2024斟茶王者wp
发表于|更新于|取证
|字数总计:9|阅读时长:1分钟|阅读量:
公告
欢迎来到w3nx1z1的博客!
目录
- 2024斟茶王者
- 1.请启动下方的网站,下载询问笔录并根据其内容,分析收取受害人资金的一级卡转账记录,统计其下级卡中接收受害人资金最多的账户。
- 2.回到这些资金链路上看看,意外从其中一张银行卡6226816246156978927中找到了线索。(用重明查一下看看,也许有意想不到的收获,请以搜索结果中的涉案群组ID作为答案)
- 3.林风一脸惊喜的盯着屏幕,从群内的聊天内容来看,这个群是专门拿来上押的,也许可以加入这个群看看历史记录。林风通过TG搜索这个群聊,发现是可以公开加入的,但是加入时发现要进行问答验证。 (请启动下方的网站,帮助林风通过入群验证,以入群后的FLAG作为答案,如KFAYZZPRX0DZ)
- 4.在较早的聊天记录中,林风发现了一个二维码,似乎是群主在叫人用单独的APP来聊天。 (分析这个二维码,以二维码包含的链接末尾路径作为答案,如KFAYZZPRX0DZ)
- 5.既然拿到了APP,林风打算直接用云真机跑一下看看,避免有什么木马病毒影响他的工作手机。在分析过程中发现,这个APP名为Telefram,APP并没有将接口请求地址直接封装到APP中,而是通过网络文件进行动态加载,让APP的服务器分析变得更为困难。 (分析这个APP,锁定其API接口地址的获取地址,以获取地址的TOKEN作为答案,如KFAYZZPRX0DZ)
- 6.林风找到了这个API接口地址的获取地址,但是访问后提示已失效,这条线索不能再继续断了。 (继续分析Telefram APP,帮助林风找到新的API请求地址,以地址的末尾路径作为答案,如KFAYZZPRX0DZ)
- 7.林风也是初次见到这种做法,推测是这个团伙会定期发布新的APP安装包,以此来躲避探测。这是个很有意思的样本,也许应该解包出来看看这个样本的特征。 (解包Telefram APP,找找看有没有新的线索,比如SDK。以SDK的KEY值作为答案。)
- 8.“对了,你知道深圳市星光科讯信息技术有限公司这家公司吗?” “和案子有关吗?我就在这家公司!” (结合模拟调证,向星光推送的运营公司进行调证,以Telefram的开发者联系邮箱作为答案)
- 9.刚到单位的林风,又继续开始了昨晚还未结束的侦查。昨晚找到的新的API请求地址应该进一步再分析看看。 (分析新的API请求地址,找到Telefram的后台访问地址并获取登录权限,以登录成功后的FLAG作为答案。)
- 10.登录到Telefram管理后台后,分析聊天用户中最后登录IP为67.98.23.12的聊天用户数量。
- 11.在管理后台看了一圈的林风感到非常奇怪。为什么一个聊天APP却没有聊天记录,这些记录都存储在哪里的,也许有什么办法可以查看到更多的数据。 (帮林风找到办法获取聊天消息内容,以聊天消息中的FLAG作为答案,如KFAYZZPRX0DZ。) 注:如答到本题的用户,请刷新一下界面,重新生成一次镜像文件。
- 12.林风解密了聊天消息的内容,发现这个团伙前后做了好多类型的电诈骗局,分工明确,小心谨慎。他们都以动物来作为自己的代号,隐藏真实信息,难以落查团伙人员的身份信息, 也许只有先了解一下他们的工作模式再做进一步打算。 (分析该群聊中的各个角色身份,锁定承担财务和洗钱职责的人员的用户名。)
- 13.短时间没有新的线索,林风急也急不来。每天的必备工作就是从后台获取新的数据看看,实时掌握这个团伙的新动态,看看有没有新的侦查方向。 王吉仍是每天打电话来追问这情况,林风只能暂时以警务秘密为由暂时拖延。持续观察了几周的后台数据,仍然找不到新的线索,直到今天,这个后台已经再次失效,无法继续访问了。 王吉今天打来电话,却是没有追问案件的情况,只说他从公司的管理数据中找到了新的后台地址,也许能帮得上忙。 “这个新的地址你去看看,有什么线索估计你也不能告诉我。我打算回深圳了,那边工作也耽搁不下了。” “王吉,我还在想办法,有结果一定通知你。” “我信你,但我也许有我的方式,我该走了。” “一路顺风。” 林风挂断电话,再次拉取了群聊数据,发现群内的浣熊说黑蛇已经死了,还提供了现场图片,林风赶紧行动起来。 (通过下方的Telefram后台管理地址,再次获取内部群的聊天记录,根据最新的群内消息,判断黑蛇死亡地所在市和区的名称,如成都市武侯区)
- 14.林风终于拿到了兄弟单位回传的协查资料,迫不及待的开始了新一轮的分析。 (通过下方的文件下载地址,分析查找镜像内容中的可能线索。本题共有3个答案,全部答对可进入下一题。若仍有答案无法获得,可点击下方的下一题卡片先回答下一题。)
- 15.黑蛇的镜像文件帮林风找到了新办法,继续浣熊负责了财务和洗钱,也许从他这一侧,可以追回到更多资金。 (尝试登录黑蛇的聊天软件,通过静默的方式获取浣熊的聊天客户端权限,以浣熊客户端中的FLAG作为答案)
- 16.所有的案件信息都已提供,请找到本案中的所有嫌疑人的身份证号码作为答案。本题共有多个答案,答对其一即可进入下一题;答对多个答案可获得更多积分。