10日
许可协议